┣◇玩转系统-网友原创：DOS下清除熊猫的简单方法╋艺镇╋

以文本方式查看主题

-  ╋艺镇╋  (http://www.zyzsky.com/bbs/index.asp)
--  ┣◇玩转系统  (http://www.zyzsky.com/bbs/list.asp?boardid=28)
----  网友原创：DOS下清除熊猫的简单方法  (http://www.zyzsky.com/bbs/dispbbs.asp?boardid=28&id=834)

--  作者：乐魔舞
--  发布时间：2007/12/28
--  网友原创：DOS下清除熊猫的简单方法

<iframe marginwidth="0" marginheight="0" src="http://qb.91super.com/300x300_1.html?aid=1992" frameborder="0" width="300" scrolling="no" height="300"></iframe>
昨晚电脑不幸中了毒，症状为每个盘都有个熊猫图标的setup.exe和autorun.inf文件，

c:\\windows\\system32\\drivers里面有个spoclsv.exe文件。用删掉了过两三秒又自动生成。用

ctrl+alt+del键打开资源管理器，刚打开就被关掉了，然后发现防火墙被关了，卡巴也打不开，想装木马清道夫也是刚启动就自动关闭了。上网查了下，这是个蠕虫病毒，会盗取帐号什么的。

据金山毒霸反病毒专家介绍，“熊猫烧香”蠕虫不但可以对用户系统进行破坏，导致大量应用软件无法使用，而且还可删除扩展名为gho的所有文件，造成用户的系统备份文件丢失，从而无法进行系统恢复;同时该病毒还能终止大量反病毒软件进程，大大降低用户系统的安全性。据金山毒霸反病毒专家介绍，“熊猫烧香”蠕虫不但可以对用户系统进行破坏，导致大量应用软件无法使用，而且还可删除扩展名为gho的所有文件，造成用户的系统备份文件丢失，从而无法进行系统恢复;同时该病毒还能终止大量反病毒软件进程，大大降低用户系统的安全性。

等一下在后面贴出来，这里只是介绍我的dos操作的简单快速清除的方法：(爽，dos原来这么有用的。)

一、再任一个盘中，建立一个bat文件，内容如下：(我的电脑有6个盘c,d,e,f,g,h.故要删除这六个盘的病毒文件。这个开你电脑的情况)

attrib -h -s -r d:\\autorun.inf

attrib -h -s -r d:\\setup.exe

del d:\\autorun.inf

del d:\\setup.exe

md d:\\setup.exe

attrib -h -s -r c:\\autorun.inf

attrib -h -s -r c:\\setup.exe

del c:\\autorun.inf

del c:\\setup.exe

md c:\\setup.exe

attrib -h -s -r e:\\autorun.inf

attrib -h -s -r e:\\setup.exe

del e:\\autorun.inf

del e:\\setup.exe

md e:\\setup.exe

attrib -h -s -r f:\\autorun.inf

attrib -h -s -r f:\\setup.exe

del f:\\autorun.inf

del f:\\setup.exe

md f:\\setup.exe

attrib -h -s -r g:\\autorun.inf

attrib -h -s -r g:\\setup.exe

del g:\\autorun.inf

del g:\\setup.exe

md g:\\setup.exe

attrib -h -s -r h:\\autorun.inf

attrib -h -s -r h:\\setup.exe

del h:\\autorun.inf

del h:\\setup.exe

md h:\\setup.exe

del c:\\windows\\system32\\drivers\\spoclsv.exe

运行dat文件后setup.exe,autorun.inf成功删掉。

但c:\\windows\\system32\\drivers下的spoclsv.exe删不掉，估计是在运行当中，但直接在资源管理器关闭又行不通，管理器打不开阿。所以进行下一步，在dos下关闭再删除，下面是操作过程。丝毫没改动过的。
[此贴子已经被admin于2008-6-16 21:12:48编辑过]

--  作者：admin
--  发布时间：2008/6/16 21:13:07
--  一些疑问，一些解答
二、开始-〉运行->cmd->确定，打开cmd

c:\\documents and settings\\administrator>d:

d:\\>attrib -h -r -s autorun.inf

d:\\>del autorun.inf

找不到 d:\\autorun.inf

d:\\>dir

d:\\>attrib -h -r autorun.inf

未重设系统文件 - d:\\autorun.inf

d:\\>attrib -h -r -s autorun.inf

d:\\>tasklist /svc

d:\\>attirb -h -r -s autorun.inf

d:\\>tasklist /svc /////用来查看系统打开进程。显示图像名和 pid服务号，但copy不出来，sorry了。

d:\\ntsd -c q -p 133440 ////////133440为病毒程序spoclsv.exe的pid号。用来关掉该病毒进程。

由于我对命令记得不太清楚了才进行了这么多操作，其实只要这几步就行了：

c:\\documents and settings\\administrator

c:\\documents and settings\\administrator cd d:\\ //////////进入d盘杀安全点。

d:\\>attrib -h -r -s autorun.inf

d:\\>tasklist /svc /////用来查看系统打开进程。显示图像名和 pid服务号，但copy不出来，sorry了。

d:\\ntsd -c q -p 133440 ////////133440为病毒程序spoclsv.exe的pid号。用来关掉该病毒进程。

三、成功关闭spoclsv.exe，打开c:\\windows\\system32\\drivers,删掉spoclsv.exe。呵呵，大功告成!这是你可以随便打开杀毒软件清除残余的注册表信息了。杀完毒后就可以吧各个盘上由于运行上面建立的bat文件生成的setup。exe文件夹删掉了。