清除熊猫烧香新变种病毒的完整过程,特征是有以下的进程:severe.exe,conime.exe
本来是想下载一个工具的注册包的(这个网站的地址是www.9wz.cn,希望以后大家要特别注意这个网站),结果却下了一个可执行文件,双击运行后,电脑什么反应都没有,我心马上凉了,知道肯定中病毒了,后来知道了原来中的就是熊猫烧香新变种的病毒,特征是有以下的进程:severe.exe,conime.exe。(以下网址是其他人中了该病毒后的解决方法,http://blog.sina.com.cn/u/46c5441f01000961,下面给出我自己的解决过程)
熊猫烧香新变种的病毒特征如下:
1、系统时间总是固定到某年某月某天 如2004年1月22日
2、不能更改 显示隐藏所有文件和文件夹 选项 无法显示隐藏的系统文件
3、双击硬盘速度明显变慢 或者弹出选择打开方式
4、打不开常用的杀毒软件和清除木马
5、打不开注册表,同时也无法运行msconfig
6、安全模式也无法结束(绑架了winlogon)
之所以无法打开常用的杀毒软件和注册表,是因为这些软件对应的进程名列在了注册表的HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options中,所以无法运行。比如可以看到rav.exe和regedit.exe列在上面,这时只要删除这些进程名的键值,就可以运行注册表和瑞星杀毒软件了。
一开始当然是要想办法删除掉severe.exe,conime.exe,因为它们无法停止,同时在安全模式下都可以自动加载。由于进程无法停止,所以对应的文件也无法删除掉。所以要想手动清除,必须进入纯DOS界面或者开机按F8进入带命令行的安全模式才可以删除。比如进入带命令行的安全模式,然后进入到c:windows/system32,执行命令:del/a:h severe.exe 删除severe.exe文件。然后再进入到c:windows/system32/drivers中,执行命令:del/a:h conime.exe 。这样之后在进入到普通的安全模式下,如果注册表打不开,可以把c:/windows下的regedit.exe文件改名为regedit.SCR,如果windows目录被隐藏了,就在命令提示符下用ren命令改名,改好后,直接运行regedit.SCR就可以打开注册表了。打开注册表后,那么按照上面所说的删除对应进程的键值应该就可以运行一些常用的杀毒软件,这里我用的是瑞星。升级到最新版后开始查杀,这时瑞星将severe.exe,conime.exe这些病毒文件都会删除。这样这个病毒就基本上被清除了。
清除之后,一定要注意到我下面写的内容,因为在你的C:,D:,E:等各个分区中会有与它关联的两个病毒文件,而且都是隐藏的,这时你千万不要双击盘符,一双击就会又运行病毒文件了。所以要先打开显示所有文件和文件夹,如果无法更改到这个选项,决方法如下:“开始” > “运行” > 输入regedit,打开注册表找下以下路径:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL,
找到CheckedValue键的DWORD值项,把键值0改为1,即可。
如果不是DWORD值,删除,新建一个名为CheckedValue的DWORD值,将十六进制的值设为1,即可。
显示成功了所有文件和文件夹后,在命令提示符下用dir/as命令显示出盘符的隐藏文件,就可以看到两个文件oso.exe,autorun.ini,用del命令删除掉。这样再双击盘符就不会运行病毒文件了。
做了以上的操作后,病毒基本上就被清除掉了。希望以上我写的能对大家有所帮助。如果有什么疑问,我的qq:61407619.Email:[email protected]