比较完整的熊猫烧香解决方案

“熊猫烧香”病毒无疑成了近期互联网最热门的关键字了，网上也能找到很多个有关熊猫烧香病毒的解决办法，这些方法都显得不尽完美，再加上熊猫的变种很多，有效性就更加大打折扣了。金山毒霸反病毒专家为广大感染熊猫烧香的用户提供了一个相对完整的解决方案供大家参考。

病毒名：

中文：熊猫烧香病毒（又称武汉男生）

英文：Worm.WhBoy

目前发现的变种数已超过50个

典型表现：

感染病毒后发现较多的.EXE文件图标变成点着香的熊猫，这也是该病毒命名的由来。现在发现的部分变种已经不再使用这个广为人知的图标了。部分变种可以直接通过互联网更新版本，部分变种可以感染htm、html、asp、php、jsp、aspx等网页格式文件。一段web服务器被感染，将意味着所有浏览这些网页的计算机可能会自动下载并感染上熊猫烧香病毒。

该系列变种会释放以下几个典型文件

分区根目录下：setup.exe、autorun.inf、%System%\Fuckjacks.exe、%System%\Drivers\
spoclsv.exe

局域网环境下：GameSetup.exe

病毒行为：

1、删除常用杀毒软件在注册表中的启动项或服务，终止杀毒软件的进程，几乎涉及目前所有杀毒软件

2、终止部分安全辅助工具的进程，如IceSword，任务管理器taskmon。

3、终止维金的相关进程Logo1_.exe、Logo_1.exe、Rundl123.exe。

4、弱口令破解局域网其他电脑的Administror帐号，并用GameSetup.exe进行复制传播。

5、修改注册表键值，导致不能查看隐藏文件和系统文件。

6、除C盘如下目录外，病毒会尝试破坏其它分区下的部分.exe、.com、.gho、.pif、.scr文件，病毒不会去感染以下目录中的文件（给我们解决此病毒留下机会了，请看下文中的有关描述）。

WINDOW，Winnt，System Volume Information，Recycled，
Windows NT，Windows Update，Windows MediaP，Outlook Express，Internet
Explorer，NetMeeting，Common Files，ComPlus Applications，Messenger，
InstallShield Installation Information，MSN，Microsoft Frontpage，
MovieMaker，MSN GaminZone

7、病毒会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。

解决办法：

1、首选专杀工具

专杀工具是效能最好的方案，能处理已知变种，缺点是有新变种后，专杀也需要更新。推荐去[url]www.xiongmaoshaoxiang.com[/url]下载专杀。

2、在线杀毒

因为熊猫烧香病毒的特殊性，杀毒软件本身可能会被感染，病毒还会尝试结束杀毒软件进程和服务，但病毒不感染IE浏览器，用浏览器加载在线杀毒控件来清除病毒可以收到奇效。已经中招的，可以去shadu.duba.net试试。

3、重启系统到带网络连接的安全模式，升级杀毒软件后杀毒。可单击开始，运行，输入msconfig，打开系统配置实用程序，点击BOOT.INI标签，作如图修改，重启即可进入带网络连接的安全模式。

4、手工清除

因为熊猫烧香病毒是感染型的病毒，手工清除相当麻烦，网友公布的手工清除方案只能手工结束病毒进程，一段运行了感染过熊猫烧香病毒的程序，还会再中招。以下简单介绍手工结束病毒进程，修复注册表项的步骤：

a.断开网络，禁用网卡或拔掉网线就行；

b.结束病毒进程，因为任务管理器、IcdSword已无法运行，已感染病毒的机器上很难实现。建议去[url]http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/[/url]
ProcessExplorer.mspx下载一个Process Explorer备用，郁闷的是光缆没修好，官网下载速度巨慢。可以百度一下，到新浪、华军、天空去下载。如果在进程中发现FuckJacks.exe、setup.exe、spoclsv.exe（注意和正常的打印服务就差一个字母，打印服务文件名为spoolsv.exe），就用这个工具结束掉。

c.在本地计算机上搜索并删除以下病毒执行文件：

分区根目录下：setup.exe、autorun.inf（这个本身不是病毒，但它的存在是为了双击磁盘自动调用病毒程序，建议删了吧）

%System%\Fuckjacks.exe；%System%
\Drivers\spoclsv.exe

局域网环境下：GameSetup.exe

d. 开始-->运行—>输入regedit，确定后，打开注册表编辑器，删除病毒创建的启动项：

[HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Run]
"FuckJacks"="%System%＼FuckJacks.exe
[HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run]
"svohost"="%System%＼FuckJacks.exe"

浏览到

［HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\
Folder\Hidden\SHOWALL］

，单击右键，点新建——Dword值——命名为CheckedValue（如果已经有，可以删除后重建），修改它的键值为1,为十六进制，按确定后，退出注册表编辑器。以恢复文件夹选项中的“显示所有隐藏文件”和“显示系统文件”

e.修复或重新安装反病毒软件，以恢复被病毒删除的注册键值，恢复杀毒软件的功能。

f.最后，还是要更新反病毒软件全盘扫描，把感染的EXE程序、网页格式的文件修复。特别提醒网页编辑，一定要保护好自己编辑的Web文档，保护好自己的Web服务器，如果发现网站上传文件带毒，应该及时删除，重新上传。

熊猫烧香比较方案

微博 QQ 微信

上一篇：警惕！2007年网络***十大手段下一篇：中国***联盟宣言

zhangminglei

34篇文章，6W+人气，0粉丝

Ctrl+Enter 发布

发布

取消

2条评论

按时间倒序按时间正序

猜你喜欢

我的友情链接回眸2009 展望2010 Java线程：线程的调度-休眠用光影魔术手制作一寸照片（8张一寸） Linux关闭休眠和屏保模式 Windows7删除休眠文件hiberfil.sys节省大量C盘空间康熙对容妃的最后的心里话《一位IT退休老兵的感言、工作、生活、前途、选择》加入域时遇到“找不到网络路径”错误解决办法汇总史上最全：怎样买到最便宜的机票超级实用篇易都市三维城市地图网址新东方王强经典语录 Windows 10 "升"与"不升"之我见 Windows server 2016 搭建RDS服务 kubernetes 存储卷与数据持久化 Windows 设置 VMware workstation 虚拟机开机启动漫谈 Windows Server 管理工具如何在Windows中批量创建VMware的虚拟机解决asp.net负载均衡时Session共享的问题中小企业2018-2020年信息化环境运维及安全建议

扫一扫,领取大礼包

zhangminglei

转载于:https://blog.51cto.com/104209/16376