熊猫烧香病毒现象及处理方法.docx

在动手查杀熊猫烧香病毒之前，强烈建议先注意以下四点：　　1.本文包含两种熊猫烧香病毒变种的描述，请注意查看病毒症状，根据实际情况选用不同的查杀方法。　　2.对于被熊猫烧香病毒感染的.exe可执行文件，推荐先备份，再修复！　　3.找回被熊猫烧香病毒删除的ghost(.gho)文件，详情请见文中！　　4.对计算机了解不多的用户，请在专家指导下清除熊猫烧香病毒。熊猫烧香病毒变种一：病毒进程为“spoclsv.exe”　　这是“熊猫烧香”早期变种之一，特别之处是“杀死杀毒软件”，最恶劣之处在于感染全盘.exe文件和删除.gho文件（Ghost的镜像文件）。　　最有“灵感”的一招莫过于在所有htm/html/asp/php/jsp/aspx文件末尾添加一段代码来调用病毒。目前所有专杀工具及杀毒软件均不会修复此病毒行为。需要手动清除病毒添加的代码，且一定要清除。否则访问了有此代码的网页，又会感染。其他老一点的“熊猫烧香”spoclsv变种的病毒行为比此版本少。就不再单独列出。病毒描述：　　“武汉男生”，俗称“熊猫烧香”，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，（.gho为GHOST的备份文件），使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。　以下是熊猫烧香病毒详细行为和解决办法：熊猫烧香病毒详细行为：1.?????? 复制自身到系统目录下：　　%System%/drivers/spoclsv.exe（“%System%”代表Windows所在目录，比如：C:/Windows）不同的spoclsv.exe变种，此目录可不同。比如12月爆发的变种目录是：C:/WINDOWS/System32/Drivers/spoclsv.exe。2.?????? 创建启动项：　　[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]　　svcshare=%System%/drivers/spoclsv.exe3.?????? 在各分区根目录生成病毒副本：　　X:/setup.exe　　X:/autorun.inf　　autorun.inf内容：　　[AutoRun]　　OPEN=setup.exe　　shellexecute=setup.exe　　shell/Auto/command=setup.exe4.?????? 使用net share命令关闭管理共享：　　cmd.exe /c net share X$ /del /y　　cmd.exe /c net share admin$ /del /y5.?????? 修改“显示所有文件和文件夹”设置：　　[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion　　/Explorer/Advanced/Folder/Hidden/SHOWALL]　　CheckedValue=dword:000000006.?????? 熊猫烧香病毒尝试关闭安全软件相关窗口：　　天网　　防火墙　　进程　　VirusScan　　NOD32　　网镖　　杀毒　　毒霸　　瑞星　　江民　　黄山IE　　超级兔子　　优化大师　　木马清道夫　　　QQ病毒　　注册表编辑器　　系统配置实用程序　　卡巴斯基反病毒　　Symantec AntiVirus　　Duba　　Windows 任务管理器　　esteem procs　　绿鹰PC　　密码防盗　　噬菌体　　木马辅助查找器　　System Safety Monitor　　Wrapped gift Killer　　Winsock Expert　　游戏木马检测大师　　超级巡警　　msctls_statusbar32　　pjf(ustc)　　IceSword7.?????? 尝试结束安全软件相关进程以及Viking病毒（威金病毒）进程：　　Mcshield.exe　　VsTskMgr.exe　　naPrdMgr.exe　　UpdaterUI.exe　　TBMon.exe　　scan32.exe　　Ravmond.exe　　CCenter.exe　　RavTask.exe　　Rav.exe　　Ravmon.exe　　RavmonD.exe　　RavStub.exe　　KVXP.kxp　　KvMonXP.kxp　　KVCenter.kxp　　KVSrvXP.exe　　KRegEx.exe　　UIHost.exe　　TrojDie.kxp　　FrogAgent.exe　　Logo1_.exe　　Logo_1