“熊猫烧香”假慈悲,关于手工清楚熊猫病毒及如何预防!

]“熊猫烧香”假慈悲,关于手工清楚熊猫病毒及如何预防!

以下资料均为网上搜索得到.未证实真实性,请大家慎重操作!

病毒简介

病毒名称：Worm.WhBoy.h
病毒中文名：熊猫烧香(武汉男生)
病毒类型：蠕虫
危险级别：★★
影响平台：Win 9x/ME,Win 2000/NT,Win XP,Win 2003
专杀工具:[url=http://down. www.kingsoft.com/db/download/othertools/DuBaTool_WhBoy.BAT]金山专杀工具[/url]
安天专杀工具
江民专杀工具
病毒描述：
“武汉男生”，俗称“熊猫烧香”，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

1:拷贝文件
病毒运行后,会把自己拷贝到C:/WINDOWS/System32/Drivers/spoclsv.exe
2:添加注册表自启动
病毒会添加自启动项HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run svcshare -> C:/WINDOWS/System32/Drivers/spoclsv.exe
3:病毒行为
a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序：
QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword
并使用的键盘映射的方法关闭安全软件IceSword
添加注册表使自己自启动 HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run svcshare -> C:/WINDOWS/System32/Drivers/spoclsv.exe
并中止系统中以下的进程:
Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe
b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$共享
c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$共享
d:每隔6秒删除安全软件在注册表中的键值
并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL CheckedValue -> 0x00
删除以下服务:
navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc
e:感染文件
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部，并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址，用户一但打开了该文件，IE就会不断的在后台点击写入的网址，达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件：
WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone
g:删除文件
病毒会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。

一、手工杀毒


1，拔掉网线。
2，结束进程
  用杀进程工具杀掉进程F*U*Jacks.exe、setup.exe、spoclsv.exe(非打印文件服务名spooclsv.exe)有的话全部杀掉。由于windows任务管理器，和Icdsword被禁用最好使用其他杀进程工具或者键入CMD进dos后键入命令 ntsd -c q -p (以上三进程的pid)，进程pid可以在dos下键入命令tasklist查看。
3，删除文件
  在本地计算机上搜索并删除以下病毒执行文件：
分区根目录下：setup.exe、autorun.inf（这个本身不是病毒，但它的存在是为了双击磁盘自动调用病毒程序，建议删了吧）
%System%/F*U*jacks.exe；%System%/Drivers/spoclsv.exe

4，删除修改注册表项。开始-->运行—>输入regedit，确定后，打开注册表编辑器，删除病毒创建的启动项：
[HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Run]
"F*U*Jacks"="%System%＼F*U*Jacks.exe
[HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run]
"svohost"="%System%＼F*U*Jacks.exe"
浏览到［HKEY_LOCAL_MACHINE/Software/Microsoft/windows/CurrentVersion/explorer/Advanced/Folder/Hidden/SHOWALL］，单击右键，点新建——Dword值——命名为CheckedValue（如果已经有，可以删除后重建），修改它的键值为1,为十六进制，按确定后，退出注册表编辑器。
5，最后修复或重装杀毒软件据说最新的金山已经对熊猫病毒免疫了。也可以到 http://www.xiongmaoshaoxiang.com网站下载专杀工具继续查杀。


二、预防措施



由于熊猫病毒变种教多最好的措施是预防。
1，更改机器密码放弃使用弱口令密码，及空密码使用教复杂的字母数字结合密码。
2，打开组策略gpedit.msc，浏览到计算机配置，管理模板，系统，在右边的窗格中选择关闭自动播放，该配置缺省是未配置，在下拉框中选择所有驱动器，再选取已启用，确定后关闭。最后，在开始，运行中输入gpupdate，确定后，该策略就生效了。　
3，修改文件夹选项，以查看不明文件的真实属性，避免无意双击骗子程序中毒。
步骤：打开资源管理器（按windows徽标键＋E），点工具菜单下文件夹选项，再点查看，在高级设置中，选择查看所有文件，取消隐藏受保护的操作系统文件，取消隐藏文件扩展名。　　
4，时刻保持操作系统获得最新的安全更新，建议用毒霸的漏洞扫描功能。　　
5，启用windows防火墙保护本地计算机　



三.批处理删除此病毒



以下是网上某位高手自写的批处理程序可把以下代码保存到一文本，再把后缀改为.bat（批处理程序）运行试下吧，我在自己干净的机器上试了下，它会把所有的setup.exe文件删除，建议在使用前把所有的安装文件备份。
taskkill /im spoclsv.exe /f
taskkill /im spoolsv.exe /f
taskkill /im devgt.exe /f
taskkill /im iexpl0re.EXE /f
taskkill /im SVCHQST.EXE /f
taskkill /im iexplore.exe /f
taskkill /im iexplore.exe /f
taskkill /im iexplore.exe /f
taskkill /im iexplore.exe /f
taskkill /im iexplore.exe /f
taskkill /im iexplore.exe /f
taskkill /im iexplore.exe /f
taskkill /im iexplore.exe /f
taskkill /im iexplore.exe /f
taskkill /im devgt.exe /f
taskkill /im spoolsv.exe /f
taskkill /im iedw.exe /f
taskkill /im svohost.exe /f
taskkill /im sxs.exe /f
rd /s /q C:/WINDOWS/system32/spool
cd
c:
attrib nvlib.def -a -h -s
del /s /q /f nvlib.defe
attrib iedw.exe -a -h -s
del /s /q /f iedw.exe
attrib setup.exe -a -h -s
del /s /q /f setup.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
attrib lccxga.exe -a -h -s
del /s /q /f lccxga.exe
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib iexpl0re.EXE -a -h -s
del /s /q /f iexpl0re.EXE
attrib SVCHQST.EXE -a -h -s
del /s /q /f SVCHQST.EXE
attrib psinthk.dll -a -h -s
del /s /q /f psinthk.dll
attrib spoclsv.exe -a -h -s
del /s /q /f spoclsv.exe
attrib rmincon.exe -a -h -s
del /s /q /f rmincon.exe
attrib a.bat -a -h -s
del /s /q /f a.bat
attrib mh.exe -a -h -s
del /s /q /f mh.exe
attrib spoolsv.exe -a -h -s
del /s /q /f spoolsv.exe
D:
attrib setup.exe -a -h -s
del /s /q /f setup.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
attrib lccxga.exe -a -h -s
del /s /q /f lccxga.exe
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib iexpl0re.EXE -a -h -s
del /s /q /f iexpl0re.EXE
attrib SVCHQST.EXE -a -h -s
del /s /q /f SVCHQST.EXE
attrib iexplore.exe -a -h -s
del /s /q /f iexplore.exe
attrib psinthk.dll -a -h -s
del /s /q /f psinthk.dll
attrib spoclsv.exe -a -h -s
del /s /q /f spoclsv.exe
attrib rmincon.exe -a -h -s
del /s /q /f rmincon.exe
attrib a.bat -a -h -s
del /s /q /f a.bat
attrib mh.exe -a -h -s
del /s /q /f mh.exe
E:
attrib setup.exe -a -h -s
del /s /q /f setup.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
attrib lccxga.exe -a -h -s
del /s /q /f lccxga.exe
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib iexpl0re.EXE -a -h -s
del /s /q /f iexpl0re.EXE
attrib SVCHQST.EXE -a -h -s
del /s /q /f SVCHQST.EXE
attrib iexplore.exe -a -h -s
del /s /q /f iexplore.exe
attrib psinthk.dll -a -h -s
del /s /q /f psinthk.dll
attrib spoclsv.exe -a -h -s
del /s /q /f spoclsv.exe
attrib rmincon.exe -a -h -s
del /s /q /f rmincon.exe
attrib a.bat -a -h -s
del /s /q /f a.bat
attrib mh.exe -a -h -s
del /s /q /f mh.exe
F:
attrib setup.exe -a -h -s
del /s /q /f setup.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
attrib lccxga.exe -a -h -s
del /s /q /f lccxga.exe
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib iexpl0re.EXE -a -h -s
del /s /q /f iexpl0re.EXE
attrib SVCHQST.EXE -a -h -s
del /s /q /f SVCHQST.EXE
attrib iexplore.exe -a -h -s
del /s /q /f iexplore.exe
attrib psinthk.dll -a -h -s
del /s /q /f psinthk.dll
attrib spoclsv.exe -a -h -s
del /s /q /f spoclsv.exe
attrib rmincon.exe -a -h -s
del /s /q /f rmincon.exe
attrib a.bat -a -h -s
del /s /q /f a.bat
attrib mh.exe -a -h -s
del /s /q /f mh.exe
G:
attrib setup.exe -a -h -s
del /s /q /f setup.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
attrib lccxga.exe -a -h -s
del /s /q /f lccxga.exe
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib iexpl0re.EXE -a -h -s
del /s /q /f iexpl0re.EXE
attrib SVCHQST.EXE -a -h -s
del /s /q /f SVCHQST.EXE
attrib iexplore.exe -a -h -s
del /s /q /f iexplore.exe
attrib psinthk.dll -a -h -s
del /s /q /f psinthk.dll
attrib spoclsv.exe -a -h -s
del /s /q /f spoclsv.exe
attrib rmincon.exe -a -h -s
del /s /q /f rmincon.exe
attrib a.bat -a -h -s
del /s /q /f a.bat
attrib mh.exe -a -h -s
del /s /q /f mh.exe




运行完以后千万别重启。把以下项导入注册表才能完全清除。
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL]
"RegPath"="Software//Microsoft//Windows//CurrentVersion//Explorer//Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"


[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]
"ctfmon.exe"=-
"svcshare"=-
"myZt3"=-
"myMh2"=-
"SVOHOST.exe"=-
"sxs.exe"=-
[HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows]
"DebugOptions"="2048"
"Documents"=""
"DosPrint"="no"
"load"=-
"NetMessage"="no"
"NullPort"="None"
"Programs"="com exe bat pif cmd"
"Device"=""