[这个贴子最后由贾铭志在 2007/01/28 03:06pm 第 1 次编辑]

[quote]最近还是有很多朋友中了熊猫烧香病毒，而且最近似乎有不少变种出现，本文收集汇总了网上关于熊猫烧香的原理分析及手动删除方法和部分变种的相关知识，希望能对大家有所帮助~[/quote]
[quote]熊猫烧香病毒变种一：病毒进程为“spoclsv.exe”　　这是“熊猫烧香”早期变种之一，特别之处是“[b]杀死杀毒软件[/b]”，最恶劣之处在于[b]感染全盘.exe文件[/b]和[b]删除.gho文件[/b]（Ghost的镜像文件）。
　　最有“灵感”的一招莫过于[b]在所有htm/html/asp/php/jsp/aspx文件末尾添加一段代码来调用病毒[/b]。
[color=#ff0000]目前所有专杀工具及杀毒软件均不会修复此病毒行为。[/color]
需要手动清除病毒添加的代码，且一定要清除。否则访问了有此代码的网页，又会感染。
　　其他老一点的“熊猫烧香”spoclsv变种的病毒行为比此版本少。就不再单独列出。
　　[b]病毒描述：[/b]
　　“武汉男生”，俗称“熊猫烧香”，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能[b]中止大量的反病毒软件进程[/b]并且会[b]删除扩展名为gho的文件，[/b]（.gho为GHOST的备份文件），使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

以下是熊猫烧香病毒详细行为和解决办法：　　
     [b]熊猫烧香病毒详细行为：[/b]
　　1.复制自身到系统目录下：
　　%System%\drivers\spoclsv.exe（“%System%”代表Windows所在目录，比如：C:\Windows）
　　不同的spoclsv.exe变种，此目录可不同。比如12月爆发的变种目录是：C:\WINDOWS\System32\Drivers\spoclsv.exe。
　　2.创建启动项：
　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
　　"svcshare"="%System%\drivers\spoclsv.exe"
　　3.在各分区根目录生成病毒副本：
　　X:\setup.exe
　　X:\autorun.inf
　　autorun.inf内容：
　　[AutoRun]
　　OPEN=setup.exe
　　shellexecute=setup.exe
　　shell\Auto\command=setup.exe
　　4.使用net share命令关闭管理共享：
　　cmd.exe /c net share X$ /del /y
　　cmd.exe /c net share admin$ /del /y
　　5.修改“显示所有文件和文件夹”设置：
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
　　\Explorer\Advanced\Folder\Hidden\SHOWALL]
　　"CheckedValue"=dword:00000000
　　6.熊猫烧香病毒尝试关闭安全软件相关窗口：
　　天网
　　防火墙
　　进程
　　VirusScan
　　NOD32
　　网镖
　　杀毒
　　毒霸
　　瑞星
　　江民
　　黄山IE
　　超级兔子
　　优化大师
　　木马清道夫
　　木馬清道夫
　　QQ病毒
　　注册表编辑器
　　系统配置实用程序
　　卡巴斯基反病毒
　　Symantec AntiVirus
　　Duba
　　Windows 任务管理器
　　esteem procs
　　绿鹰PC
　　密码防盗
　　噬菌体
　　木马辅助查找器
　　System Safety Monitor
　　Wrapped gift Killer
　　Winsock Expert
　　游戏木马检测大师
　　超级巡警
　　msctls_statusbar32
　　pjf(ustc)
　　IceSword
　　7.尝试结束安全软件相关进程以及Viking病毒（威金病毒）进程：
　　Mcshield.exe
　　VsTskMgr.exe
　　naPrdMgr.exe
　　UpdaterUI.exe
　　TBMon.exe
　　scan32.exe
　　Ravmond.exe
　　CCenter.exe
　　RavTask.exe
　　Rav.exe
　　Ravmon.exe
　　RavmonD.exe
　　RavStub.exe
　　KVXP.kxp
　　KvMonXP.kxp
　　KVCenter.kxp
　　KVSrvXP.exe
　　KRegEx.exe
　　UIHost.exe
　　TrojDie.kxp
　　FrogAgent.exe
　　Logo1_.exe
　　Logo_1.exe
　　Rundl132.exe
　　8.禁用安全软件相关服务：
　　Schedule
　　sharedaccess
　　RsCCenter
　　RsRavMon
　　KVWSC
　　KVSrvXP
　　kavsvc
　　AVP
　　McAfeeFramework
　　McShield
　　McTaskManager
　　navapsvc
　　wscsvc
　　KPfwSvc
　　SNDSrvc
　　ccProxy
　　ccEvtMgr
　　ccSetMgr
　　SPBBCSvc
　　Symantec Core LC
　　NPFMntor
　　MskService
　　FireSvc
　　9.删除安全软件相关启动项：
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting Service
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse
　　10.遍历目录修改htm/html/asp/php/jsp/aspx等网页文件，在这些文件尾部追加信息：
　　
　　但不修改以下目录中的网页文件：
　　C:\WINDOWS
　　C:\WINNT
　　C:\system32
　　C:\Documents and Settings
　　C:\System Volume Information
　　C:\Recycled
　　Program Files\Windows NT
　　Program Files\WindowsUpdate
　　Program Files\Windows Media Player
　　Program Files\Outlook Express
　　Program Files\Internet Explorer
　　Program Files\NetMeeting
　　Program Files\Common Files
　　Program Files\ComPlus Applications
　　Program Files\Messenger
　　Program Files\InstallShield Installation Information
　　Program Files\MSN
　　Program Files\Microsoft Frontpage
　　Program Files\Movie Maker
　　Program Files\MSN Gamin Zone
　　11.在访问过的目录下生成Desktop_.ini文件，内容为当前日期。
　　12.此外，病毒还会尝试删除[color=blue]GHO[/color]文件。
　　病毒还尝试使用弱密码将副本以GameSetup.exe的文件名复制到局域网内其它计算机中：
　　password
　　harley
　　golf
　　pussy
　　mustang
　　shadow
　　fish
　　qwerty
　　baseball
　　letmein
　　ccc
　　admin
　　abc
　　pass
　　passwd
　　database
　　abcd
　　abc123
　　sybase
　　123qwe
　　server
　　computer
　　super
　　123asd
　　ihavenopass
　　godblessyou
　　enable
　　alpha
　　1234qwer
　　123abc
　　aaa
　　patrick
　　pat
　　administrator
　　root
　　sex
　　god
　　****you
　　****
　　test
　　test123
　　temp
　　temp123
　　win
　　asdf
　　pwd
　　qwer
　　yxcv
　　zxcv
　　home
　　xxx
　　owner
　　login
　　Login
　　love
　　mypc
　　mypc123
　　admin123
　　mypass
　　mypass123
　　Administrator
　　Guest
　　admin
　　Root
　　[b]病毒文件内含有这些信息：[/b]
　　whboy
　　***武*汉*男*生*感*染*下*载*者***
[b]解决方案：[/b]
　　1. 结束病毒进程：
　　%System%\drivers\spoclsv.exe
　　
[color=#ff0000]不同的spoclsv.exe变种，此目录可不同。[/color]
比如12月爆发的变种目录是：C:\WINDOWS\System32\Drivers\spoclsv.exe。但可用此方法清除。
　　“%System%\system32\spoclsv.exe”是系统文件。（目前看来没有出现插入该系统进程的变种，不排除变种的手法变化。）
　　查看当前运行spoclsv.exe的路径，可使用超级兔子魔法设置。
　　2. 删除病毒文件：
　　%System%\drivers\spoclsv.exe
　　[b]请注意区分病毒和系统文件。详见步骤1。[/b]
　　3. 删除病毒启动项：
　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
　　"svcshare"="%System%\drivers\spoclsv.exe"
　　4. 通过分区盘符右键菜单中的“打开”进入分区根目录，删除根目录下的病毒文件：
　　X:\setup.exe
　　X:\autorun.inf
　　5. 恢复被修改的“显示所有文件和文件夹”设置：
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
　　\Explorer\Advanced\Folder\Hidden\SHOWALL]
　　"CheckedValue"=dword:00000001
　　6. 修复或重新安装被破坏的安全软件。
　　7.修复被感染的程序。可用专杀工具进行修复，收集了几个供读者使用：
金山熊猫烧香病毒专杀工具(宇风下载

一级预警，刻不容缓。

谢楼主的分析！

多谢楼主
我又长了知识