最全「熊貓燒香」整體解決方案

　「熊貓燒香」病毒無疑成了近期網際網路最熱門的關鍵字了，網上也能找到很多個有關熊貓燒香病毒的解決辦法，這些方法都顯得不盡完美，再加上熊貓的變種很多，有效性就更加大打折扣了。金山毒霸反病毒專家為廣大感染熊貓燒香的用戶提供了一個相對完整的解決方案供大家參考。
　　病毒名：
　　中文：熊貓燒香病毒(又稱武漢男生)
　　英文：Worm.WhBoy
　　目前發現的變種數已超過50個
　　典型表現：
　　感染病毒后發現較多的.EXE文件圖標變成點著香的熊貓，這也是該病毒命名的由來。現在發現的部分變種已經不再使用這個廣為人知的圖標了。部分變種可以直接通過網際網路更新版本，部分變種可以感染htm、html、asp、php、jsp、aspx等網頁格式文件。一段web伺服器被感染，將意味著所有瀏覽這些網頁的計算機可能會自動下載並感染上熊貓燒香病毒。
　　該系列變種會釋放以下幾個典型文件
　　分區根目錄下：setup.exe、autorun.inf、%System%\Fuckjacks.exe、%System%\Drivers\
　　spoclsv.exe
　　區域網環境下：GameSetup.exe
　　病毒行為：
　　1、刪除常用殺毒軟體在註冊表中的啟動項或服務，終止殺毒軟體的進程，幾乎涉及目前所有殺毒軟體
　　2、終止部分安全輔助工具的進程，如IceSword，任務管理器taskmon。
　　3、終止維金的相關進程Logo1_.exe、Logo_1.exe、Rundl123.exe。
　　4、弱口令破解區域網其他電腦的Administror帳號，並用GameSetup.exe進行複製傳播。
　　5、修改註冊表鍵值，導致不能查看隱藏文件和系統文件。
　　6、除C盤如下目錄外，病毒會嘗試破壞其它分區下的部分.exe、.com、.gho、.pif、.scr文件，病毒不會去感染以下目錄中的文件(給我們解決此病毒留下機會了，請看下文中的有關描述)。
　　WINDOW，Winnt，System Volume Information，Recycled， Windows NT，Windows Update，Windows MediaP，Outlook Express，Internet Explorer，NetMeeting，Common Files，ComPlus Applications，Messenger， InstallShield Installation Information，MSN，Microsoft Frontpage， MovieMaker，MSN GaminZone
　　7、病毒會刪除擴展名為gho的文件，該文件是一系統備份工具GHOST的備份文件，使用戶的系統備份文件丟失。
　　解決辦法：

　　1、首選專殺工具
　　專殺工具是效能最好的方案，能處理已知變種，缺點是有新變種后，專殺也需要更新。推薦去www.xiongmaoshaoxiang.com下載專殺。
　　2、在線殺毒
　　因為熊貓燒香病毒的特殊性，殺毒軟體本身可能會被感染，病毒還會嘗試結束殺毒軟體進程和服務，但病毒不感染IE瀏覽器，用瀏覽器載入在線殺毒控制項來清除病毒可以收到奇效。已經中招的，可以去shadu.duba.net試試。
　　3、重啟系統到帶網路連接的安全模式，升級殺毒軟體后殺毒。可單擊開始，運行，輸入msconfig，打開系統配置實用程序，點擊BOOT.INI標籤，作如圖修改，重啟即可進入帶網路連接的安全模式。

　　4、手工清除
　　因為熊貓燒香病毒是感染型的病毒，手工清除相當麻煩，網友公布的手工清除方案只能手工結束病毒進程，一段運行了感染過熊貓燒香病毒的程序，還會再中招。以下簡單介紹手工結束病毒進程，修復註冊表項的步驟：
　　a.斷開網路，禁用網卡或拔掉網線就行;
　　b.結束病毒進程，因為任務管理器、IcdSword已無法運行，已感染病毒的機器上很難實現。建議去http://www.microsoft.com/technet ... rocessesAndThreads/
　　ProcessExplorer.mspx下載一個Process Explorer備用，鬱悶的是光纜沒修好，官網下載速度巨慢。可以百度一下，到新浪、華軍、天空去下載。如果在進程中發現FuckJacks.exe、setup.exe、spoclsv.exe(注意和正常的列印服務就差一個字母，列印服務文件名為spoolsv.exe)，就用這個工具結束掉。
　　c.在本地計算機上搜索並刪除以下病毒執行文件：
　　分區根目錄下：setup.exe、autorun.inf(這個本身不是病毒，但它的存在是為了雙擊磁碟自動調用病毒程序，建議刪了吧)
　　%System%\Fuckjacks.exe;%System% \Drivers\spoclsv.exe
　　區域網環境下：GameSetup.exe
　　d. 開始-->運行—>輸入regedit，確定后，打開註冊表編輯器，刪除病毒創建的啟動項：
　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "FuckJacks"="%System%\FuckJacks.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "svohost"="%System%\FuckJacks.exe"
　　瀏覽到
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\ Folder\Hidden\SHOWALL]
　　，單擊右鍵，點新建——Dword值——命名為CheckedValue(如果已經有，可以刪除后重建)，修改它的鍵值為1,為十六進位，按確定后，退出註冊表編輯器。以恢復文件夾選項中的「顯示所有隱藏文件」和「顯示系統文件」
　　e.修復或重新安裝反病毒軟體，以恢復被病毒刪除的註冊鍵值，恢復殺毒軟體的功能。
　　f.最後，還是要更新反病毒軟體全盤掃描，把感染的EXE程序、網頁格式的文件修復。特別提醒網頁編輯，一定要保護好自己編輯的Web文檔，保護好自己的Web伺服器，如果發現網站上傳文件帶毒，應該及時刪除，重新上傳。
　　有關該病毒的預防，請參考www.xiongmaoshaoxiang.com上介紹的方法，或者看這裡http://www.duba.net/zt/panda/ 。特別提示一下，今天更新的金山毒霸已經集成了針對熊貓燒香病毒的免疫功能，對預防熊貓燒香病毒會起到遏製作用。

好，謝謝詳細的殺毒介紹。

早有此招就好了。24日一位同事的腦中了，用了專殺未搞定，25日只好重裝了之。后聽另一同事說他用超級兔子將又另一同事的「熊貓」趕走了。

[ 本帖最後由 wssandy 於 2007-1-27 10:03 編輯 ]