病毒信息
中文名：熊貓燒香病毒（又稱武漢男生），英文名（Worm.WhBoy），目前發(fā)現(xiàn)的變種數(shù)已超過50個。
病毒典型惡劣表現(xiàn)：
1．感染病毒后發(fā)現(xiàn)較多的EXE文件圖標(biāo)變成點著香的熊貓，這也是該病毒命名的由來，現(xiàn)在發(fā)現(xiàn)的部分變種已經(jīng)不再使用這個廣為人知的圖標(biāo)了。
2．部分變種可以直接通過互聯(lián)網(wǎng)更新版本，部分變種感染除.exe文件外，還可以感染htm，html，asp，php，jsp，aspx等網(wǎng)頁格式文件。
3．一旦web服務(wù)器被感染，將意味著所有瀏覽這些網(wǎng)頁的計算機可能會自動下載并感染上熊貓燒香病毒。
4．該系列變種會釋放以下幾個典型文件
分區(qū)根目錄下：

code:setup.exe、autorun.inf、%System%Fuckjacks.exe；%System%Driversspoclsv.exe

局域網(wǎng)環(huán)境下：GameSetup.exe
病毒行為：
1．刪除常用殺毒軟件在注冊表中的啟動項或服務(wù)，終止殺毒軟件的進(jìn)程，幾乎涉及目前所有殺毒軟件
2．終止部分安全輔助工具的進(jìn)程，如IceSword，任務(wù)管理器taskmon。
3．終止維金的相關(guān)進(jìn)程Logo1_.exe、Logo_1.exe、Rundl123.exe。
4．弱口令破解局域網(wǎng)其他電腦的Administror帳號，并用GameSetup.exe進(jìn)行復(fù)制傳播。
5．修改注冊表鍵值，導(dǎo)致不能查看隱藏文件和系統(tǒng)文件。
6．除C盤如下目錄外，病毒會嘗試破壞其它分區(qū)下的部分.exe、.com、.gho、.pif、.scr文件，病毒不會去感染以下目錄中的文件（給我們解決此病毒留下機會了，請看下文中的有關(guān)描述）。

code:WINDOW，Winnt，System Volume Information，Recycled，Windows NT，
Windows Update，Windows MediaPlayer，Outlook Express，Internet Explorer，
NetMeeting，Common Files，ComPlus Applications，Messenger，InstallShield
Installation Information，MSN，Microsoft Frontpage，MovieMaker，MSN GaminZone。

2.沒有安裝毒霸用戶（專殺工具+手動清除）
（1）首選專殺工具
專殺工具是效能最好的方案，能處理已知變種，缺點是有新變種后，專殺也需要更新。推薦去www.xiongmaoshaoxiang.com下載專殺。請重啟系統(tǒng)到帶網(wǎng)絡(luò)連接的安全模式下使用專殺工具查殺。
（2）在線殺毒
因為熊貓燒香病毒的特殊性，殺毒軟件本身可能會被感染，病毒還會嘗試結(jié)束殺毒軟件進(jìn)程和服務(wù)，但病毒不感染IE瀏覽器，用瀏覽器加載在線殺毒控件來清除病毒可以收到奇效。已經(jīng)中招的，可以去shadu.duba.net試試。
（3）手工清除
因為熊貓燒香病毒是感染型的病毒，手工清除相當(dāng)麻煩，網(wǎng)友公布的手工清除方案只能手工結(jié)束病毒進(jìn)程，一段運行了感染過熊貓燒香病毒的程序，還會再中招。以下簡單介紹手工結(jié)束病毒進(jìn)程，修復(fù)注冊表項的步驟：
a.斷開網(wǎng)絡(luò)，禁用網(wǎng)卡或拔掉網(wǎng)線就行；
b.結(jié)束病毒進(jìn)程，因為任務(wù)管理器、IcdSword已經(jīng)無法運行，在已感染病毒的機器上很難實現(xiàn)了。建議去http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/
下載一個Process Explorer備用，郁悶的是光纜沒修好，官網(wǎng)下載速度巨慢。可以百度一下，到新浪、華軍、天空去下載。如果在進(jìn)程中發(fā)現(xiàn)FuckJacks.exe、setup.exe、spoclsv.exe（注意和正常的打印服務(wù)就差一個字母，打印服務(wù)文件名為spoolsv.exe），就用這個工具結(jié)束掉。
c.在本地計算機上搜索并刪除以下病毒執(zhí)行文件：
分區(qū)根目錄下：setup.exe、autorun.inf（這個本身不是病毒，但它的存在是為了雙擊磁盤自動調(diào)用病毒程序，建議刪了吧）
%System%Fuckjacks.exe；%System%Driversspoclsv.exe
局域網(wǎng)環(huán)境下：GameSetup.exe
d. 開始-->運行->輸入regedit，確定后，打開注冊表編輯器，刪除病毒創(chuàng)建的啟動項：

code:
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
“FuckJacks”=“%System%FuckJacks.exe
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
“svohost”=“%System%FuckJacks.exe”

瀏覽到

code:
HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersion
explorerAdvancedFolderHiddenSHOWALL， 

單擊右鍵，點新建--Dword值--命名為CheckedValue（如果已經(jīng)有，可以刪除后重建），修改它的鍵值為1，為十六進(jìn)制，按確定后，退出注冊表編輯器。以恢復(fù)文件夾選項中的“顯示所有隱藏文件”和“顯示系統(tǒng)文件”
e.修復(fù)或重新安裝反病毒軟件，以恢復(fù)被病毒刪除的注冊鍵值，恢復(fù)殺毒軟件的功能。
f.最后，還是要更新反病毒軟件全盤掃描，把感染的EXE程序、網(wǎng)頁格式的文件修復(fù)。特別提醒網(wǎng)頁編輯，一定要保護(hù)好自己編輯的Web文檔，保護(hù)好自己的Web服務(wù)器，如果發(fā)現(xiàn)網(wǎng)站上傳文件帶毒，應(yīng)該及時刪除，重新上傳。

·清除“熊貓燒香”病毒專題