【IT168 专稿】菜鸟也手动杀毒初级篇大家看的怎么样了？上节我们讲了写初级的东西。这次来实践一下。

    这个图片大家应该都很熟悉，它就是一阵子红红火火的熊猫烧香。今天我们就来实践一下手杀熊猫烧香。为了写这个文章，笔者在爱机上运行了熊猫烧香，写文章苦呀，废话少说。LET’S GO！！！（以下主要以学习为目的，文章最后有杀毒的脚本）

    首先我们打开进程管理器。要是看到如下几个进程。logo_1，rundl132（这个有意思。系统自带有个rundll32,它是rundl132,32前面的是数字1不是字母l），zt，wow，logo1_，Ravmon，Eghost，Mailmon，KAVPFW，IPARMOR，Ravmond
要是发现你机器上有以上进程之一就说明你已经感染了。有了也不用怕，这个文章不是就教你杀它吗？首先记住在你系统中存在的以上几个进程的名字。开始-》运行 输入CMD来打开命令提示符。 

    输入一下命令。这个命令是用来关闭正在运行中的熊猫烧香。Tskill 你查到的进程名，比如 tskill logo_1你查到几个就要运行几次以上命令来关闭所有熊猫烧香病毒。当然每次要用查到的不同的进程名。
    接下来运行一下几个命令
    taskkill /f /im 0sy.exe 
    taskkill /f /im 1sy.exe 
    taskkill /f /im 2sy.exe 
    taskkill /f /im 3sy.exe 
    taskkill /f /im 4sy.exe 
    taskkill /f /im 5sy.exe 
    taskkill /f /im 6sy.exe 
    taskkill /f /im 7sy.exe 
    taskkill /f /im 8sy.exe 
    taskkill /f /im 9sy.exe
    TASKKILL这个命令是用来强行关闭进程的。
    参数 F表示要强行关闭。
    参数IM表示指定要终止的图像名。
好了，运行完以上几个命令。你的机器就摆脱它了，当然这是暂时的，我们还得删除相应文件，才能安然无事。这个病毒确实有点变态，生成的文件比较多。
    先运行
    del d:\_desktop.ini /f/s/q/a
    这句的意识是删除_desktop.ini 这个文件，
    参数F表示强行删除只读文件
    S是从所有子目录删除指定文件，熊猫回在所有目录生成这个文件。
    接着
    del c:\Program Files\_desktop.ini
    这句就简单了，从指定目录删除指定文件 。运行以下几句。
    del %Windir%\MickNew\MickNew.dll
    del %Windir%\MH_FILE\MH_DLL.dll 
    del %Windir%\_desktop.ini
    del %Windir%\TODAYZTKING\TODAYZTKING.DLL
    还是删除%Windir%这个可能不明白，他是说是系统目录。
    运行下面一句。
    attrib -h -r -s c:\go.exe
    attrib指令用于修改文件的属性 就是修改GO.EXE的属性。
    接下来还有大堆命令，通过以上几句的讲解，你们应该能看明白，有些盘符要是你没有的话就不用运行，比如，G,H,J。
    del c:\go.exe 
    del c:\setup.exe
    attrib -h -s -r c:\autorun.inf 
    del c:\autorun.inf 
    attrib -h -r -s d:\go.exe 
    del d:\go.exe 
    del d:\setup.exe
    attrib -h -s -r d:\autorun.inf 
    del d:\autorun.inf 
    del e:\setup.exe
    attrib -h -r -s e:\go.exe 
    del e:\go.exe 
    attrib -h -s -r e:\autorun.inf 
    del e:\autorun.inf 
    attrib -h -r -s f:\autorun.inf
    del f:\go.exe 
    del f:\setup.exe
    attrib -h -s -r f:\autorun.inf 
    del f:\autorun.inf 
    attrib -h -r -s g:\go.exe 
    del g:\go.exe 
    del g:\setup.exe
    attrib -h -s -r g:\autorun.inf 
    del g:\autorun.inf 
    del h:\go.exe 
    del h:\setup.exe
    attrib -h -s -r g:\autorun.inf 
    del h:\autorun.inf 
    del i:\go.exe 
    attrib -h -s -r g:\autorun.inf 
    del i:\autorun.inf
    del i:\setup.exe
    del j:\go.exe 
    attrib -h -s -r g:\autorun.inf 
    del j:\autorun.inf 
    del j:\setup.exe
    del %windir%\system\Logo1_.exe
    del %windir%\rundl132.exe
    del %windir%\vDll.dll
    del %windir%\Dll.dll
    del %windir%\0Sy.exe
    del %windir%\1Sy.exe
    del %windir%\2Sy.exe
    del %windir%\3Sy.exe
    del %windir%\5Sy.exe
    del %windir%\1.com

    当然你也可以大可不必这么麻烦的运行每个命令。可以把以下几句复制到记事本，保存为 XX.BAT然后运行之…

    @echo off
    title,熊猫烧香专杀
    @echo 清除VIKING病毒最新变种工具
    @echo -------------------------------------------------------
    pause

    if exist %windir%\rundl132.exe echo ---您已感染熊猫烧香，建议杀毒。
    if exist %windir%\logo_1.exe echo ---您已感染熊猫烧香，建议杀毒。
    tskill logo_1
    tskill rundl132
    tskill zt
    tskill wow
    tskill logo1_ 
    tskill Ravmon 
    tskill Eghost 
    tskill Mailmon  
    tskill KAVPFW 
    tskill IPARMOR 
    tskill Ravmond 
    taskkill /f /im 0sy.exe 
    taskkill /f /im 1sy.exe 
    taskkill /f /im 2sy.exe 
    taskkill /f /im 3sy.exe 
    taskkill /f /im 4sy.exe 
    taskkill /f /im 5sy.exe 
    taskkill /f /im 6sy.exe 
    taskkill /f /im 7sy.exe 
    taskkill /f /im 8sy.exe 
    taskkill /f /im 9sy.exe

    //删除木马
    del d:\_desktop.ini /f/s/q/a
    del c:\Program Files\_desktop.ini
    del %Windir%\MickNew\MickNew.dll
    del %Windir%\MH_FILE\MH_DLL.dll 
    del %Windir%\_desktop.ini
    del %Windir%\TODAYZTKING\TODAYZTKING.DLL
    attrib -h -r -s c:\go.exe 
    del c:\go.exe 
    del c:\setup.exe
    attrib -h -s -r c:\autorun.inf 
    del c:\autorun.inf 
    attrib -h -r -s d:\go.exe 
    del d:\go.exe 
    del d:\setup.exe
    attrib -h -s -r d:\autorun.inf 
    del d:\autorun.inf 
    del e:\setup.exe
    attrib -h -r -s e:\go.exe 
    del e:\go.exe 
    attrib -h -s -r e:\autorun.inf 
    del e:\autorun.inf 
    attrib -h -r -s f:\autorun.inf
    del f:\go.exe 
    del f:\setup.exe
    attrib -h -s -r f:\autorun.inf 
    del f:\autorun.inf 
    attrib -h -r -s g:\go.exe 
    del g:\go.exe 
    del g:\setup.exe
    attrib -h -s -r g:\autorun.inf 
    del g:\autorun.inf 
    del h:\go.exe 
    del h:\setup.exe
    attrib -h -s -r g:\autorun.inf 
    del h:\autorun.inf 
    del i:\go.exe 
    attrib -h -s -r g:\autorun.inf 
    del i:\autorun.inf
    del i:\setup.exe
    del j:\go.exe 
    attrib -h -s -r g:\autorun.inf 
    del j:\autorun.inf 
    del j:\setup.exe
    del %windir%\system\Logo1_.exe
    del %windir%\rundl132.exe
    del %windir%\vDll.dll
    del %windir%\Dll.dll
    del %windir%\0Sy.exe
    del %windir%\1Sy.exe
    del %windir%\2Sy.exe
    del %windir%\3Sy.exe
    del %windir%\5Sy.exe
    del %windir%\1.com
    @echo 清除完毕，请用其他工具查杀受感染的文件 。

    做到这里基本上完成了，接下来我们来运行超级巡警以便查杀受感染的文件。建议从新从网络上下载或从新用关盘安装，因为可能被熊猫烧香感染，运行被感染的文件得要从新以上步骤。点击上面的扫描，点击全面扫描。见到警告就删除。祝你杀毒顺利。好，我们的中级篇到这里就该结束了，请大家期待高级篇…

    [攻防手记]菜鸟也手动杀毒之初级篇
    http://safe.it168.com/ss/2008-01-10/200801100959437.shtml