水边树木笔记

　　今天到办公室加班，一到办公室，就去紧急支援一位同事，她的电脑中了“熊猫烧香”病毒。一看她的电脑，显著的特征就是在E盘里有一个setup.exe的文件，图标就是一个熊猫。而且关闭了杀毒软件，许多文件也都打不开了。我给她用专杀工具处理了一下。
　　尔后回到办公室，在办公室的其它人也说他们也发现了熊猫......有一台电脑甚至检查出三四百个被感染的文件。我建议他们尽快把数据备份好之后，重新格式化，安装系统。
　　我原来用来装熊猫烧香专杀工具的U盘，在给他们使用后，拿回来，在我的电脑上也被检出所有的可执行文件均被感染。NOD32报警的很及时。于是也只好格式化了U盘，这下才放心。
　　那么什么是熊猫烧香病毒？如何手工清除熊猫病毒及如何预防？
　　以下资料均为网上搜索得到，未证实真实性，请有用到的慎重操作。

　　专杀工具：360安全论坛选择下载，里面各种各样的专杀工具很多。或者这里也有：中国安全信息网。

　　另外，据说惊现熊猫烧香真人版！！！！

　　病毒简介
　　病毒中文名：熊猫烧香 尼姆亚变种
　　病毒类型：蠕虫 
　　危险级别：★★★★★ 
　　影响平台：Win 9x/ME,Win 2000/NT,Win XP,Win 2003 
　　病毒描述： 
　　“熊猫烧香”其实是一种蠕虫病毒的变种，而且是经过多次变种而来的。尼姆亚变种W(Worm.Nimaya.w)，由于中毒电脑的可执行文件会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用。它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
　　病毒运作：
　　1:拷贝文件 
　　病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe 
　　2:添加注册表自启动 
　　病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe 
　　3:病毒行为 
　　a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序： 
QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword 
　　并使用的键盘映射的方法关闭安全软件IceSword 
　　添加注册表使自己自启动 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe 
　　并中止系统中以下的进程: 
Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe 
　　b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$共享 
　　c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$共享 
　　d:每隔6秒删除安全软件在注册表中的键值，并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00 
　　删除以下服务: 
navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc 
　　e:感染文件 
　　病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部，并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址，用户一但打开了该文件，IE就会不断的在后台点击写入的网址，达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件： 
WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone 
　　g:删除文件 
　　病毒会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。

　　如何消灭熊猫？

　　一、手工杀毒
　　1，拔掉网线。
　　2，结束进程
　　用杀进程工具杀掉进程F*U*Jacks.exe、setup.exe、spoclsv.exe(非打印文件服务名spooclsv.exe)有的话全部杀掉。由于windows任务管理器，和Icdsword被禁用最好使用其他杀进程工具或者键入CMD进dos后键入命令 ntsd -c q -p (以上三进程的pid)，进程pid可以在dos下键入命令tasklist查看。
　　3，删除文件
　　在本地计算机上搜索并删除以下病毒执行文件：
分区根目录下：setup.exe、autorun.inf（这个本身不是病毒，但它的存在是为了双击磁盘自动调用病毒程序，建议删了吧）
%System%\F*U*jacks.exe；%System%\Drivers\spoclsv.exe
　　4，删除修改注册表项。开始-->运行—>输入regedit，确定后，打开注册表编辑器，删除病毒创建的启动项：
[HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Run]
"F*U*Jacks"="%System%＼F*U*Jacks.exe
[HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run]
"svohost"="%System%＼F*U*Jacks.exe"
　　浏览到［HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL］，单击右键，点新建——Dword值——命名为CheckedValue（如果已经有，可以删除后重建），修改它的键值为1,为十六进制，按确定后，退出注册表编辑器。
　　5，最后修复或重装杀毒软件。据说最新的金山已经对熊猫病毒免疫了。也可以到http://www.xiongmaoshaoxiang.com网站下载专杀工具继续查杀。

　　二、预防措施

　　由于熊猫病毒变种较多最好的措施是预防。应该如何防范“熊猫烧香”病毒的攻击？专家建议：

　　第一、安装杀毒软件，并在上网时打开网页实时监控。
　　第二、网站管理员应该更改机器密码，放弃使用弱口令密码，及空密码使用较复杂的字母数字结合密码，以防止病毒通过局域网传播。
　　第三、打开组策略gpedit.msc，浏览到计算机配置，管理模板，系统，在右边的窗格中选择关闭自动播放，该配置缺省是未配置，在下拉框中选择所有驱动器，再选取已启用，确定后关闭。最后，在开始，运行中输入gpupdate，确定后，该策略就生效了。
　　第四、修改文件夹选项，以查看不明文件的真实属性，避免无意双击骗子程序中毒。
　　步骤：打开资源管理器（按windows徽标键＋E），点工具菜单下文件夹选项，再点查看，在高级设置中，选择查看所有文件，取消隐藏受保护的操作系统文件，取消隐藏文件扩展名。
　　第五、时刻保持操作系统获得最新的安全更新。该病毒会利用IE浏览器的漏洞进行攻击，因此用户应该给IE打好所有的补丁。如果必要的话，用户可以暂时换用Firefox、Opera等比较安全的浏览器。QQ、UC的漏洞已经被该病毒利用，用户应该去他们的官方网站打好最新补丁。
　　第六、启用windows防火墙保护本地计算机。

　　三.批处理删除此病毒

　　以下是网上某位高手自写的批处理程序。可把以下代码保存到一文本，再把后缀改为.bat（批处理程序）运行试下吧，我在自己干净的机器上试了下，它会把所有的setup.exe文件删除，建议在使用前把所有的安装文件备份。
taskkill /im spoclsv.exe /f 
taskkill /im spoolsv.exe /f 
taskkill /im devgt.exe /f 
taskkill /im iexpl0re.EXE /f 
taskkill /im SVCHQST.EXE /f 
taskkill /im iexplore.exe /f 
taskkill /im iexplore.exe /f 
taskkill /im iexplore.exe /f 
taskkill /im iexplore.exe /f 
taskkill /im iexplore.exe /f 
taskkill /im iexplore.exe /f 
taskkill /im iexplore.exe /f 
taskkill /im iexplore.exe /f 
taskkill /im iexplore.exe /f 
taskkill /im devgt.exe /f 
taskkill /im spoolsv.exe /f 
taskkill /im iedw.exe /f 
taskkill /im svohost.exe /f 
taskkill /im sxs.exe /f 
rd /s /q C:\WINDOWS\system32\spool 
cd 
c: 
attrib nvlib.def -a -h -s 
del /s /q /f nvlib.defe 
attrib iedw.exe -a -h -s 
del /s /q /f iedw.exe 
attrib setup.exe -a -h -s 
del /s /q /f setup.exe 
attrib autorun.inf -a -h -s 
del /s /q /f autorun.inf 
attrib lccxga.exe -a -h -s 
del /s /q /f lccxga.exe 
attrib sxs.exe -a -h -s 
del /s /q /f sxs.exe 
attrib iexpl0re.EXE -a -h -s 
del /s /q /f iexpl0re.EXE 
attrib SVCHQST.EXE -a -h -s 
del /s /q /f SVCHQST.EXE 
attrib psinthk.dll -a -h -s 
del /s /q /f psinthk.dll 
attrib spoclsv.exe -a -h -s 
del /s /q /f spoclsv.exe 
attrib rmincon.exe -a -h -s 
del /s /q /f rmincon.exe 
attrib a.bat -a -h -s 
del /s /q /f a.bat 
attrib mh.exe -a -h -s 
del /s /q /f mh.exe 
attrib spoolsv.exe -a -h -s 
del /s /q /f spoolsv.exe 
D: 
attrib setup.exe -a -h -s 
del /s /q /f setup.exe 
attrib autorun.inf -a -h -s 
del /s /q /f autorun.inf 
attrib lccxga.exe -a -h -s 
del /s /q /f lccxga.exe 
attrib sxs.exe -a -h -s 
del /s /q /f sxs.exe 
attrib iexpl0re.EXE -a -h -s 
del /s /q /f iexpl0re.EXE 
attrib SVCHQST.EXE -a -h -s 
del /s /q /f SVCHQST.EXE 
attrib iexplore.exe -a -h -s 
del /s /q /f iexplore.exe 
attrib psinthk.dll -a -h -s 
del /s /q /f psinthk.dll 
attrib spoclsv.exe -a -h -s 
del /s /q /f spoclsv.exe 
attrib rmincon.exe -a -h -s 
del /s /q /f rmincon.exe 
attrib a.bat -a -h -s 
del /s /q /f a.bat 
attrib mh.exe -a -h -s 
del /s /q /f mh.exe 
E: 
attrib setup.exe -a -h -s 
del /s /q /f setup.exe 
attrib autorun.inf -a -h -s 
del /s /q /f autorun.inf 
attrib lccxga.exe -a -h -s 
del /s /q /f lccxga.exe 
attrib sxs.exe -a -h -s 
del /s /q /f sxs.exe 
attrib iexpl0re.EXE -a -h -s 
del /s /q /f iexpl0re.EXE 
attrib SVCHQST.EXE -a -h -s 
del /s /q /f SVCHQST.EXE 
attrib iexplore.exe -a -h -s 
del /s /q /f iexplore.exe 
attrib psinthk.dll -a -h -s 
del /s /q /f psinthk.dll 
attrib spoclsv.exe -a -h -s 
del /s /q /f spoclsv.exe 
attrib rmincon.exe -a -h -s 
del /s /q /f rmincon.exe 
attrib a.bat -a -h -s 
del /s /q /f a.bat 
attrib mh.exe -a -h -s 
del /s /q /f mh.exe 
F: 
attrib setup.exe -a -h -s 
del /s /q /f setup.exe 
attrib autorun.inf -a -h -s 
del /s /q /f autorun.inf 
attrib lccxga.exe -a -h -s 
del /s /q /f lccxga.exe 
attrib sxs.exe -a -h -s 
del /s /q /f sxs.exe 
attrib iexpl0re.EXE -a -h -s 
del /s /q /f iexpl0re.EXE 
attrib SVCHQST.EXE -a -h -s 
del /s /q /f SVCHQST.EXE 
attrib iexplore.exe -a -h -s 
del /s /q /f iexplore.exe 
attrib psinthk.dll -a -h -s 
del /s /q /f psinthk.dll 
attrib spoclsv.exe -a -h -s 
del /s /q /f spoclsv.exe 
attrib rmincon.exe -a -h -s 
del /s /q /f rmincon.exe 
attrib a.bat -a -h -s 
del /s /q /f a.bat 
attrib mh.exe -a -h -s 
del /s /q /f mh.exe 
G: 
attrib setup.exe -a -h -s 
del /s /q /f setup.exe 
attrib autorun.inf -a -h -s 
del /s /q /f autorun.inf 
attrib lccxga.exe -a -h -s 
del /s /q /f lccxga.exe 
attrib sxs.exe -a -h -s 
del /s /q /f sxs.exe 
attrib iexpl0re.EXE -a -h -s 
del /s /q /f iexpl0re.EXE 
attrib SVCHQST.EXE -a -h -s 
del /s /q /f SVCHQST.EXE 
attrib iexplore.exe -a -h -s 
del /s /q /f iexplore.exe 
attrib psinthk.dll -a -h -s 
del /s /q /f psinthk.dll 
attrib spoclsv.exe -a -h -s 
del /s /q /f spoclsv.exe 
attrib rmincon.exe -a -h -s 
del /s /q /f rmincon.exe 
attrib a.bat -a -h -s 
del /s /q /f a.bat 
attrib mh.exe -a -h -s 
del /s /q /f mh.exe 

运行完以后千万别重启。把以下项导入注册表才能完全清除。 
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 
Windows Registry Editor Version 5.00 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] 
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" 
"Text"="@shell32.dll,-30500" 
"Type"="radio" 
"CheckedValue"=dword:00000001 
"ValueName"="Hidden" 
"DefaultValue"=dword:00000002 
"HKeyRoot"=dword:80000001 
"HelpID"="shell.hlp#51105" 


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 
"ctfmon.exe"=- 
"svcshare"=- 
"myZt3"=- 
"myMh2"=- 
"SVOHOST.exe"=- 
"sxs.exe"=- 
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] 
"DebugOptions"="2048" 
"Documents"="" 
"DosPrint"="no" 
"load"=- 
"NetMessage"="no" 
"NullPort"="None" 
"Programs"="com exe bat pif cmd" 
"Device"=""