感染症状：
★打开程序后被关闭
★大多数.exe文件被替换成熊猫烧香病毒图象
★防火墙和杀毒软件打开又关闭
★IE打不开

解决办法：
方法一：尼姆亚（Worm.Nimaya）”病毒：警惕程度★★★☆，蠕虫病毒，通过感染文件传播，依靠系统：WIN 9X/NT/2000/XP。

该病毒采用熊猫头像作为图标，诱使用户运行。病毒运行后，会自动查找Windows格式的EXE可执行文件，并进行感染。由于该病毒编写存在问题，用户的一些软件可能会被其损坏，无法运行。针对该病毒，瑞星已经紧急升级。同时，瑞星向社会发布免费的专杀工具，没有安装杀毒软件的用户可以登录http://it.rising.com.cn/Channels/Service/2006-11/1163505486d38734.shtml下载后查杀。

方法二：修改注册表

Dd11.exe大小为30,465字节，FSG加壳处理。
病毒运行后会在%SYSTEM%下面释放FuckJacks.exe这么一个文件，同Dd11.exe。并且在每个分区根目录下面释放setup.exe和autorun.inf文件（利用系统自动播放达到启动目的）。
FuckJacks.exe将调用CMD.EXE、NET.EXE以及NET1.EXE几个程序，同时占用大量CPU，会结束掉一些进程，比如注册表编辑器、IceSword所有版本等。
病毒会覆盖或者修改掉正常的程序，当EXE程序的文件名第一个为数字或者字母a-d（A-D）时会马上进行覆盖或修改，其他文件名的程序会慢慢侵蚀。
************************************
病毒会删除“安全中心”的相关注册表。
病毒增加如下注册表启动项：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%SYSTEM%\\FuckJacks.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svohost"="%SYSTEM%\\FuckJacks.exe"
[HKEY_USERS\S-1-5-21-1757981266-2111687655-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%SYSTEM%\\FuckJacks.exe"
************************************
关于病毒的清除：
1、打开任务治理器，结束掉FuckJacks.exe进程。
2、右击每个分区盘符选择“打开”删除分区根目录下面的setup.exe和autorun.inf文件。
3、删除上面提到的病毒增加的注册表值。
4、关于安全中心的恢复可以从正常系统中倒入注册表，或者跳过这一步，不是非凡重要。
5、被病毒覆盖的文件（覆盖后的文件大小为30,465字节）是不可恢复的，直接删除；被修改的文件用16进制编辑器删除Dd11.exe大小为30,465字节，FSG加壳处理。
病毒运行后会在%SYSTEM%下面释放FuckJacks.exe这么一个文件，同Dd11.exe。并且在每个分区根目录下面释放setup.exe和autorun.inf文件（利用系统自动播放达到启动目的）。
FuckJacks.exe将调用CMD.EXE、NET.EXE以及NET1.EXE几个程序，同时占用大量CPU，会结束掉一些进程，比如注册表编辑器、IceSword所有版本等。


瑞星熊猫烧香专杀工具
http://www.p234.com/Soft/cygj/200612/66.html

江民熊猫烧香专杀工具
http://www.p234.com/Soft/rjxz/200612/68.html

金山熊猫烧香专杀工具
http://www.p234.com/Soft/cygj/200612/67.html

熊猫烧香病毒变种 spoclsv.exe 解决方案
病毒大小：22,886 字节
加壳方式：UPack
样本MD5：9749216a37d57cf4b2e528c027252062
样本SHA1：5d3222d8ab6fc11f899eff32c2c8d3cd50cbd755
发现时间：2006.11
更新时间：2006.11
关联病毒：
传播方式：通过恶意网页传播，其它木马下载，可通过局域网、移动存储设备等传播





麻烦不如从装系统 以下是熊猫的简介
病毒名称：Worm.WhBoy.h
病毒中文名：熊猫烧香(武汉男生)

病毒类型：蠕虫

危险级别：★★

影响平台：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

专杀工具：金山专杀工具 安天专杀工具 江民专杀工具

病毒描述：

“武汉男生”，俗称“熊猫烧香”，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。



1:拷贝文件

病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe

2:添加注册表自启动

病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

3:病毒行为

a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序：

QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword

并使用的键盘映射的方法关闭安全软件IceSword

添加注册表使自己自启动 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

并中止系统中以下的进程:

Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe

b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$共享

c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$共享

d:每隔6秒删除安全软件在注册表中的键值

并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00

删除以下服务:

navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc

e:感染文件

病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部，并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址，用户一但打开了该文件，IE就会不断的在后台点击写入的网址，达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件：

WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone

g:删除文件

病毒会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。


最后说一句：所有病毒几乎都是利用了系统的漏洞/。所以及时得打微软的系统补丁和及时升级放火墙才是王道


单位里的大部分电脑已经中招，唉。
恩 昨天刚中

我日捏

把盘全割了

700 的歌 N多图 电影全部OVER

我的心在留血......
够狠~ 尤其是删gho实在是高
这毒是够狠的，
我还好，用的是卡巴
已经近一年不知病毒为何物了。。舒坦啊
:funk: :funk: :funk:
HAPPY的头像真酷~


HAPPY 别贴那图

对我打击很大的！
前几天我也中了，对我打击也不小啊！！！我的EXE文件啊！！！
中的人还真 不少~
今天本本中了,最恨他删我的GHO了!害得我重装系统!整机重格!!!!日了~



病毒很厉害,上网要小心.
醒了，睡不着。
昨天我公司电脑也中了
还好家里的这台没事~
好东西一定要顶的