熊猫烧香病毒解决方案.doc

熊猫烧香病毒解决方案 什么是熊猫烧香病毒？答：“熊猫烧香”其实是一种蠕虫病毒的变种，而且是经过多次变种而来的。尼姆亚变种W(Worm.Nimaya.w)，由于中毒电脑的可执行文件会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用。 该病毒会感染用户计算机上的EXE可执行文件，被病毒感染的文件图标均变为以下头像病毒图标 该系列变种会释放以下几个典型文件 分区根目录下：setup.exe、autorun.inf、%System%\Fuckjacks.exe、%System%\Drivers\spoclsv.exe 局域网环境下：GameSetup.exe 病毒行为： 1、删除常用杀毒软件在注册表中的启动项或服务，终止杀毒软件的进程，几乎涉及目前所有杀毒软件 2、终止部分安全辅助工具的进程，如IceSword，任务管理器taskmon。 3、终止维金的相关进程Logo1_.exe、Logo_1.exe、Rundl123.exe。 4、弱口令破解局域网其他电脑的Administror帐号，并用GameSetup.exe进行复制传播。 5、修改注册表键值，导致不能查看隐藏文件和系统文件。 6、除C盘如下目录外，病毒会尝试破坏其它分区下的部分.exe、.com、.gho、.pif、.scr文件，病毒不会去感染以下目录中的文件（给我们解决此病毒留下机会了，请看下文中的有关描述）。 WINDOW，Winnt，System Volume Information，Recycled，Windows NT，Windows Update，Windows MediaP，Outlook Express，Internet Explorer，NetMeeting，Common Files，ComPlus Applications，Messenger，InstallShield Installation Information，MSN，Microsoft Frontpage，MovieMaker，MSN GaminZone 7、病毒会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。 解决办法： 1、首选专杀工具 专杀工具是效能最好的方案，能处理已知变种，缺点是有新变种后，专杀也需要更新。推荐去/zhuansha/253.sshtml下载专杀。 2、在线杀毒 因为熊猫烧香病毒的特殊性，杀毒软件本身可能会被感染，病毒还会尝试结束杀毒软件进程和服务，但病毒不感染IE浏览器，用浏览器加载在线杀毒控件来清除病毒可以收到奇效。已经中招的，可以去试试。 3、重启系统到带网络连接的安全模式，升级杀毒软件后杀毒。可单击开始，运行，输入msconfig，打开系统配置实用程序，点击BOOT.INI标签，作如图修改，重启即可进入带网络连接的安全模式。 4、手工清除 因为熊猫烧香病毒是感染型的病毒，手工清除相当麻烦，网友公布的手工清除方案只能手工结束病毒进程，一段运行了感染过熊猫烧香病毒的程序，还会再中招。以下简单介绍手工结束病毒进程，修复注册表项的步骤： a.断开网络，禁用网卡或拔掉网线就行； b.结束病毒进程，因为任务管理器、IcdSword已无法运行，已感染病毒的机器上很难实现。建议去/technet/sysinternals/ProcessesAndThreads/ProcessExplorer.mspx下载一个Process Explorer备用。如果在进程中发现FuckJacks.exe、setup.exe、spoclsv.exe（注意和正常的打印服务就差一个字母，打印服务文件名为spoolsv.exe），就用这个工具结束掉。 c.在本地计算机上搜索并删除以下病毒执行文件： 分区根目录下：setup.exe、autorun.inf（这个本身不是病毒，但它的存在是为了双击磁盘自动调用病毒程序，建议删了吧） %System%\Fuckjacks.exe；%System%\Drivers\spoclsv.exe 局域网环境下：GameSetup.exe d. 开始--运行—输入regedit，确定后，打开注册表编辑器，删除病毒创建的启动项： [HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Run] FuckJacks=%System%＼FuckJacks.exe [HKEY_LOCAL_MACHIN