求助：我的机子中熊猫烧香病毒了，怎么办？

我的电脑中了熊猫烧香病毒，怎么办怎么办...~

1、如果是局域网环境，请断网后重新杀毒。如断网后杀毒不再出现杀毒总杀总有的情况，说明病毒是通过局域网传播，请用户全网进行杀毒，并在全网系统中打系统补丁。2、如果断网杀毒仍出现总杀总有，或本身为家庭用户单机上网的情况，说明计算机内是有未知病毒体不断释放该病毒文件导致。需要给瑞星工程师上报瑞星听诊器日志信息和瑞星杀毒历史记录的日志备份文件，以便瑞星工程师协助分析处理。关于以上提到的瑞星听诊器的使用方法请参考：http://zhidao.ikaka.com/Aspx/Html/StaticHtml/308/308356.html

先用专杀杀一下，然后用下面这招试试：
清除步骤
==========

1. 断开网络

2. 结束病毒进程
%System%\FuckJacks.exe

3. 删除病毒文件：
%System%\FuckJacks.exe

4. 右键点击分区盘符，点击右键菜单中的“打开”进入分区根目录，删除根目录下的文件：
X:\autorun.inf
X:\setup.exe

5. 删除病毒创建的启动项：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%System%\FuckJacks.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svohost"="%System%\FuckJacks.exe"
6. 修复或重新安装反病毒软件

7. 使用反病毒软件或专杀工具进行全盘扫描，清除恢复被感染的exe文件
中毒文件的恢复(仅个人观点,只在自己的虚拟机上测试正常)

首先在清除病毒文件的同时不要删除%SYSTEM%下面释放FuckJacks.exe的这个文件,(注册表里要清除干净)

打开运行输入gpedit.msc打开组策略-本地计算机策略-windows设置-安全设置-软件限制策略-其它规则

在其它规则上右键选择-新散列规则=打开新散列规则窗口

在文件散列上点击浏览找到-%SYSTEM%下面释放FuckJacks.exe文件.......安全级别选择-不允许的 确定后重启(一定重启)

重启后可以双击运行已经被熊猫感染的程序-运行程序后该FuckJacks.exe文件会在注册表里的Run键下建立启动项(不会有问题的)

双击运行被感染的程序已经恢复原来样子了,全部回复后用SRENG2把FuckJacks.exe在注册表里的启动项删除即可!

最佳答案
熊猫烧香病毒样本

http://ishare.sina.com.cn/cgi-bin/fileid.cgi?fileid=1238770

请小心使用
病毒名：

中文：熊猫烧香病毒(又称武汉男生)

英文：Worm.WhBoy

目前发现的变种数已超过50个

典型表现：

感染病毒后发现较多的.EXE文件图标变成点着香的熊猫，这也是该病毒命名的由来。现在发现的部分变种已经不再使用这个广为人知的图标了。部分变种可以直接通过互联网更新版本，部分变种可以感染htm、html、asp、php、jsp、aspx等网页格式文件。一段web服务器被感染，将意味着所有浏览这些网页的计算机可能会自动下载并感染上熊猫烧香病毒。

该系列变种会释放以下几个典型文件

分区根目录下：setup.exe、autorun.inf、%System%\Fuckjacks.exe、%System%\Drivers\

spoclsv.exe

局域网环境下：GameSetup.exe

病毒行为：

1、删除常用杀毒软件在注册表中的启动项或服务，终止杀毒软件的进程，几乎涉及目前所有杀毒软件

2、终止部分安全辅助工具的进程，如IceSword，任务管理器taskmon。

3、终止维金的相关进程Logo1_.exe、Logo_1.exe、Rundl123.exe。

4、弱口令破解局域网其他电脑的Administror帐号，并用GameSetup.exe进行复制传播。

5、修改注册表键值，导致不能查看隐藏文件和系统文件。

6、除C盘如下目录外，病毒会尝试破坏其它分区下的部分.exe、.com、.gho、.pif、.scr文件，病毒不会去感染以下目录中的文件(给我们解决此病毒留下机会了，请看下文中的有关描述)。

WINDOW，Winnt，System Volume Information，Recycled， Windows NT，Windows Update，Windows MediaP，Outlook Express，Internet Explorer，NetMeeting，Common Files，ComPlus Applications，Messenger， InstallShield Installation Information，MSN，Microsoft Frontpage， MovieMaker，MSN GaminZone

7、病毒会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。

解决办法：

1、首选专杀工具

专杀工具是效能最好的方案，能处理已知变种，缺点是有新变种后，专杀也需要更新。推荐去www.xiongmaoshaoxiang.com下载专杀。

2、在线杀毒

因为熊猫烧香病毒的特殊性，杀毒软件本身可能会被感染，病毒还会尝试结束杀毒软件进程和服务，但病毒不感染IE浏览器，用浏览器加载在线杀毒控件来清除病毒可以收到奇效。已经中招的，可以去shadu.duba.net试试。

3、重启系统到带网络连接的安全模式，升级杀毒软件后杀毒。可单击开始，运行，输入msconfig，打开系统配置实用程序，点击BOOT.INI标签，作如图修改，重启即可进入带网络连接的安全模式。

4、手工清除

因为熊猫烧香病毒是感染型的病毒，手工清除相当麻烦，网友公布的手工清除方案只能手工结束病毒进程，一段运行了感染过熊猫烧香病毒的程序，还会再中招。以下简单介绍手工结束病毒进程，修复注册表项的步骤：

a.断开网络，禁用网卡或拔掉网线就行;

b.结束病毒进程，因为任务管理器、IcdSword已无法运行，已感染病毒的机器上很难实现。建议去http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/

ProcessExplorer.mspx下载一个Process Explorer备用，郁闷的是光缆没修好，官网下载速度巨慢。可以百度一下，到新浪、华军、天空去下载。如果在进程中发现FuckJacks.exe、setup.exe、spoclsv.exe(注意和正常的打印服务就差一个字母，打印服务文件名为spoolsv.exe)，就用这个工具结束掉。

c.在本地计算机上搜索并删除以下病毒执行文件：

分区根目录下：setup.exe、autorun.inf(这个本身不是病毒，但它的存在是为了双击磁盘自动调用病毒程序，建议删了吧)

%System%\Fuckjacks.exe;%System% \Drivers\spoclsv.exe

局域网环境下：GameSetup.exe

d. 开始-->运行—>输入regedit，确定后，打开注册表编辑器，删除病毒创建的启动项：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "FuckJacks"="%System%\FuckJacks.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "svohost"="%System%\FuckJacks.exe"

浏览到

[HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\ Folder\Hidden\SHOWALL]

，单击右键，点新建——Dword值——命名为CheckedValue(如果已经有，可以删除后重建)，修改它的键值为1,为十六进制，按确定后，退出注册表编辑器。以恢复文件夹选项中的“显示所有隐藏文件”和“显示系统文件”

e.修复或重新安装反病毒软件，以恢复被病毒删除的注册键值，恢复杀毒软件的功能。

f.最后，还是要更新反病毒软件全盘扫描，把感染的EXE程序、网页格式的文件修复。特别提醒网页编辑，一定要保护好自己编辑的Web文档，保护好自己的Web服务器，如果发现网站上传文件带毒，应该及时删除，重新上传。

有关该病毒的预防，请参考www.xiongmaoshaoxiang.com上介绍的方法，或者看这里http://www.duba.net/zt/panda/ 。特别提示一下，今天更新的金山毒霸已经集成了针对熊猫烧香病毒的免疫功能，对预防熊猫烧香病毒会起到遏制作用。
参考资料：http://pfw.sky.net.cn/article/3784.html
熊猫烧香专杀：
http://so.xunlei.com/search?search=%E7%86%8A%E7%8C%AB%E7%83%A7%E9%A6%99&id=3
http://wap.chinaz.com/x/AST/ast_setup.exe
中文名：熊猫烧香病毒（又称武汉男生），英文名（Worm.WhBoy），目前发现的变种数已超过50个。

病毒典型恶劣表现：

1．感染病毒后发现较多的EXE文件图标变成点着香的熊猫，这也是该病毒命名的由来，现在发现的部分变种已经不再使用这个广为人知的图标了。

2．部分变种可以直接通过互联网更新版本，部分变种感染除.exe文件外，还可以感染htm，html，asp，php，jsp，aspx等网页格式文件。

3．一旦web服务器被感染，将意味着所有浏览这些网页的计算机可能会自动下载并感染上熊猫烧香病毒。

4．该系列变种会释放以下几个典型文件

分区根目录下： code:setup.exe、autorun.inf、%System%Fuckjacks.exe；%System%Driversspoclsv.exe

局域网环境下：GameSetup.exe

病毒行为：

1．删除常用杀毒软件在注册表中的启动项或服务，终止杀毒软件的进程，几乎涉及目前所有杀毒软件

2．终止部分安全辅助工具的进程，如IceSword，任务管理器taskmon。

3．终止维金的相关进程Logo1_.exe、Logo_1.exe、Rundl123.exe。

4．弱口令破解局域网其他电脑的Administror帐号，并用GameSetup.exe进行复制传播。

5．修改注册表键值，导致不能查看隐藏文件和系统文件。

6．除C盘如下目录外，病毒会尝试破坏其它分区下的部分.exe、.com、.gho、.pif、.scr文件，病毒不会去感染以下目录中的文件（给我们解决此病毒留下机会了，请看下文中的有关描述）。

code:
WINDOW，Winnt，System Volume Information，Recycled，Windows NT，
Windows Update，Windows MediaPlayer，Outlook Express，Internet Explorer，
NetMeeting，Common Files，ComPlus Applications，Messenger，InstallShield
Installation Information，MSN，Microsoft Frontpage，MovieMaker，MSN GaminZone。

7．病毒会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。

熊猫烧香病毒分析与解决方案

一、病毒描述：

含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。

二、病毒基本情况：

[文件信息]

病毒名: Virus.Win32.EvilPanda.a.ex$
大 小: 0xDA00 (55808), (disk) 0xDA00 (55808)
SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
壳信息: 未知
危害级别：高

病毒名: Flooder.Win32.FloodBots.a.ex$
大 小: 0xE800 (59392), (disk) 0xE800 (59392)
SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
危害级别：高

三、病毒行为：

Virus.Win32.EvilPanda.a.ex$ ：

1、病毒体执行后，将自身拷贝到系统目录：

%SystemRoot%\system32\FuckJacks.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Userinit "C:\WIN2K\system32\SVCH0ST.exe"
2、添加注册表启动项目确保自身在系统重启动后被加载：

键路径：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名：FuckJacks
键值："C:\WINDOWS\system32\FuckJacks.exe"

键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名：svohost
键值："C:\WINDOWS\system32\FuckJacks.exe"

3、拷贝自身到所有驱动器根目录，命名为Setup.exe，并生成一个autorun.inf使得用户打开该盘运行病毒，并将这两个文件属性设置为隐藏、只读、系统。

C:\autorun.inf 1KB RHS
C:\setup.exe 230KB RHS

4、关闭众多杀毒软件和安全工具。
5、连接*****.3322.org下载某文件，并根据该文件记录的地址，去www.****.com下载某ddos程序，下载成功后执行该程序。
6、刷新bbs.qq.com，某QQ秀链接。
7、循环遍历磁盘目录，感染文件，对关键系统文件跳过，不感染Windows媒体播放器、MSN、IE 等程序。

Flooder.Win32.FloodBots.a.ex$ ：

1、病毒体执行后，将自身拷贝到系统目录：

%SystemRoot%\SVCH0ST.EXE
%SystemRoot%\system32\SVCH0ST.EXE

2、该病毒后下载运行后，添加注册表启动项目确保自身在系统重启动后被加载：

键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名：Userinit
键值："C:\WINDOWS\system32\SVCH0ST.exe"

3、连接ddos2.****.com，获取攻击地址列表和攻击配置，并根据配置文件，进行相应的攻击。

配置文件如下：
www.victim.net:3389
www.victim.net:80
www.victim.com:80
www.victim.net:80
1
1
120
50000

四、解决方案：

1、使用超级巡警可以完全清除此病毒和恢复被感染的文件。
2、推荐在清除时先使用超级巡警的进程管理工具结束病毒程序，否则系统响应很慢。
3、中止病毒进程和删除启动项目请看论坛相关图片
回答者：翰林文圣 - 江湖新秀 五级 1-30 21:21

去各大杀毒软件站，比如江民，瑞星，金山去下个专杀工具。在安全模式下杀毒。

呵呵。这网页就有，被我的瑞星发现了

你很厉害，你的这个网页中就带有熊猫烧香。还好我的监控发现了。直接干掉。你可以用瑞星的最新版本就可以干掉熊猫烧香。

http://it.rising.com.cn/Channels/Service/2006-11/1163505486d38734.shtml这里下载一个专杀工具

超级巡警~熊猫专杀 哦~ 绝对管用

---

应县18518162719： 中了熊猫烧香病毒怎么办? - ？
侯适易维： 熊猫烧香”(武汉男生)病毒专杀工具 支持熊猫烧香所有变种的查杀,请重启系统到带网络连接的安全模式下使用专杀工具查杀. 如果已经中毒,直接运行专杀工具也会失败,病毒会阻止专杀工具启动,请重启系统时,按F8,选择安全模式,...

应县18518162719： 急!在线等!电脑中了熊猫烧香病毒怎么办? - ？
侯适易维： 熊猫烧香病毒 “尼姆亚(Worm.Nimaya)”病毒:警惕程度★★★☆,蠕虫病毒,通过感染文件传播,依赖系统:WIN 9X/NT/2000/XP. 该病毒采用熊猫头像作为图标,诱使用户运行.病毒运行后,会自动查找Windows格式的EXE可执行文件,并进行...

应县18518162719： 我的电脑重病毒了,有个熊猫上香,这是怎么回事!!! - ？
侯适易维： 病毒名称:Worm.WhBoy.h 病毒中文名:熊猫烧香(武汉男生)病毒类型:蠕虫危险级别:★★★★★影响平台:Win 9x/ME,Win 2000/NT,Win XP,Win 2003专杀工具:金山专杀工具http://down.www.kingsoft.com/db/download/othertools/...

应县18518162719： 手机中熊猫烧香了怎么办? - ？
侯适易维： 1.先下个可以查看进程的工具 icesword什么的都可以(这个病毒会锁注册表和进程查看器) 2.下载熊猫烧香的专杀工具 (瑞星http://download.rising.com.cn/zsgj/NimayaKiller.scr,360safe的论坛里也发了最新版本的也下了吧!) 3.进安全模式 ...

应县18518162719： 我的电脑中熊猫烧香了我该怎么办?？
侯适易维： 解决方法: 【1】 立即检查本机administrator组成员口令,一定要放弃简单口令甚至空口令,安全的口令是字母数字特殊字符的组合,自己记得住,别让病毒猜到就行. 修改方法:右键单击我的电脑,选择管理,浏览到本地用户和组,在右边的...

应县18518162719： 我的电脑中了熊猫烧香怎么办?？
侯适易维： 下载QQKav,在把%System%\drivers\spoclsv.exe X:\setup.exe X:\autorun.inf 加入到QQKav开机杀毒框里,然后保存并修改重启计算机,重启的过程中QQKav会自动清除病毒文件,并仰制病毒再生,或者直接断开网络,结束病毒进程 %System%\drivers\spoclsv.exe在启动QQKav闪电杀毒即可.

应县18518162719： 我的电脑中了熊猫病毒怎么办 - ？
侯适易维： 在动手查杀熊猫烧香病毒之前,强烈建议先注意以下四点: 1.本文包含两种熊猫烧香病毒变种的描述,请注意查看病毒症状,根据实际情况选用不同的查杀方法. 2.对于被熊猫烧香病毒感染的.exe可执行文件,推荐先备份,再修复! 3.找回被熊猫...

应县18518162719： 我电脑中了“熊猫烧香”,怎么办?? - ？
侯适易维： 金山熊猫烧香完全解决方案 http://www.duba.net/sign手动清除步骤 ==========1. 断开网络2. 结束病毒进程 %System%\drivers\spoclsv.exe3. 删除病毒文件: %System%\drivers\spoclsv.exe4. 右键点击分区盘符,点击右键菜单中的“打开”...

应县18518162719： 我的电脑中了熊猫烧香病毒,谁能帮我??急!! - ？
侯适易维： 简单的问题被弄得复杂化了... 偶的系统前几天也被感染上了＂熊猫烧香＂,这就是通过U盘传染的病毒,主要危害就是无法显示系统的所有文件,并删除后缀为.GHO的文件(备份文件,没有这个东西你的系统就无法再用GHOST恢复了!) 经过...

应县18518162719： 我家电脑中病毒了!是熊猫烧香啊,怎么办?(加20分) - ？
侯适易维： 很多计算机用户在感染病毒后,就将硬盘格式化,再重装系统.金山毒霸反病毒专家指出,类似“熊猫烧香”这类病毒,是不需要重装系统的,因为系统并不会被破坏,“熊猫”会避免感染Window、Winnt、Internet Explorer等系统目录,也就...