“熊猫烧香”男孩李俊！

嬡哭鬼'

真没想到:



                                     没想到他的文化程度才中专.这个没有上过大学，中专毕业后参加网络技术职业培训班，各方面都很平凡的年轻人，做了一件不平凡的事。

                                李俊中专毕业后，参加的网络技术职业培训班。在讲究出身的中国，属于出生卑贱一族。纵然有飞天的本事，没有过硬的文凭，三番五次的求职，一次次被拒之门外！假如不是“唯文凭论”把李俊给害了，天才李俊们的才能得到发挥，用在为民造福上，还有今天令人色变的“熊猫烧香”吗？为什么没有人去思考一下，是谁害了李俊？所以，仅仅是判李俊是不对的！

                             李俊的“熊猫烧香”顶多算是那些产品的“试金石”而已。这也给我们那么依赖所谓的“杀毒软件”的朋友敲响了警钟；一个在李俊眼里，根本算不上什么的病毒程序，却难倒了几大杀毒软件生产商，其中的猫腻还需要我说明吗？人家李俊怎么五个小时就能写出杀毒程序啊？

                                             一个中专生，充其量是个业余网络高手，两个月制造出的“熊猫烧香”，竟然难倒了众多正牌的杀毒专家。是他们不作为？还是他们本身就是一群蠢猪？有点脑子的朋友们应该可以想象一下，不是他们水平不高，拿“熊猫”束手无策，而是专业杀毒软件公司可以借机发“熊猫”财。而网络警察们，长时间拿“熊猫烧香”束手无策，那么是李俊的水平高深？还是网警水平实在低的不敢恭维？做为网警是他们不作为，还是“熊猫”病毒根本不值得他们去作为？如果是前者，那么就应该可以请李俊们来充实网警，请真正技术高明的人来管理，而不是只用些三脚猫水平的人来些滥竽充数。


  我想说：对于李俊给我、给我们造成的麻烦，在他正式道歉之后，我原谅了他！希望我们大家都原谅他！希望不要惩罚李俊，至少不要那么重！让李俊这样的网络天才，发挥自己的能量，这才是我们广大网民的真正福音[em08] [em08] [em08]

ψ俊★亻桀

听说  熊猫烧香的变异种开始在网络上肆虐了

嬡哭鬼'

是啊..

好象变什么金猪....

嬡哭鬼'

刚才查的消息


山毒霸反病毒专家戴光剑指出，伴随着各大杀毒厂商对“熊猫烧香”病毒的集中绞杀，该病毒正在不断“繁衍”新的变种，密谋更加隐蔽的传播方式。据不完全统计，仅12月份至今，变种数已达90多个，个人用户感染熊猫烧香的已经高达几百万，企业用户感染数还在继续上升。

此外学生寒假开始，上网人群短期内集中上升，病毒的传播速度也空前加快，所以用户在进行上网的过程中要更加警惕病毒的入侵。据了解，前几天在网络上出现了“熊猫烧香”作者声称不再有变种出现，而“金猪”的出现再次粉碎了人们的美梦，再次将人们拉回到熊猫烧香的梦魇之中。专家称，按照目前“熊猫烧香”破坏程度，威胁将延伸至春节。

金猪专杀工具下载： /html/down/20070201/697.html

病毒描述：

“武汉男生”，俗称“熊猫烧香”，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。



1:拷贝文件

病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe

2:添加注册表自启动

病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

3:病毒行为

a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序：

QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword

并使用的键盘映射的方法关闭安全软件IceSword

添加注册表使自己自启动 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

并中止系统中以下的进程:

Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe

b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$共享

c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$共享

d:每隔6秒删除安全软件在注册表中的键值

并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00

删除以下服务:

navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc

e:感染文件

病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部，并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址，用户一但打开了该文件，IE就会不断的在后台点击写入的网址，达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件：

WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone

g:删除文件

病毒会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失

嬡哭鬼'

熊猫烧香变种spoclsv.exe查杀


首先说明别的网友也有发过类似方法，但是不是很详细，对电脑知识不是很丰富的网友可能理解有困难，所以本人使之简化，并加入自己的亲身经历做参考，谢谢！

昨天偶的电脑不幸中标......

无奈百度一下，方知中了熊猫烧香变种spoclsv.exe病毒，郁闷啊，郁闷啊，几乎大部分的*.exe文件都被感染鸟......

之后，偶便是开始杀毒ing......

杀的那叫昏天黑地啊，最后终于被偶搞定，顺便鄙视下病毒的编写者，无聊搞这东西出来干嘛？

下面偶就来介绍下无敌杀熊猫的超级有效办法，嘿嘿



1. 断开网络（必要）

2. 结束病毒进程
%System%\drivers\spoclsv.exe

本步骤要本着2大原则：“眼疾手快、愚公移山”，有了这2大精神，那么本步骤也就不难完成了，不过运气好的哥们儿，可能会一下搞定，运气不好的.......

3. 删除病毒文件：
c:\windows\system32\drivers\spoclsv.exe

注意：打开C盘要右键-开打，负责仁兄就要功亏一篑，重复2的步骤鸟，伤心吧！

4. 修改注册表设置，恢复“显示所有文件和文件夹”选项功能：
[Copy to clipboard]CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"=dword:00000001

本步骤针对病毒将显示隐藏文件禁用的情况

5. 右键点击分区盘符，点击右键菜单中的“打开”进入分区根目录，删除根目录下的文件：

X:\setup.exe
X:\autorun.inf

6. 删除病毒创建的启动项：

[Copy to clipboard]CODE:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"

7. 使用专杀工具进行全盘扫描，清除恢复被感染的exe文件

推荐使用软件：NimayaKiller

下载地址：http://download.rising.com.cn/zsgj/NimayaKiller.scr

注意：此软件必须上网更新才有用！

估计现在已经大功告成，如还是没搞定，那就要你动动脑筋，具体情况具体对待咯！

ψ俊★亻桀

[em09]

嬡哭鬼'

太可怕了











还好我没中到这个毒...不然就残了

ψ俊★亻桀

对对对... ...[em06]

嬡哭鬼'

不然系统崩溃不知道怎么办...




听说重新按装系统还不行也

嬡哭鬼'

我哥哥中过............不过是去年....................那时侯不严重