紧急病毒通知：病毒中文名－熊猫烧香(武汉男生)【专杀下载－－备用】

病毒中文名：熊猫烧香(武汉男生) b| L;*<KU  
ZM<6yj"f  
B;9,Qbb  
病毒名称：Worm.WhBoy.h #h;  
病毒中文名：熊猫烧香(武汉男生) +x%u?ZR  
Vl_6nY;  
病毒类型：蠕虫 x9l7|G/$  
7H Har'=T  
危险级别： !*#9b  
F-,gj{s  
影响平台：Win 9x/ME,Win 2000/NT,Win XP,Win 2003 =KPmZ,/w  
5H3o?x
 
专杀工具：金山专杀工具   安天专杀工具     江民专杀工具     安博士专杀工具     赛门铁克专杀工具 Xh"9Bcjf  
'cO8& |  
病毒描述： Hx#YN*\.M  
I*rUe#$  
“武汉男生”，俗称“熊猫烧香”，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。  S!?T0c?>  
^to*ET{0  
u]*7",R uU  
OUulG16kK  
1:拷贝文件 I5"wa:Z  
RC_Pj)  
病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe opa/
+V3E4  
| Y:`>2ev  
2:添加注册表自启动 zhJeTctRz  
"VaWZ*  
病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe YIe1AF}   
j^jC|  
3:病毒行为 do" m=y  
O=Su E/q  
a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序： !U`4  
?N{\qF1Mz  
QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword xkSXKR  
k0Vri$x  
并使用的键盘映射的方法关闭安全软件IceSword n.+*_c8k  
S#ryEgc]  
添加注册表使自己自启动 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe ,M.C]6YMr  
$yOB-  
并中止系统中以下的进程: KM&P5}  
}IygU 6{G  
Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe 'o&d!  
Pt"K+]Ym  
b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$共享 YnpN -Y%g  
;+75"=[YT  
c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$共享 ?+}Su'pv}  
VxY]0&sq  
d:每隔6秒删除安全软件在注册表中的键值 9R=avfI  
rmg\Pa8W>  
并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00 I"&cr>\  
X;LYGJ{Xk  
删除以下服务: YdD; Qx#O  
$:s@nKgnD~  
navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc
-
mJs0E*g  
0
H_Ai=G  
e:感染文件 i9 aR#  
t|@5,J  
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部，并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址，用户一但打开了该文件，IE就会不断的在后台点击写入的网址，达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件： o@A`AA9  
21!X[)r  
WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone NVzo)C8kb  
!oyo_h  
g:删除文件 &r[f ;|o  
;Tbo \Wp9  
病毒会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。

不错 都注意点 ~~~

引用

熊猫烧香病毒完整解决方案 6J- /%  
熊猫烧香病毒无疑成了近期互联网最热门的关键字了，网上也能找到很多个有关熊猫烧香病毒的解决办法，这些方法不尽完美，再加上熊猫的变种很多，很多方法已经失效。这里提供一个相对完整的方案供大家参考。 8LF=l1=~  
病毒名： +BM[@?"hrh  
中文名：毒霸（Worm.WhBoy，中文名武汉男生变种）瑞星（Worm.Nimaya） 江民（维金变种），目前发现的变种数已超过50个。 \'zloBU  
典型表现： uMm`j?Y23q  
感染病毒后发现较多的EXE文件图标变成点着香的熊猫，这也是该病毒命名的由来，现在发现的部分变种已经不再使用这个广为人知的图标了。部分变种可以直接通过互联网更新版本，部分变种可以感染htm,html,asp,php,jsp,aspx等网页格式文件。一段web服务器被感染，将意味着所有浏览这些网页的计算机可能会自动下载并感染上熊猫烧香病毒。 %jx<<hW  
该系列变种会释放以下几个典型文件 T+gH38!e  
分区根目录下：setup.exe、autorun.inf 89KFZ[.}]  
%System%\Fuckjacks.exe；%System%\Drivers\spoclsv.exe QxbG-B^)=  
局域网环境下：GameSetup.exe J
!|
R1  
病毒行为： KbciRRf!k  
1、删除常用杀毒软件在注册表中的启动项或服务，终止杀毒软件的进程，几乎涉及目前所有杀毒软件 uwi.Sg11  
2、终止部分安全辅助工具的进程，如IceSword，任务管理器taskmon。 k|RY; 8_  
3、终止维金的相关进程Logo1_.exe、Logo_1.exe、Rundl123.exe。 E:uTjXt  
4、弱口令破解局域网其他电脑的Administror帐号，并用GameSetup.exe进行复制传播。 ,jW a&7  
5、修改注册表键值，导致不能查看隐藏文件和系统文件。 [
5!{>L`  
6、除C盘如下目录外，病毒会尝试破坏其它分区下的部分.exe、.com、.gho、.pif、.scr文件，病毒不会去感染以下目录中的文件（给我们解决此病毒留下机会了，请看下文中的有关描述）。 OrL4G `O  
WINDOW，Winnt，System Volume Information，Recycled，Windows NT，Windows Update，Windows MediaP，Outlook Express，Internet Explorer，NetMeeting，Common Files，ComPlus Applications，Messenger，InstallShield Installation Information，MSN，Microsoft Frontpage，MovieMaker，MSN GaminZone *>:<  
7、病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。 (]?M=?0\  
解决办法： Pd;8<UMk  
1、首选专杀工具 f8UJ3vB  
专杀工具是效能最好的方案，能处理已知变种，缺点是有新变种后，专杀也需要更新。推荐去www.xiongmaoshaoxiang.com下载专杀。 ?MfwRWY  
2、在线杀毒 !M)] 1Y
 
因为熊猫烧香病毒的特殊性，杀毒软件本身可能会被感染，病毒还会尝试结束杀毒软件进程和服务，但病毒不感染IE浏览器，用浏览器加载在线杀毒控件来清除病毒可以收到奇效。已经中招的，可以去shadu.duba.net试试。 _V8;dv8  
3、重启系统到带网络连接的安全模式，升级杀毒软件后杀毒。 (["V( $  
可单击开始，运行，输入msconfig，打开系统配置实用程序，点击BOOT.INI标签，作如图修改，重启即可进入带网络连接的安全模式。 ttB>PTg#  
F.@|-wq&  
a-nn[j  
3A =\Mb  
4、手工删除病毒执行程序，恢复注册表 Gr}NgyT<!D  
因为熊猫烧香病毒是感染型的病毒，手工清除相当麻烦，网友公布的手工清除方案只能手工结束病毒进程，一段运行了感染过熊猫烧香病毒的程序，还会再中招。以下简单介绍手工结束病毒进程，修复注册表项的步骤： Wwr  
a.断开网络，禁用网卡或拔掉网线就行； L?M x"  
b.结束病毒进程，因为任务管理器、IcdSword已经无法运行，在已感染病毒的机器上很难实现了。建议去http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/ProcessExplorer.mspx下载一个Process Explorer备用，郁闷的是光缆没修好，官网下载速度巨慢。可以百度一下，到新浪、华军、天空去下载。如果在进程中发现FuckJacks.exe、setup.exe、spoclsv.exe（注意和正常的打印服务就差一个字母，打印服务文件名为spoolsv.exe），就用这个工具结束掉。 ] M#LB&Pe  
c.在本地计算机上搜索并删除以下病毒执行文件：  JJs*2y  
分区根目录下：setup.exe、autorun.inf（这个本身不是病毒，但它的存在是为了双击磁盘自动调用病毒程序，建议删了吧） xDPR^xY  
%System%\Fuckjacks.exe；%System%\Drivers\spoclsv.exe oLq N  
局域网环境下：GameSetup.exe 0N]\f.=`  
d. 开始-->运行—>输入regedit，确定后，打开注册表编辑器，删除病毒创建的启动项： {KK/mAp{  
[HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Run] 9;
9ge  
"FuckJacks"="%System%＼FuckJacks.exe C7AD1rl  
[HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run] 2 p}I  
"svohost"="%System%＼FuckJacks.exe" [wJ\.9<Oa  
浏览到［HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL］，单击右键，点新建——Dword值——命名为CheckedValue（如果已经有，可以删除后重建），修改它的键值为1,为十六进制，按确定后，退出注册表编辑器。以恢复文件夹选项中的“显示所有隐藏文件”和“显示系统文件” py%~Qz%  
e.修复或重新安装反病毒软件，以恢复被病毒删除的注册键值，恢复杀毒软件的功能。 \"L0d1DK)  
f.最后，还是要更新反病毒软件全盘扫描，把感染的EXE程序、网页格式的文件修复。特别提醒网页编辑，一定要保护好自己编辑的Web文档，保护好自己的Web服务器，如果发现网站上传文件带毒，应该及时删除，重新上传。 &sYxe:H  
有关该病毒的预防，请参考www.xiongmaoshaoxiang.com上介绍的方法，或者看这里http://blog.xoyo.com/space.php?uid=4344&do=article&aid=111182。特别提示一下，今天更新的金山毒霸已经集成了针对熊猫烧香病毒的免疫功能，对预防熊猫烧香病毒会起到遏制作用。

引用

【分享】【熊猫烧香维金专杀2007】(民间版 魏滔序) (可升级病毒库) j+q)  
H5 :,hrZY  
Anti-Virus Tools 2007 (民间版 魏滔序) \d]Y#j<  
Version: 1.2.1 - 070118.1 WiQVZ{  
适用系统：Windows 98/Windows Me/Windows 2000/Windows XP/Windows 2003 Dfc% jWbA  
http://www.chenoe.com/AntiVirus/ +9pock  
/eXiWasQ  
x
(4"!#  
软件简介： /(u? k%Q  
CHENOE Anit-Virus Tools(简称：C-AV) YU)%-V\  
以恢复被病毒破坏的文件和剿杀该类病毒为主的专业杀毒免费软件， PBFpV8P,  
对部分木马型病毒的查杀也颇有成效。 #`K
{vj  
具有很强的针对性和灵活性，能够最快在获得新病毒样本10分钟后对病毒特征库进行升级， >Bdh`Ot-!  
配合“在线升级”功能可以非常有效的提高实效性。 \Y8 sIs  
因此，本软件的最大特点是病毒特征库即时更新，用最短的时间做出最快的反应。 T\=#y  
如果配合PlanTasks程序可发挥更大威力。 | WTWj  
http://www.chenoe.com/PlanTasks nD]M
gT  
开发C-AV完全属于公益性质，目的是服务社会、受益大众。 Oo FMOlb.Z  
如果本软件的确帮助过您，或者您也支持本软件的发展，请进入这里。 F#RNm5  
http://www.chenoe.com/AntiVirus/Offer.asp '|),?  
用户在使用本工具后如果遇到不能查杀的病毒，请将病毒样本上报给我们。 qbCU&G|)  
或许一杯茶的时间后，问题就解决了。 ^w"hA;  
强烈建议用户收藏本站地址http://www.chenoe.com/AntiVirus/ 1CSGG'J]E  
以备不时之需。 o2hZ=+w>  
常见问题 http://www.chenoe.com/AntiVirus/FAQs.asp 4GG>n  
更新日志 http://www.chenoe.com/AntiVirus/Logs.asp gu~R4@3  

^q0`eS  
软件特点：　 P/^@t+KC  
Sl'$w4s   
1.精湛的扫描引擎 W=LJhCpRHj  
高速的扫描、精湛的引擎，可以大量节约您查杀过程所等待的宝贵时间。 R#8cOmZ  
　 pzUr9  
2.周到的目标选择 Q-#<{' (  
用户可以根据意愿来自由选择扫描目标，即使扫描过程中程序发生意外，也不会有前功尽弃的懊恼。 hx8pg,X  
8bs'Ek{'o  
3.方便的在线升级 e>.^RtDF  
无论是软件主程序还是病毒特征库，只要有最新版本发布，用户端都可以在线更新。 -1NR]#P'  
省去了每次升级每次下载的麻烦，从而让用户可以在最短的时间内得到对病毒最强的控制权。 [Ob'E!;<  
quC$<Y  
4.强劲的访问审核 5K682+^5  
“安装保护”后可以最大程度上阻止局域网中通过弱密码入侵型病毒的传播。 C!9m
ygI  
q #7Nk)<.  
关键字： 7ncR2-{g  
维金 &(l.jgqg&  
威金 专杀 =h +SZXe<r  
民间 魏滔序 WS(m#WFQr  
Viking Killer %zRuIDmv  
仿威金 +ZiYl[_|  
仿维金 Iw)m9h  
熊猫烧香 N#)Klq87z  
GameSetup.exe K`uPPyv
 
_Disktop.ini Ui9;rh$1eU  
Disktop_ini ADB)-!$xoi  
Autorun.inf B]}gfVO  
logo_1.exe "xHK*  
rundl132.exe Mqk|H~l5c  
spoclsv.exe `k8jFB C  
FuckJacks.exe F2_'U' a  
J kAd3ls  
本工具可以有效的清除已知的文件感染型病毒。并且，可以解除被感染的exe中的病毒并还原exe文件，网上的大部分工具是直接删除。
y;4g>ma0  
2J$vX(  
立即下载： c93 Ok|  
专杀主程序 u2$.EM/iae  
http://www.chenoe.com/downloads.asp?file=AntiVirus.com MZcvr9y  
病毒特征库 n5BD0q  
http://www.chenoe.com/downloads.asp?file=Virus.db p[At0Gc L  
←将两个文件都下载后放在同一目录下运行。

“熊猫烧香”病毒不但可以对用户系统进行破坏，导致大量应用软件无法使用，而且还可删除扩展名为gho的所有文件，造成用户的系统备份文件丢失，从而无法进行系统恢复；同时该病毒还能终止大量反病毒软件进程，大大降低用户系统的安全性。 c>3? T^=  
7,Z<PE  
　　这几天“熊猫烧香”的变种更是表象异常活跃，近半数的网民深受其害。对于已经感染“熊猫烧香”病毒的用户，建议参考《熊猫烧香病毒专杀及手动修复方案》，下载其中的专钉工具进行查杀，也可手动查杀。技术专家还总结了以下预防措施，帮你远离“熊猫烧香”病毒的骚扰。 'o0o.&/=  
　　1、立即检查本机administrator组成员口令，一定放弃简单口令甚至空口令，安全的口令是字母数字特殊字符的组合，自己记得住，别让病毒猜到就行。 F|.tn`j]U  
　　修改方法：右键单击“我的电脑”，选择管理，浏览到本地用户和组，在右边的窗中，选择具备管理员权限的用户名，单击右键，选择设置密码，输入新密码就行。　　 M}CxCEdDB]  
$MNJsc^n  
图1 修改Administrator密码 g=qaq  
　　2.、利用组策略，关闭所有驱动器的自动播放功能。 NYG!\u\Rm  
　　步骤：单击开始，运行，输入gpedit.msc，打开组策略编辑器，浏览到计算机配置，管理模板，系统，在右边的窗格中选择关闭自动播放，该配置缺省是未配置，在下拉框中选择所有驱动器，再选取已启用，确定后关闭。最后，在开始，运行中输入gpupdate，确定后，该策略就生效了。　　 ! os@G  
QV\af  
图2 关闭所有驱动器的自动播放功能 mSZg;7DE3*  
/Lm~GmPt  
d^!3&y&  
图3 关闭所有驱动器的自动播放功能 ru`U/6n  
　　3、修改文件夹选项，以查看不明文件的真实属性，避免无意双击骗子程序中毒。 5|Z8UzL  
　　步骤：打开资源管理器（按windows徽标键＋E），点工具菜单下文件夹选项，再点查看，在高级设置中，选择查看所有文件，取消隐藏受保护的操作系统文件，取消隐藏文件扩展名。　　 ,1~zMzw^  
Vmh$c*TE  
图4 修改文件夹属性 /0fsn_  
　　4、时刻保持操作系统获得最新的安全更新，建议用毒霸的漏洞扫描功能。　　 98?O[=  
　　5、启用windows防火墙保护本地计算机。　　 5M5vxJ)Lh  
　　对于已经感染“熊猫烧香”病毒的用户，建议参考《熊猫烧香病毒专杀及手动修复方案》，下载其中的专钉工具进行查杀，也可手动查杀。
; 2V$`k  
　　对于未感染的用户，专家建议，不要登陆不良网站，及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑，同时上网时应采用“杀毒软件＋防火墙”的立体防御体系。　

今天妹妹家中的就是这个毒...太狠了.....

今天熊猫作者写了专杀工具