关于最新流行的熊猫烧香病毒的解决办法(2) "FuckJacks"="%SYSTEM%\\FuckJacks.exe"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"svohost"="%SYSTEM%\\FuckJacks.exe"[HKEY_USERS\S-1-5-21-1757981266-2111687655-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run]"FuckJacks"="%SYSTEM%\\FuckJacks.exe"************************************关于病毒的清除:1、打开任务管理器,结束掉FuckJacks.exe进程。2、右击每个分区盘符选择“打开”删除分区根目录下面的setup.exe和autorun.inf文件。3、删除上面提到的病毒增加的注册表值。4、关于安全中心的恢复可以从正常系统中倒入注册表,或者跳过这一步,不是特别重要。5、被病毒覆盖的文件(覆盖后的文件大小为30,465字节)是不可恢复的,直接删除;被修改的文件用16进制编辑器删除Dd11.exe大小为30,465字节,FSG加壳处理。病毒运行后会在%SYSTEM%下面释放FuckJacks.exe这么一个文件,同Dd11.exe。并且在每个分区根目录下面释放setup.exe和autorun.inf文件(利用系统自动播放达到启动目的)。FuckJacks.exe将调用CMD.EXE、NET.EXE以及NET1.EXE几个程序,同时占用大量CPU,会结束掉一些进程,比如注册表编辑器、IceSword所有版本等。病毒会覆盖或者修改掉正常的程序,当EXE程序的文件名第一个为数字或者字母a-d(A-D)时会立刻进行覆盖或修改,其他文件名的程序会慢慢侵蚀。************************************病毒会删除“安全中心”的相关注册表。病毒增加如下注册表启动项:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]"FuckJacks"="%SYSTEM%\\FuckJacks.exe"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"svohost"="%SYSTEM%\\FuckJacks.exe"[HKEY_USERS\S-1-5-21-1757981266-2111687655-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run]"FuckJacks"="%SYSTEM%\\FuckJacks.exe"************************************关于病毒的清除:1、打开任务管理器,结束掉FuckJacks.exe进程。2、右击每个分区盘符选择“打开”删除分区根目录下面的setup.exe和autorun.inf文件。3、删除上面提到的病毒增加的注册表值。4、关于安全中心的恢复可以从正常系统中倒入注册表,或者跳过这一步,不是特别重要。5、被病毒覆盖的文件(覆盖后的文件大小为30,465字节)是不可恢复的,直接删除;被修改的文件用16进制编辑器删除00000000到00007700的代码段,在文件末尾删除“WhBoyD.exe.exe.714241.”的代码段保存即可恢复原貌。00000000到00007700的代码段,在文件末尾删除“WhBoyD.exe.exe.714241.”的代码段保存即可恢复原貌。
