关于手工清除熊猫烧香病毒及如何预防

星期六 , 20, 1月 2007 4 Comments

  今天到办公室加班,一到办公室,就去紧急支援一位同事,她的电脑中了“熊猫烧香”病毒。一看她的电脑,显著的特征就是在E盘里有一个setup.exe的文件,图标就是一个熊猫。而且关闭了杀毒软件,许多文件也都打不开了。我给她用专杀工具处理了一下。
  尔后回到办公室,在办公室的其它人也说他们也发现了熊猫……有一台电脑甚至检查出三四百个被感染的文件。我建议他们尽快把数据备份好之后,重新格式化,安装系统。
  我原来用来装熊猫烧香专杀工具的U盘,在给他们使用后,拿回来,在我的电脑上也被检出所有的可执行文件均被感染。NOD32报警的很及时。于是也只好格式化了U盘,这下才放心。
  那么什么是熊猫烧香病毒?如何手工清除熊猫病毒及如何预防?
  以下资料均为网上搜索得到,未证实真实性,请有用到的慎重操作。

  专杀工具:360安全论坛选择下载,里面各种各样的专杀工具很多。或者这里也有:中国安全信息网

  另外,据说惊现熊猫烧香真人版!!!!

  病毒简介
  病毒中文名:熊猫烧香 尼姆亚变种
  病毒类型:蠕虫 
  危险级别:★★★★★ 
  影响平台:Win 9x/ME,Win 2000/NT,Win XP,Win 2003 
  病毒描述: 
  “熊猫烧香”其实是一种蠕虫病毒的变种,而且是经过多次变种而来的。尼姆亚变种W(Worm.Nimaya.w),由于中毒电脑的可执行文件会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒。用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时,该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用。它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
  病毒运作:
  1:拷贝文件 
  病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe 
  2:添加注册表自启动 
  病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe 
  3:病毒行为 
  a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序: 
QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword 
  并使用的键盘映射的方法关闭安全软件IceSword 
  添加注册表使自己自启动 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe 
  并中止系统中以下的进程: 
Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe 
  b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享 
  c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享 
  d:每隔6秒删除安全软件在注册表中的键值,并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00 
  删除以下服务: 
navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc 
  e:感染文件 
  病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部,并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件: 
WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone 
  g:删除文件 
  病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。

  如何消灭熊猫?

  一、手工杀毒
  1,拔掉网线。
  2,结束进程
  用杀进程工具杀掉进程F*U*Jacks.exe、setup.exe、spoclsv.exe(非打印文件服务名spooclsv.exe)有的话全部杀掉。由于windows任务管理器,和Icdsword被禁用最好使用其他杀进程工具或者键入CMD进dos后键入命令 ntsd -c q -p (以上三进程的pid),进程pid可以在dos下键入命令tasklist查看。
  3,删除文件
  在本地计算机上搜索并删除以下病毒执行文件:
分区根目录下:setup.exe、autorun.inf(这个本身不是病毒,但它的存在是为了双击磁盘自动调用病毒程序,建议删了吧)
%System%\F*U*jacks.exe;%System%\Drivers\spoclsv.exe
  4,删除修改注册表项。开始-->运行—>输入regedit,确定后,打开注册表编辑器,删除病毒创建的启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"F*U*Jacks"="%System%\F*U*Jacks.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svohost"="%System%\F*U*Jacks.exe"
  浏览到[HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL],单击右键,点新建——Dword值——命名为CheckedValue(如果已经有,可以删除后重建),修改它的键值为1,为十六进制,按确定后,退出注册表编辑器。
  5,最后修复或重装杀毒软件。据说最新的金山已经对熊猫病毒免疫了。也可以到http://www.xiongmaoshaoxiang.com网站下载专杀工具继续查杀。

  二、预防措施

  由于熊猫病毒变种较多最好的措施是预
防。应该如何防范“熊猫烧香”病毒的攻击?专家建议:

  第一、安装杀毒软件,并在上网时打开网页实时监控。
  第二、网站管理员应该更改机器密码,放弃使用弱口令密码,及空密码使用较复杂的字母数字结合密码,以防止病毒通过局域网传播。
  第三、打开组策略gpedit.msc,浏览到计算机配置,管理模板,系统,在右边的窗格中选择关闭自动播放,该配置缺省是未配置,在下拉框中选择所有驱动器,再选取已启用,确定后关闭。最后,在开始,运行中输入gpupdate,确定后,该策略就生效了。
  第四、修改文件夹选项,以查看不明文件的真实属性,避免无意双击骗子程序中毒。
  步骤:打开资源管理器(按windows徽标键+E),点工具菜单下文件夹选项,再点查看,在高级设置中,选择查看所有文件,取消隐藏受保护的操作系统文件,取消隐藏文件扩展名。
  第五、时刻保持操作系统获得最新的安全更新。该病毒会利用IE浏览器的漏洞进行攻击,因此用户应该给IE打好所有的补丁。如果必要的话,用户可以暂时换用Firefox、Opera等比较安全的浏览器。QQ、UC的漏洞已经被该病毒利用,用户应该去他们的官方网站打好最新补丁。
  第六、启用windows防火墙保护本地计算机。

  三.批处理删除此病毒

  以下是网上某位高手自写的批处理程序。可把以下代码保存到一文本,再把后缀改为.bat(批处理程序)运行试下吧,我在自己干净的机器上试了下,它会把所有的setup.exe文件删除,建议在使用前把所有的安装文件备份。
taskkill /im spoclsv.exe /f 
taskkill /im spoolsv.exe /f 
taskkill /im devgt.exe /f 
taskkill /im iexpl0re.EXE /f 
taskkill /im SVCHQST.EXE /f 
taskkill /im iexplore.exe /f 
taskkill /im iexplore.exe /f 
taskkill /im iexplore.exe /f 
taskkill /im iexplore.exe /f 
taskkill /im iexplore.exe /f 
taskkill /im iexplore.exe /f 
taskkill /im iexplore.exe /f 
taskkill /im iexplore.exe /f 
taskkill /im iexplore.exe /f 
taskkill /im devgt.exe /f 
taskkill /im spoolsv.exe /f 
taskkill /im iedw.exe /f 
taskkill /im svohost.exe /f 
taskkill /im sxs.exe /f 
rd /s /q C:\WINDOWS\system32\spool 
cd 
c: 
attrib nvlib.def -a -h -s 
del /s /q /f nvlib.defe 
attrib iedw.exe -a -h -s 
del /s /q /f iedw.exe 
attrib setup.exe -a -h -s 
del /s /q /f setup.exe 
attrib autorun.inf -a -h -s 
del /s /q /f autorun.inf 
attrib lccxga.exe -a -h -s 
del /s /q /f lccxga.exe 
attrib sxs.exe -a -h -s 
del /s /q /f sxs.exe 
attrib iexpl0re.EXE -a -h -s 
del /s /q /f iexpl0re.EXE 
attrib SVCHQST.EXE -a -h -s 
del /s /q /f SVCHQST.EXE 
attrib psinthk.dll -a -h -s 
del /s /q /f psinthk.dll 
attrib spoclsv.exe -a -h -s 
del /s /q /f spoclsv.exe 
attrib rmincon.exe -a -h -s 
del /s /q /f rmincon.exe 
attrib a.bat -a -h -s 
del /s /q /f a.bat 
attrib mh.exe -a -h -s 
del /s /q /f mh.exe 
attrib spoolsv.exe -a -h -s 
del /s /q /f spoolsv.exe 
D: 
attrib setup.exe -a -h -s 
del /s /q /f setup.exe 
attrib autorun.inf -a -h -s 
del /s /q /f autorun.inf 
attrib lccxga.exe -a -h -s 
del /s /q /f lccxga.exe 
attrib sxs.exe -a -h -s 
del /s /q /f sxs.exe 
attrib iexpl0re.EXE -a -h -s 
del /s /q /f iexpl0re.EXE 
attrib SVCHQST.EXE -a -h -s 
del /s /q /f SVCHQST.EXE 
attrib iexplore.exe -a -h -s 
del /s /q /f iexplore.exe 
attrib psinthk.dll -a -h -s 
del /s /q /f psinthk.dll 
attrib spoclsv.exe -a -h -s 
del /s /q /f spoclsv.exe 
attrib rmincon.exe -a -h -s 
del /s /q /f rmincon.exe 
attrib a.bat -a -h -s 
del /s /q /f a.bat 
attrib mh.exe -a -h -s 
del /s /q /f mh.exe 
E: 
attrib setup.exe -a -h -s 
del /s /q /f setup.exe 
attrib autorun.inf -a -h -s 
del /s /q /f autorun.inf 
attrib lccxga.exe -a -h -s 
del /s /q /f lccxga.exe 
attrib sxs.exe -a -h -s 
del /s /q /f sxs.exe 
attrib iexpl0re.EXE -a -h -s 
del /s /q /f iexpl0re.EXE 
attrib SVCHQST.EXE -a -h -s 
del /s /q /f SVCHQST.EXE 
attrib iexplore.exe -a -h -s 
del /s /q /f iexplore.exe 
attrib psinthk.dll -a -h -s 
del /s /q /f psinthk.dll 
attrib spoclsv.exe -a -h -s 
del /s /q /f spoclsv.exe 
attrib rmincon.exe -a -h -s 
del /s /q /f rmincon.exe 
attrib a.bat -a -h -s 
del /s /q /f a.bat 
attrib mh.exe -a -h -s 
del /s /q /f mh.exe 
F: 
attrib setup.exe -a -h -s 
del /s /q /f setup.exe 
attrib autorun.inf -a -h -s 
del /s /q /f autorun.inf 
attrib lccxga.exe -a -h -s 
del /s /q /f lccxga.exe 
attrib sxs.exe -a -h -s 
del /s /q /f sxs.exe 
attrib iexpl0re.EXE -a -h -s 
del /s /q /f iexpl0re.EXE 
attrib SVCHQST.EXE -a -h -s 
del /s /q /f SVCHQST.EXE 
attrib iexplore.exe -a -h -s 
del /s /q /f iexplore.exe 
attrib psinthk.dll -a -h -s 
del /s /q /f psinthk.dll 
attrib spoclsv.exe -a -h -s 
del /s /q /f spoclsv.exe 
attrib rmincon.exe&
nbsp;-a -h -s 
del /s /q /f rmincon.exe 
attrib a.bat -a -h -s 
del /s /q /f a.bat 
attrib mh.exe -a -h -s 
del /s /q /f mh.exe 
G: 
attrib setup.exe -a -h -s 
del /s /q /f setup.exe 
attrib autorun.inf -a -h -s 
del /s /q /f autorun.inf 
attrib lccxga.exe -a -h -s 
del /s /q /f lccxga.exe 
attrib sxs.exe -a -h -s 
del /s /q /f sxs.exe 
attrib iexpl0re.EXE -a -h -s 
del /s /q /f iexpl0re.EXE 
attrib SVCHQST.EXE -a -h -s 
del /s /q /f SVCHQST.EXE 
attrib iexplore.exe -a -h -s 
del /s /q /f iexplore.exe 
attrib psinthk.dll -a -h -s 
del /s /q /f psinthk.dll 
attrib spoclsv.exe -a -h -s 
del /s /q /f spoclsv.exe 
attrib rmincon.exe -a -h -s 
del /s /q /f rmincon.exe 
attrib a.bat -a -h -s 
del /s /q /f a.bat 
attrib mh.exe -a -h -s 
del /s /q /f mh.exe 

运行完以后千万别重启。把以下项导入注册表才能完全清除。 
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 
Windows Registry Editor Version 5.00 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] 
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" 
"Text"="@shell32.dll,-30500" 
"Type"="radio" 
"CheckedValue"=dword:00000001 
"ValueName"="Hidden" 
"DefaultValue"=dword:00000002 
"HKeyRoot"=dword:80000001 
"HelpID"="shell.hlp#51105" 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 
"ctfmon.exe"=- 
"svcshare"=- 
"myZt3"=- 
"myMh2"=- 
"SVOHOST.exe"=- 
"sxs.exe"=- 
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] 
"DebugOptions"="2048" 
"Documents"="" 
"DosPrint"="no" 
"load"=- 
"NetMessage"="no" 
"NullPort"="None" 
"Programs"="com exe bat pif cmd" 
"Device"=""

4 thoughts on “ : 关于手工清除熊猫烧香病毒及如何预防”
  • karl说道:

    病毒行为中为什么没有第"f"项啊??

  • likk说道:

    疏忽了,确实没有。

  • Washun说道:

    现在看见那个熊猫的样子 心里就打颤 我倒是没中过
    你这个评论就不要给访客显示"删除"了吧

  • 幺幺说道:

    熊猫很可爱啊,改天U盘借我用下,:)

  • Please give us your valuable comment

    邮箱地址不会被公开。 必填项已用*标注

    此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据