如何成功清除“熊猫烧香”病毒[网院部落]

# Additionally, comments (such as these) may be inserted on individual　　

　　# lines or following the machine name denoted by a '#' symbol.　　

　　#　

　　# For example:　　

　　#　　

　　# 102.54.94.97 rhino.acme.com # source server　　

　　# 38.25.63.10 x.acme.com # x client host　　

　　127.0.0.1 localhost　　

　　127.0.0.1 *.3322.org　　

　　127.0.0.1 *.sz45.com　　

　　7、修复文件夹选项的“显示所有文件及文件夹”的方法：　　

　　A、找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL分支，在右边的窗口中双击CheckedValue键值项，该键值应为1.如果值不为1,改为1即可。

　　如果你设置仍起不了作用，那么接下来看。　　

　　有些木马把自己的属性设置成隐藏、系统属性，并且把注册表中“文件夹选项中的隐藏受保护的操作系统文件”项和“显示所有文件和文件夹”选项删除，致使通过procexp可以在进程中看到，但去文件所在目录又找不到源文件，无法进行删除。(正常如图，被修复后看不见图中标注的项)

　　针对这种情况可以把下面内容存储成ShowALl.reg文件,双击该文件导入注册表即可　　

　　Windows Registry Editor Version 5.00　　
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"　　

　　"Text"="@shell32.dll,-30501"　　

　　"Type"="radio"　　

　　"CheckedValue"=dword:00000002　　

　　"ValueName"="Hidden"　　

　　"DefaultValue"=dword:00000002　　

　　"HKeyRoot"=dword:80000001　　

　　"HelpID"="shell.hlp#51104"
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]　　

　　"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"　　

　　"Text"="@shell32.dll,-30500"　　

　　"Type"="radio"　　

　　"CheckedValue"=dword:00000001　　

　　"ValueName"="Hidden"　　

　　"DefaultValue"=dword:00000002　　

　　"HKeyRoot"=dword:80000001　　

　　"HelpID"="shell.hlp#51105"
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]　　

"Type"="checkbox"　　

　　"Text"="@shell32.dll,-30508"　　

　　"WarningIfNotDefault"="@shell32.dll,-28964"　　

　　"HKeyRoot"=dword:80000001　　

　　"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"　　

　　"ValueName"="ShowSuperHidden"　　

　　"CheckedValue"=dword:00000000　　

　　"UncheckedValue"=dword:00000001　　

　　"DefaultValue"=dword:00000000　　

　　"HelpID"="shell.hlp#51103"
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]　　

　　@=""　　

　　具体操作方法：　　

　　1）通过记事本新建一个文件　　

　　2）将以上内容复制到新建的记事本文件中　　

　　3）通过记事本文件菜单另存为show.reg　　

　　4）双击存储的showall.reg文件，点击弹出的对话框是按钮即可。　　

　　注意：以上方法对win2000和XP有效　

B、HKEY_LOCAL_MACHINE 　 Software 　Microsoft 　 windows 　 CurrentVersion 　 explorer 　 Advanced 　 Folder 　 Hidden 　 SHOWALL，将CheckedValue键值修改为1 　　

　　但可能依然没有用，隐藏文件还是没有显示，这是因为病毒在修改注册表达到隐藏文件目的之后，把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0！　　

　　方法：删除此CheckedValue键值，单击右键新建Dword值，命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。

　　【专家总结】　　

　　1、立即检查本机administrator组成员口令，一定放弃简单口令甚至空口令，安全的口令是字母数字特殊字符的组合，自己记得住，别让病毒猜到就行。　　

　　修改方法：右键单击我的电脑，选择管理，浏览到本地用户和组，在右边的窗中，选择具备管理员权限的用户名，单击右键，选择设置密码，输入新密码就行。　　

　　2、利用组策略，关闭所有驱动器的自动播放功能。　　

　　步骤：单击开始，运行，输入gpedit.msc，打开组策略编辑器，浏览到计算机配置，管理模板，系统，在右边的窗格中选择关闭自动播放，该配置缺省是未配置，在下拉框中选择所有驱动器，再选取已启用，确定后关闭。最后，在开始，运行中输入gpupdate，确定后，该策略就生效了。　　

　　3、修改文件夹选项，以查看不明文件的真实属性，避免无意双击骗子程序中毒。　　

　　步骤：打开资源管理器（按windows徽标键＋E），点工具菜单下文件夹选项，再点查看，在高级设置中，选择查看所有文件，取消隐藏受保护的操作系统文件，取消隐藏文件扩展名。　　

　　4、时刻保持操作系统获得最新的安全更新，建议用毒霸的漏洞扫描功能。　　

　　5、启用windows防火墙保护本地计算机。　

　　对于未感染的用户，专家建议，不要登陆不良网站，及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑，同时上网时应采用“杀毒软件+防火墙”的立体防御体系。

小鱼，要是你的帖子早两个星期让我读到，多好啊！

看到你中毒了我才找来的

以前不知道

开水里的鱼	小大 1楼个性首页 \| 博客 \| 信息 \| 搜索 \| 邮箱 \| 主页 \| UC
加好友发短信等级：版主帖子：5088 积分：60379 威望：11 精华：10 注册：2004/5/14 14:27:23	如何成功清除“熊猫烧香”病毒 Post By：2007/2/1 23:15:07 您无权查看精华帖子
	<br>网络就像一锅滚开的水而我就是里面的一条鱼<br>我不想去适应里面的温度,所以只能凭自身的能力来改变水的温度<br>就算遍体鳞伤，窒息死亡也绝不后悔<br>这就是我的选择 [本帖被加为精华]
	支持(0) 中立(0) 反对(0)

主题：如何成功清除“熊猫烧香”病毒