文章大纲：

• 1、熊猫烧香病毒与勒索病毒哪个可怕
• 2、熊猫烧香属于什么病毒，谁制造的熊猫烧香
• 3、熊猫烧香是什么病毒？
• 4、熊猫烧香是一种什么病毒，严重吗？

熊猫烧香病毒与勒索病毒哪个可怕

这两个都有挺可怕，危害都挺大，但是出现的时代不同造成后果大不相同，熊猫烧香那会儿电脑的防病毒技术远没有现在高，很多基本都束手无策，现在不一样，在勒索病毒刚出来不久，微软以及360卫士这样的第三方安全软件就推出了相应的抵御工具，现在已经可以完美进行防护了

熊猫烧香属于什么病毒，谁制造的熊猫烧香

“熊猫烧香”病毒制造者李俊 已被捕

熊猫烧香是一种蠕虫病毒的变种，而且是经过多次变种而来的。尼姆亚变种W(Worm.Nimaya.w)，由于中毒电脑的可执行文件会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样！

熊猫烧香是什么病毒？

熊猫烧香病毒变种一：病毒进程为“spoclsv.exe” 这是“熊猫烧香”早期变种之一，特别之处是“杀死杀毒软件”，

GameSetup.exe _Disktop.ini Disktop_ini Autorun.inf logo_1.exe rundl132.exe spoclsv.exe FuckJacks.exe

解决方案：

1. 结束病毒进程：

%System%\drivers\spoclsv.exe

不同的spoclsv.exe变种，此目录可不同。比如12月爆发的变种目录是：C:\WINDOWS\System32\Drivers\spoclsv.exe。但可用此 *** 清除。

“%System%\system32\spoclsv.exe”是系统文件。（目前看来没有出现插入该系统进程的变种，不排除变种的手法变化。）

查看当前运行spoclsv.exe的路径，可使用超级兔子魔法设置。

2. 删除病毒文件：

%System%\drivers\spoclsv.exe

请注意区分病毒和系统文件。详见步骤1。

3. 删除病毒启动项：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"svcshare"="%System%\drivers\spoclsv.exe"

4. 通过分区盘符右键菜单中的“打开”进入分区根目录，删除根目录下的病毒文件：

X:\setup.exe

X:\autorun.inf

5. 恢复被修改的“显示所有文件和文件夹”设置：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

\Explorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"=dword:00000001

6. 修复或重新安装被破坏的安全软件。

7.修复被感染的程序。可用专杀工具进行修复，收集了四个供读者使用。金山熊猫烧香病毒专杀工具、安天熊猫烧香病毒专杀工具、江民熊猫烧香病毒专杀工具和瑞星熊猫烧香病毒专杀工具。也可用手动 *** （见本文末）。

病毒Fuckjacks.exe

病毒Fuckjacks.exe

释放文件

分区根目录下：setup.exe

分区根目录下：autorun.inf

%System%\Fuckjacks.exe

局域网环境下：GameSetup.exe

解决过程

1、确定使用鼠标右键打开盘符

2、结束Fuckjacks.exe进程

3、删除其释放的所有文件（每个分区下）

4、删除其创建的注册表信息

解决办法：

病毒用了进程保护。建议启动计算机进入安全模式下杀毒。操作的时候千万不要双击，选择右键打开。

1、打开任务管理器，结束掉FuckJacks.exe进程。

2、右击每个分区盘符选择“打开”删除分区根目录下面的setup.exe和autorun.inf文件。

3、打开注册表。查找 *** jacks.exe把所有关于这个的全部删除。

4、被病毒覆盖的文件（覆盖后的文件大小为30,465字节）是不可恢复的，直接删除；被修改的文件用16进制编辑器删除00000000到00007700的代码段，在文件末尾找到并删除从“WhBoy”到最后所有的代码段保存即可恢复原貌

1. 断开 ***

2. 结束病毒进程

%System%\FuckJacks.exe

3. 删除病毒文件：

%System%\FuckJacks.exe

4. 右键点击分区盘符，点击右键菜单中的“打开”进入分区根目录，删除根目录下的文件：

X:\autorun.inf

X:\setup.exe

5. 删除病毒创建的启动项：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"FuckJacks"="%System%\FuckJacks.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"svohost"="%System%\FuckJacks.exe"

6. 修复或重新安装反病毒软件

7. 使用反病毒软件或专杀工具进行全盘扫描，清除恢复被感染的exe文件

清除步骤

==========

1.断开 *** 。

2.结束病毒进程。

%System%\FuckJacks.exe

3.删除病毒文件：

%System%\FuckJacks.exe

4.右键点击分区盘符，点击右键菜单中的“打开”进入分区根目录，删除根目录下的文件。

X:\autorun.inf

X:\setup.exe

5.删除病毒创建的启动项：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"FuckJacks"="%System%\FuckJacks.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"svohost"="%System%\FuckJacks.exe"

6.修复或重新安装反病毒软件。

7.使用反病毒软件或专杀工具进行全盘扫描，清除恢复被感染的exe文件。

中毒文件的恢复(仅个人观点，只在自己的虚拟机上测试正常)。

首先在清除病毒文件的同时不要删除%SYSTEM%下面释放FuckJacks.exe的这个文件,(注册表里要清除干净)。

打开运行输入gpedit.msc打开组策略-本地计算机策略-windows设置-安全设置-软件限制策略-其它规则。

在其它规则上右键选择-新散列规则-打开新散列规则窗口。

在文件散列上点击浏览找到-%SYSTEM%下面释放FuckJacks.exe文件……安全级别选择-不允许的确定后重启(一定重启)。

重启后可以双击运行已经被熊猫感染的程序-运行程序后该FuckJacks.exe文件会在注册表里的Run键下建立启动项(不会有问题的)。

双击运行被感染的程序已经恢复原来样子了，全部恢复后用系统诊断恢复工具SRENG2把FuckJacks.exe在注册表里的启动项删除即可！

2.、利用组策略，关闭所有驱动器的自动播放功能。

步骤：单击开始，运行，输入gpedit.msc，打开组策略编辑器，浏览到计算机配置，管理模板，系统，在右边的窗格中选择关闭自动播放，该配置缺省是未配置，在下拉框中选择所有驱动器，再选取已启用，确定后关闭。最后，在开始，运行中输入gpupdate，确定后，该策略就生效了。

解决办法：

1、拔掉网线断开 *** ，打开Windows任务管理器，迅速找到spoclsv.exe，结束进程，找到explorer.exe，结束进程，再点击文件，新建任务，输入c:\WINDOWS\explorer.exe，确定。

2、点击开始，运行，输入cmd回车，输入以下命令：

del c:\setup.exe /f /q

del c:\autorun.inf /f /q

如果你的硬盘有多个分区，请逐次将c:改为你实际拥有的盘符（C盘--Z盘）。上述两个木马文件为只读隐藏，会修改Windows属性，使用户无法通过设置文件夹选项显示所有文件及文件夹的功能看到。

3、进入注册表，删除HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下svcshare值。

4、删除C:\windows\system32\drivers\spoclsv.exe

5、修复或重新安装防病毒软件并升级病毒库，彻底全面杀毒，清除恢复被感染的.exe文件。

6、屏蔽熊猫烧香病毒网站pkdown.3322.org和ddos2.sz45.com，具体 *** 如下：

打开C:\WINDOWS\system32\drivers\etc\host文件，添加修改如下格式：

# Copyright 1993-1999 Microsoft Corp.

#

# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.

#

# This file contains the mappings of IP addresses to host names. Each

# entry should be kept on an individual line. The IP address should

# be placed in the first column followed by the corresponding host name.

# The IP address and the host name should be separated by at least one

# space.

#

# Additionally, comments (such as these) may be inserted on individual

# lines or following the machine name denoted by a '#' symbol.

#

# For example:

#

# 102.54.94.97 rhino.acme.com # source server

# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

127.0.0.1 *.3322.org

127.0.0.1 *.sz45.com

7、修复文件夹选项的“显示所有文件及文件夹”的 *** ：

A、找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL分支，在右边的窗口中双击CheckedValue键值项，该键值应为1.如果值不为1,改为1即可。

如果你设置仍起不了作用，那么接下来看。

有些木马把自己的属性设置成隐藏、系统属性，并且把注册表中“文件夹选项中的隐藏受保护的操作系统文件”项和“显示所有文件和文件夹”选项删除，致使通过procexp可以在进程中看到，但去文件所在目录又找不到源文件，无法进行删除。(正常如图，被修复后看不见图中标注的项)

针对这种情况可以把下面内容存储成ShowALl.reg文件,双击该文件导入注册表即可

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"

"Text"="@shell32.dll,-30501"

"Type"="radio"

"CheckedValue"=dword:00000002

"ValueName"="Hidden"

"DefaultValue"=dword:00000002

"HKeyRoot"=dword:80000001

"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"

"Text"="@shell32.dll,-30500"

"Type"="radio"

"CheckedValue"=dword:00000001

"ValueName"="Hidden"

"DefaultValue"=dword:00000002

"HKeyRoot"=dword:80000001

"HelpID"="shell.hlp#51105"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]

"Type"="checkbox"

"Text"="@shell32.dll,-30508"

"WarningIfNotDefault"="@shell32.dll,-28964"

"HKeyRoot"=dword:80000001

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"

"ValueName"="ShowSuperHidden"

"CheckedValue"=dword:00000000

"UncheckedValue"=dword:00000001

"DefaultValue"=dword:00000000

"HelpID"="shell.hlp#51103"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]

@=""

具体操作 *** ：

1）通过记事本新建一个文件

2）将以上内容复制到新建的记事本文件中

3）通过记事本文件菜单另存为show.reg

4）双击存储的showall.reg文件，点击弹出的对话框是按钮即可。

注意：以上 *** 对win2000和XP有效

B、HKEY_LOCAL_MACHINE | Software |Microsoft | windows | CurrentVersion | explorer | Advanced | Folder | Hidden | SHOWALL，将CheckedValue键值修改为1

但可能依然没有用，隐藏文件还是没有显示，这是因为病毒在修改注册表达到隐藏文件目的之后，把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0！

*** ：删除此CheckedValue键值，单击右键 新建Dword值，命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。

熊猫烧香是一种什么病毒，严重吗？

这个图案 熊猫烧香”其实是一种蠕虫病毒的变种，而且是经过多次变种而来的。尼姆亚变种W(Worm.Nimaya.w)，由于中毒电脑的可执行文件会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用。 “熊猫烧香”（“威金”病毒变种） 病毒特征 1、这个病毒关闭众多杀毒软件和安全工具 2、循环遍历磁盘目录，感染文件，对关键系统文件跳过 3、感染所有EXE、SCR、PIF、COM文件 7更改图标为烧香熊猫（有的变种可能不会使用熊猫的图标而换做其他的图标） 4、感染所有.htm/.html/.asp/.php/.jsp/.aspx文件，添加木马恶意代码 5、自动删除*.gho文件（ghost系统备份镜象文件） 6，病毒攻击计算机弱口令以及利用微软自动播放功能 7更改图标为烧香熊猫（有的变种可能不会使用熊猫的图标而换做其他的图标） “尼姆亚（Worm.Nimaya）”病毒：警惕程度★★★☆，蠕虫病毒，通过感染文件传播，依赖系统：WIN 9X/NT/2000/XP。 诱使用户运行。病毒运行后，会自动查找Windows格式的EXE可执行文件，并进行感染。由于该病毒编写存在 问题，用户的一些软件可能会被其损坏，无法运行。 建议你去瑞星官网下个专杀工具: 江民专杀工具下载地址： 熊猫烧香病毒专杀及手动修复方案