熊猫烧香防杀攻略

如果评选近期的网络红人，那么我们的“国宝”先生一定能入选。入选的原因不是“可爱”，而是“祸害”。

最近一段时间，熊猫烧香病毒泛滥成灾，据不完全统计，国内感染熊猫烧香病毒的企业已超过千家，个人用户更是不计其数。目前熊猫烧香病毒正处于一个急速变种期，从此11月份至今，变种数量已达400余种，而且新版本变种病毒防查杀的手段也越来越强(图1)。

“熊猫烧香”可以对用户系统进行破坏，导致大量应用软件无法使用，同时还会关闭杀毒软件进程，删除杀毒软件的注册表项目，禁用杀毒软件的服务，修改资源管理器不显示隐藏文件等。它还会删除扩展名为GHO的所有文件，造成用户的系统备份文件丢失，从而无法进行系统恢复。更大的危害之处是，“熊猫烧香”不但能通过网络自动更新，有的变种病毒还会在指定的网站下载后门、木马、各种盗号程序。

“熊猫烧香”是我们对此病毒的一个直观的通用叫法，它还有一些其他的名称，如尼姆亚病毒、“武汉男生”变种等等。

最快速清除方法――专杀工具

“熊猫烧香”大规模发作以来，很多安全厂商或组织都了自己的专杀工具，但由于变种很多，专杀工具也难以保证完全清除。我们收集了一些专杀工具，做成专杀集合，下载地址是work.省略/pcd。

如果碰到了“熊猫烧香”，大家可以从中选用，毕竟使用专杀工具是快速的应急方法(图2)。专杀工具不光能杀毒，还能修复被病毒感染的文件。但有些“熊猫烧香”病毒会从网上下载很多其他的木马病毒、恶意程序，专杀工具对这些病毒是无能为力的。所以清除完“熊猫烧香”之后，还要升级你的杀毒软件，进行全盘扫描杀毒。

手工查杀指南

由于“熊猫烧香”还会有新的变种出现，对付这种破坏力极强的病毒，我们有必要了解手工查杀它的方法，以防不测。

本文手工查杀中所涉及的软件都可以在work.省略/pcd下载。

1．打造我们的武器

“熊猫烧香”可以杀掉很多杀毒工具，比如笔者之前屡试不爽的《360安全卫士》就已经被新的变种病毒列入黑名单了。它根据程序的窗口标题和进程名来自动关闭这些杀毒工具，只要我们把这些杀毒工具改名，就能防止它们被杀了。

在此我们要用到eXeScope软件，用它打开要修改的程序，查找程序标题。在左边的树形目录中选择“资源”，一般程序标题都在“字符串”或者“对话框”里。展开字符串，会看到很多数字，一个个去找，一般很快就能找到标题项。比如《360安全卫士》的标题项就在第1个字符串中(图3)。

把“奇虎360安全卫”改成其他名称(例如“熊猫别烧香啦”)，这样打开《360安全卫士》后，程序标题就变了，现在“熊猫烧香”也不认得它了(图4)。任务管理器、系统实用配制程序和注册表编辑器都可以修改，不过要注意，eXeScope并不适合修改所有的程序。

另外，“熊猫烧香”能自动中止一些杀毒工具的进程，也可以修改进程名。比如病毒能自动结束任务管理器的taskmgr.exe进程，那么就把它改名为taskmgr2007.exe。

笔者手工查杀时还要用到《360安全卫士》、Total Commander、Unlocker、《木马剑客2007》等软件，于是把它们改了标题和程序名后，放到开启写保护的干净闪盘里使用。

2．杀除病毒进程

由于“熊猫烧香”具有自动恢复功能，所以首先必须关闭它的进程。打开《360安全卫士》，点击“状态”按钮，再点击“启动项状态”。“熊猫烧香”原版病毒只会生成一个和spoclsy.exe程序有关的启动项，但变种病毒生成的启动项就各不相同了，这都要根据经验来判断。如果实在判断不准，可以把这些拿不准的启动项通通删除。 　不过在删除启动项之前，先要结束病毒进程，否则不能成功。根据启动项里的信息，可以知道那些可疑程序的名字和位置。点击“系统进程状态”(图5)。在图5中可以看到spoclsvexe.realschd.exe和ergaon.exe这3个病毒进程，将它们进程关闭即可。spoclsy.exe是熊猫烧香病毒的主程序，一般专杀工具都可以把它清除掉。

有的变种会在后台偷偷地从网上下载病毒程序，如果你没打开IE或者命令提示符窗口却看到它们的进程名，就说明是病毒开启的，赶紧把它们关闭。

3．删除病毒文件

由于这些病毒都是隐藏文件，而病毒又破坏了系统显示隐藏文件的功能，所以我用Total Commander查看病毒。将C:\Windows\system32目录下的文件按时间排序后，可以看到有wpa.db1.odbc32.crc.ergaon.exe等8个文件比较可疑，它们的时间比较接近，而且都是日期最新的文件，将它们通通删去。

在删除过程中，可能发现有的文件无法删除。这里要用到Unlocker，安装好后，用鼠标右键单击病毒程序，在右键菜单中选择Unlocker选项(图6)，就可以看到病毒程序与哪些系统进程捆绑了，然后选择将它解锁或删除。

4．修复注册表

“熊猫烧香”还会修改文件关联。打开瑞星注册表修复工具，它会自动找出被修改的项目，点击工具栏上的修复按钮开始修复。完成后再次搜索注册表，如果又发现被修改的项目，说明还是有恶意程序没有被清除，它们可能是病毒，也可能是流氓软件，用《360安全卫士》都能搞定(图7)。

熊猫烧香病毒破坏了系统显示隐藏文件的功能，我们可以用《木马剑客2007》来修复。打开木马剑客，点击“普通管理－系统修复”，然后点击右下角的“执行修复”按钮即可。

5．消灭残余病毒

清理后，建议进行全盘杀毒，笔者用的是《木马剑客2007》。“熊猫烧香”破坏了原有的杀毒软件，杀毒后务必要将杀毒软件进行修复性安装或者重装，然后升级到最新的病毒库再进行全盘杀毒。另外，当消灭了电脑上的熊猫烧香病毒后，切莫忘记删除闪盘或移动硬盘根目录下的病毒文件。

预防“熊猫烧香”

1．注意闪盘的使用

“熊猫烧香”通过闪盘和网络传播，在使用闪盘时，切莫直接双击，而应该用鼠标右键点击闪盘盘符，在右键菜单中选择“打开”，这样就不会运行闪盘上的病毒程序。另外把自己的闪盘接到别人的电脑上使用时，最好将闪盘的写保护功能打开，这样病毒程序就无法往闪盘里写入病毒文件。

为了安全起见，最好关闭系统的自动运行功能。这可以通过修改组策略来实现，简单一点的方法就是使用《超级巡警U盘病毒免疫器》这款软件。运行后，勾选“所有本地驱动器”，将附加功能都勾选，再点击“开始免疫”按钮，以后双击打开盘符也不会运行Autorun类病毒了(图8)。

2．用好安全软件

由于杀毒软件对很多木门程序的查杀能力有限，所以最好在电脑上安装一款木马监控软件，配合杀毒软件使用。安装一款网络防火墙也很有必要，比如天网，它们可以有效地保护电脑不被网络中的其他病毒主机攻击。

3．把Ghost镜像文件改名

由于熊猫烧香病毒会删除用户电脑上的Ghost镜像文件，让用户无法还原干净的系统。建议把Ghost镜像文件更改扩展名。Ghost镜像文件的扩展名是GHO，把它改成GHH或者GOO之类的，病毒就不认识了。等要还原系统镜像时，再把扩展改回来即可。另外也可以使用一些独立于操作系统，也不占用硬盘使用空间的系统还原软件，比如《三茗一键恢复》。

“熊猫烧香”给很多电脑用户带了巨大的损失，有的网吧经营者设置因此损失数十万元。目前，有一些热心的网友正在追踪此病毒，希望能将其作者找出来，他一定会遭到大家的谴责。

本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读

本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文