jusodl.exe OSo.exe severe.exe conime.exe 熊貓燒香最新變種
熊貓燒香新變種的病毒特征如下：

1、系統(tǒng)時(shí)間總是固定到某年某月某天 如2004年1月22日
2、不能更改 顯示隱藏所有文件和文件夾 選項(xiàng)無(wú)法顯示隱藏的系統(tǒng)文件
3、雙擊硬盤速度明顯變慢 或者彈出選擇打開(kāi)方式
4、打不開(kāi)殺毒軟件
5、打不開(kāi)任務(wù)管理器
6、安全模式也無(wú)法結(jié)束(綁架了winlogon)
7、無(wú)法打開(kāi)應(yīng)用程序 office文檔等

解決辦法

諾頓2006年2月6日的病毒定義 仍不能檢測(cè)到該病毒！

以下為U盤上的病毒樣本 如下圖 切記！碰到此類情況不要點(diǎn)擊如果已經(jīng)發(fā)現(xiàn)感染 更不要盲目的重裝系統(tǒng) 重做系統(tǒng)沒(méi)有用的都不是第一天玩小熊貓了吧 不過(guò)這回是個(gè)美女 不過(guò)我這樣的 很少上當(dāng)嘿嘿

重要提示：

1、本文操作全程在”安全模式下“進(jìn)行（其實(shí)正常模式也一樣但還是斷網(wǎng)吧）；
2、不要在殺毒過(guò)程中插入軟盤 U盤 移動(dòng)硬盤 Mp3 等移動(dòng)設(shè)備
3、本次殺毒過(guò)程中不要雙擊硬盤分區(qū) 如C D E盤 通過(guò)右鍵 ---選擇 打開(kāi)來(lái)打開(kāi)硬盤分區(qū)
4、不要盲目的重裝系統(tǒng) 重裝系統(tǒng)解決不了任何問(wèn)題。
5、開(kāi)始---運(yùn)行---輸入 gpedit.msc 確定

按如下操作提示 關(guān)閉自動(dòng)運(yùn)行

計(jì)算機(jī)中毒初期：不會(huì)有很明顯的癥狀 打開(kāi)硬盤分區(qū)特別慢！幾秒鐘之后幾乎所有的程序都打不開(kāi)了
特別是在運(yùn)行其中一個(gè)exe后 情況變得很糟糕：諾頓無(wú)法檢測(cè)到病毒打不開(kāi)進(jìn)程管理器 打不開(kāi)諾頓（安全模式一樣）打不開(kāi)很多東西！無(wú)法正常使用

如果你什么都打不開(kāi)了可以使用Autoruns這個(gè)小程序可以打開(kāi)注冊(cè)表

autoruns.rar 點(diǎn)擊下載此文件

用autoruns發(fā)現(xiàn)不明進(jìn)程：無(wú)法結(jié)束

jusodl c:\windows\system32\severe.exe
pnvifj c:\windows\system32\jusodl.exe
severe.exe C:\WINDOWS\system32\severe.exe
conime.exe C:\WINDOWS\system32\drivers\conime.exe
c:\windows\system32\drivers\pnvifj.exe

第一步 注冊(cè)表清理

大家注意 這幾個(gè)進(jìn)程聯(lián)合作用 但最主要的就是干掉最根本的進(jìn)程用autoruns.exe(病毒沒(méi)有理會(huì)這個(gè)軟件)檢查你就會(huì)發(fā)現(xiàn)這幾個(gè)進(jìn)程是互相作用的由conime.exe綁架winlogon 所以只要你啟動(dòng)計(jì)算機(jī)就會(huì)啟動(dòng)病毒，首先找到conime.exe jusodl.exe 直接按Delete鍵。

然后打開(kāi)autoruns上[映像劫持] 你就會(huì)發(fā)現(xiàn)包括360在內(nèi)的流行殺毒軟件都被劫持（奇怪~） 把所有的都劫持都刪除留下 Your Image File Name Here without a pathSymbolic Debugger for Windows Microsoft Corporation c:\windows\system32\ntsd.exe 這個(gè)是微軟的

除了這個(gè)ntsd.exe全干掉~(yú)不然你打開(kāi)這些軟件 其實(shí)打開(kāi)的是病毒而已所以 你也打不開(kāi)這些軟件 只要這些劫持在 病毒是殺不干凈的
找到{啟動(dòng)執(zhí)行}刪除如下的2個(gè)啟動(dòng)項(xiàng) severe.exe和jusodl.exe 刪

安全衛(wèi)士可以打開(kāi)了 而且也可以暫時(shí)的上一下網(wǎng)但我估計(jì)很快就又被劫持

因?yàn)槲移糜冒踩l(wèi)士操作方便直觀 所以執(zhí)行到這里注冊(cè)表清理實(shí)在是不直觀 直接用安全衛(wèi)士（感覺(jué)像在做廣告其實(shí)我很鄙視這軟件商但這個(gè)軟件確實(shí)還好用）選中如下的勾勾~往下拉還有很多然后點(diǎn)下方的修復(fù)選中項(xiàng)

使用安全衛(wèi)士的系統(tǒng)全面診斷 掃描完成后將需要?jiǎng)h除的項(xiàng)目選中 本例中諸如如下字符串的全部選中修復(fù)
jusodl
pnvifj
severe.exe
jusodl.exe
CTMONTv.exe
修復(fù)hosts文件

注冊(cè)表清理完畢

注意：用安全衛(wèi)士修復(fù)時(shí) 安全衛(wèi)士會(huì)修復(fù)注冊(cè)表并刪除該文件但是要注意的是 病毒很容易會(huì)又被創(chuàng)建，殺毒過(guò)程中時(shí)應(yīng)時(shí)刻注意使用衛(wèi)士掃描系統(tǒng)

第二步 顯示隱藏的病毒文件

但是病毒還在我們的機(jī)器里 繼續(xù)下面的操作，打開(kāi)注冊(cè)表編輯器
1、開(kāi)始 運(yùn)行 輸入regedit 回車
2、如果打不開(kāi)就找到regedit.exe改為regedit.com或者找symantec工具去修復(fù)
3、注意 不要隨便就重新啟動(dòng)計(jì)算機(jī)否則極有可能你上面的工作都白做了
4、接步驟1進(jìn)行如下操作 找到如下路徑

找到如下注冊(cè)表路徑：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
刪除右邊的Checked 新建DWORD值 數(shù)值改成1
注意：如果操作不當(dāng) 又釋放了病毒 注冊(cè)表會(huì)被改回去

第三步：刪除硬盤上的病毒文件
注意殺毒不要雙擊任何硬盤 尤其是U盤和活動(dòng)硬盤！！
強(qiáng)烈建議使用dos命令刪除
如果你發(fā)現(xiàn)刪完還會(huì)自己生成 請(qǐng)退回步驟1注冊(cè)表檢查 Driver底下的優(yōu)先刪除
c:\windows\system32\drivers\pnvifj.exe （先刪這個(gè) 這個(gè)是關(guān)鍵切斷來(lái)源）
C:\WINDOWS\system32\drivers\CTMONTv.exe
C:\WINDOWS\system32\jusodl.dll（刪除這個(gè)）
C:\WINDOWS\system32\drivers\conime.exe（再刪這個(gè)）
c:\windows\system32\severe.exe（如果沒(méi)錯(cuò)的話 這時(shí)候使用衛(wèi)士衛(wèi)士會(huì)幫你干掉下面2個(gè)）
c:\windows\system32\jusodl.exe
（手動(dòng)刪除）

注意：
刪除完畢后 使用衛(wèi)士再掃描一遍 然后再小心清理移動(dòng)設(shè)備上的文件反復(fù)多次 注意一定要確認(rèn) 不再產(chǎn)生了再重新啟動(dòng)

右鍵打開(kāi)CEDF每個(gè)硬盤檢查一便 刪除autorun.inf 、OSO.exe、Setup.exe 當(dāng)然還有那個(gè)美女游戲的dos快捷方式！如果提示操作失敗 快回頭看看吧 還是那句話 操作要小心翼翼

修復(fù)系統(tǒng)：
雙擊打不開(kāi)硬盤分區(qū)開(kāi)始-運(yùn)行 輸入regedit 找到[HKEY_CLASSES_ROOT\Drive\shell]將shell下的全部刪除然后關(guān)閉注冊(cè)表 再打不開(kāi)還有一種可能就是 就是我也不知道重新啟動(dòng)一切就ok了
修復(fù)Office ：重新運(yùn)行Office安裝程序 修復(fù)即可