熊猫烧香病毒手工处理方法

陈晓晨

一个多毒的年份，一个肆虐的年份，熊猫烧香病毒就像脑白金广告一样，传遍大江南北， 中招者不计其数，杀毒公司的客服电话两分钟响一次，用户的电脑两天就要重装一次。我们 5 B1 i5 ?9 g# _/ h, A3 [. S9 [的世界怎么了？白领不再打电话，因为他们一天要花五个小时来杀毒，副教授不再搞研究， 因为他们要叫计算机系学生帮他处理熊猫烧香。熊猫烧香，一个可爱的图标（熊猫模样）， 加上一个幽默的动作（点三柱香，像极了香港黑社会拜关公），以迅雷不及掩耳之势，深入 到用户电脑深处。 这篇文章主要描述熊猫烧香病毒的相关信息及手动处理方法，请严格按照顺序进行处理。 9 j* m% a! G0 r9 N# l' [% Y 一、熊猫烧香有几个变种？ 到目前为止,从大体上分,目前主要有四大变种： 6 B2 }3 E1 z2 [4 B( |9 P变种A：就是FuckJacks.exe进程,它隐藏的全路径是%System32%\FuckJacks.exe 4 S" r0 ]: q* Y4 I' ^4 a变种B：就是spoclsv.exe进程,它隐藏的全路径是:%System32%\Drivers\spoclsv.exe 变种C：对抗杀毒软件及专杀工具，杀毒公司惨遭屠戮（驱逐舰因为其超强免疫功能，所以 0 k8 F9 W) ^: h; `+ m/ t3 n免受其害） 9 w G b( ]$ P1 ~2 T# ]# u变种D：最近才出现的一个变种，该变种感染文件后图标不在是熊猫模样，当感染该变种会 : b9 ~/ S* [0 m9 p2 d- R8 A在临时目录发现100个图标文件。还有其它一些变种，基本都是为了躲避查杀进行修改和下 / M3 s3 V+ _1 W" m. K' q* u1 N载不同的后门的版本。 6 w& y# c- H% j: j+ u 二、中毒症状 1,感染其他应用程序的.exe文件，并改变图标颜色，但不会感染微软操作系统自身的文件 , t& b# d; c) u2,删除GHOST文件(.gho后缀)，网吧和学校机房深受其害 3,禁用进程管理器，禁用注册表 - x* v6 X/ J' k4,拷贝自身到所有驱动器根目录，命名为Setup.exe，并生成一个autorun.inf使得用户打开该 盘运行病毒，并将这两个文件属性设置为隐藏、只读、系统 5,修改注册表，加载自启动，并禁止显示隐藏文件 6,通过IPC$共享跨机传染，弱密码或空密码的文件服务器就要遭殃了 7、禁用杀毒工具运行 三、处理方法 1,结束病毒进程，如FuckJacks.exe，spoclsv.exe进程。但因为中毒后无法打开任务管理器， 所以必须通过第三方进程管理器来结束进程，建议使用http://www.vccn.com.cn/download/pv.exe， 6 U& o9 w; {& H1 T9 V# }用此工具打开进程后，找到相关的进程，并将之结束。结束进程后，任务管理器和注册表就可 . ?2 O" K; C. V, V# Z以打开了 & S3 B! s* h4 Q6 Q7 T* q( o 6 s |) l" P6 C2,修改注册表. 以下位置为注册表十三处启动项位置，去掉可疑启动项 HKCU-Software-Microsoft-WindowsNT-CurrentVersion-Windows-load 3 Q) r3 U6 ]/ H, n3 Y7 q2 t) zHKLM-Software-Microsoft-WindowsNT-CurrentVersion-Winlogon-Userinit HKCU-Software-Microsoft-WindowsCurrentVersion-Policies-Explorer-Run 5 a7 f9 r$ }, W& Y9 eHKLM-Software-Microsoft-WindowsCurrentVersion-Policies-Explorer-Run HKCU-Software-Microsoft-Windows-CurrentVersion-Run-Services-Once HKLM-Software-Microsoft-Windows-CurrentVersion-Run-Services-Once " L( g; \) l1 e) n" WHKCU-Software-Microsoft-Windows-CurrentVersion-Run-Services 2 Y9 k4 V1 Y1 A; G' w" aHKLM-Software-Microsoft-Windows-CurrentVersion-Run-Services & y3 G+ W% n/ x: l* a HKCU-Software-Microsoft-Windows-Current-Version-RunOnce 4 J3 Q& @; g! G) XHKLM-Software-Microsoft-Windows-Current-Version-RunOnce HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnceEx 3 X( a r( \/ {& h1 Y+ ~) JHKCU-Software-Microsoft-Windows-CurrentVersion-Run ! B" N& l3 S7 ?4 ]: jHKLM-Software-Microsoft-Windows-CurrentVersion-Run 修改以下位置，目的是可以显示隐藏文件，因为熊猫病毒不允许显示隐藏文件，所以我们要改 4 i4 y; y; R0 k# [& |/ Z! A8 y回来把ckeckedvalue的值由0改为1即可。 . w4 ^5 c! S! X[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ 3 {8 d5 R2 D; i$ ?4 S6 I) bFolder\Hidden\SHOWALL] N2 m% `: j$ a"CheckedValue"=dword:00000001 2 I1 o( h; Q. [1 t2 d 6 i( R* a5 ?. B& ]3,显示隐藏文件，我的电脑>工具>文件夹选项>查看,显示所有文件或文件夹，去掉隐藏受保护的 操作系统文件前面的钩，找到病毒文件，%System32%\FuckJacks.exe或 $ m' {! `6 M0 x" y3 j9 S: Y %System32%\Drivers\spoclsv.exe或%System32%\twunk32.exe并将其删除，找到病毒文件c:\autorun.inf,c:\setup.exe,d:\autorun.inf,d:\setup.exe,e:\autorun.inf,e:\setup.exe,,,,,(注意这些文件都 * n5 X. q, _3 ~ J& c$ Q1 N; ^是隐藏文件，如果你没显示隐藏文件的话，那看不到)并在相关目录底下新一个同名的文件，并 : e7 L& v) j4 S0 b* R3 u设置为只读，如果是NTFS分区，则去掉其他所有的NTFS权限. 4,做完以上步骤后，重启电脑，熊猫烧香病毒原本就手工处理了，但本机被感染的文件还在， 8 p4 ]8 P [3 f0 z% p在用杀毒软件全盘扫描前，千万不要执行本机的其他应用程序或.exe文件，切记，切记 . c1 j0 V o7 y& l# X8 O/ k 四，预防方法 按以上方法处理完后，熊猫烧香病毒很有可能再来，怎么办？ 1,首先给本机设一个复杂密码，如果有没特殊应用的话，可禁用本机共享，方法为禁用server服务 8 l3 |3 T4 B. }0 s- F* @! b: r; Q2,安装杀毒软件，并升级到最新，查杀全盘 3,更新全部操作系统补丁