“熊猫烧香”病毒终极解决方案 彻底剿杀病毒 LostControl2007-01-26 00:16:31

熊猫烧香病毒无疑成了近期互联网最热门的关键字了，网上也能找到很多个有关熊猫烧香病毒的解决办法，这些方法不尽完美，再加上熊猫的变种很多，有效性要打折扣了。这里提供一个相对完整的方案供大家参考。 　　病毒信息
　　中文名：熊猫烧香病毒（又称武汉男生），英文名（Worm.WhBoy)，目前发现的变种数已超过50个。
　　病毒典型恶劣表现：
　　1．感染病毒后发现较多的EXE文件图标变成点着香的熊猫，这也是该病毒命名的由来，现在发现的部分变种已经不再使用这个广为人知的图标了。
　　2．部分变种可以直接通过互联网更新版本，部分变种感染除.exe文件外，还可以感染htm，html，asp，php，jsp，aspx等网页格式文件。
　　3．一旦web服务器被感染，将意味着所有浏览这些网页的计算机可能会自动下载并感染上熊猫烧香病毒。
　　4．该系列变种会释放以下几个典型文件
　　分区根目录下：

code:setup.exe、autorun.inf、%System%jacks.exe；%System%Driversspoclsv.exe

　　局域网环境下：GameSetup.exe
　　病毒行为：
　　1．删除常用杀毒软件在注册表中的启动项或服务，终止杀毒软件的进程，几乎涉及目前所有杀毒软件
　　2．终止部分安全辅助工具的进程，如IceSword，任务管理器taskmon。
　　3．终止维金的相关进程Logo1_.exe、Logo_1.exe、Rundl123.exe。
　　4．弱口令破解局域网其他电脑的Administror帐号，并用GameSetup.exe进行复制传播。
　　5．修改注册表键值，导致不能查看隐藏文件和系统文件。
　　6．除C盘如下目录外，病毒会尝试破坏其它分区下的部分.exe、.com、.gho、.pif、.scr文件，病毒不会去感染以下目录中的文件（给我们解决此病毒留下机会了，请看下文中的有关描述）。

WINDOW，Winnt，System Volume Information，Recycled，Windows NT， Windows Update，Windows MediaPlayer，Outlook Express，Internet Explorer， NetMeeting，Common Files，ComPlus Applications，Messenger，InstallShieldqM4 Installation Information，MSN，Microsoft Frontpage，MovieMaker，MSN GaminZone。

　　7．病毒会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。
　　解决办法：
　　1.金山毒霸2007（彻底清除+全面免疫)
　　毒霸用户升级病毒库到最新，可完全防止该病毒
　　个人用户：立即升级金山毒霸最新病毒库可处理该病毒 病毒库版本：07.01.19.10
　　企业级用户：立即升级金山毒霸网络版到最新病毒库可处理该病毒 病毒库版本： 2006.08.14
　　使用毒霸2007查杀熊猫烧香的操作方法：
　　第1步：重启系统到带网络连接的安全模式，
　　第2步：升级杀毒软件后杀毒。
　　第3步：可单击开始，运行，输入msconfig，打开系统配置实用程序，点击BOOT.INI标签，
　　第4步：作下图修改，重启即可进入带网络连接的安全模式。

screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';} }" border="0" />

　　2.没有安装毒霸用户（专杀工具+手动清除）
　　（1）首选专杀工具
　　专杀工具是效能最好的方案，能处理已知变种，缺点是有新变种后，专杀也需要更新。推荐去www.xiongmaoshaoxiang.com下载专杀。请重启系统到带网络连接的安全模式下使用专杀工具查杀。
　　（2）在线杀毒
　　因为熊猫烧香病毒的特殊性，杀毒软件本身可能会被感染，病毒还会尝试结束杀毒软件进程和服务，但病毒不感染IE浏览器，用浏览器加载在线杀毒控件来清除病毒可以收到奇效。已经中招的，可以去shadu.duba.net试试。
　　（3）手工清除
　　因为熊猫烧香病毒是感染型的病毒，手工清除相当麻烦，网友公布的手工清除方案只能手工结束病毒进程，一段运行了感染过熊猫烧香病毒的程序，还会再中招。以下简单介绍手工结束病毒进程，修复注册表项的步骤：
　　a.断开网络，禁用网卡或拔掉网线就行；
　　b.结束病毒进程，因为任务管理器、IcdSword已经无法运行，在已感染病毒的机器上很难实现了。建议去http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/下载一个Process Explorer备用，郁闷的是光缆没修好，官网下载速度巨慢。可以百度一下，到新浪、华军、天空去下载。如果在进程中发现Jacks.exe、setup.exe、spoclsv.exe（注意和正常的打印服务就差一个字母，打印服务文件名为spoolsv.exe），就用这个工具结束掉。
　　c.在本地计算机上搜索并删除以下病毒执行文件：
　　分区根目录下：setup.exe、autorun.inf（这个本身不是病毒，但它的存在是为了双击磁盘自动调用病毒程序，建议删了吧）
　　%System%jacks.exe；%System%Driversspoclsv.exe
　　局域网环境下：GameSetup.exe
　　d. 开始-->运行->输入regedit，确定后，打开注册表编辑器，删除病毒创建的启动项：

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun] 　　“Jacks”=“%System%Jacks.exe 　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] 　　“svohost”=“%System%Jacks.exe”

　　浏览到

HKEY_LOCAL_MACHINESoftware \Microsoft\ windows \ CurrentVersion\explorer\Advanced FolderHiddenSHOWALL，

单击右键，点新建--Dword值--命名为CheckedValue（如果已经有，可以删除后重建），修改它的键值为1，为十六进制，按确定后，退出注册表编辑器。以恢复文件夹选项中的“显示所有隐藏文件”和“显示系统文件”
　　e.修复或重新安装反病毒软件，以恢复被病毒删除的注册键值，恢复杀毒软件的功能。
　　f.最后，还是要更新反病毒软件全盘扫描，把感染的EXE程序、网页格式的文件修复。特别提醒网页编辑，一定要保护好自己编辑的Web文档，保护好自己的Web服务器，如果发现网站上传文件带毒，应该及时删除，重新上传。
　　有关该病毒的预防，请参考www.xiongmaoshaoxiang.com上介绍的方法。
转自redou.blog.cfan.com.cn