重装系统后远离熊猫烧香的六大安全指南

学习中 2007-1-26 12:7

“前几天，我的电脑感染了熊猫烧香，怎么杀也杀不掉，于是就格盘重装系统，而新装的系统需要修补很多漏洞，就在我上网修补漏洞的时候，电脑再次感染病毒，连机器都起不来了，真是郁闷！”用户张先生抱怨到。

　　金山毒霸反病毒专家指出，类似熊猫烧香这类病毒，是不需要重装系统的，因为系统不会被破坏，熊猫会避免感染Window，Winnt，Internet Explorer等系统目录，也就意味着，你的系统不会彻底崩溃掉，是完全可以修复的。但是，很不幸，不少人已经习惯中病毒搞不定就重装。

　　系统重装给你带来严重的安全威胁：新系统通常存在许多严重漏洞，存在较多的安全风险。而老系统通常会被很多工具，如金山的漏洞扫描修复、windows update等修复过。补丁修复必须访问微软服务器，受光缆损坏的影响，网速非常慢，修复补丁需要很长时间，而国内的网络通信却不受此影响，新系统被攻陷的可能性非常大。

　　金山反病毒专家建议广大用户参考以下步骤降低新装系统的安全风险，避免重装后再次被熊猫烧香或者其它病毒感染的情况。

　　1.重装系统连接网络前，必须确保windows防火墙是开启状态，建议立即修改administrator用户口令，这一步其实在安装的时候就要做，不过有很多人会使用空口令。

　　修改方法：修改方法，右键单击我的电脑，选择管理，浏览到本地用户和组，在右边的窗格中，选择具备管理员权限的用户名，单击右键，选择设置密码，输入新密码。安全的密码是字母数字特殊字符的组合。

　　2.强烈建议改变你的操作习惯，不要使用双击方式来打开本地磁盘、移动硬盘、U盘、各种数码存储卡。而要习惯使用在磁盘图标上点右键，在弹出的菜单中选择资源管理器。在进行下一步之前，强烈建议不要插入各种移动存储设备。

　　3.立即关闭自动播放功能，自动播放大大增加了感染病毒的风险，熊猫烧香病毒很多是通过插入U盘这样一个简单的动作入侵系统的。

　　关闭方法：步骤：单击开始，运行，输入gpedit.msc，打开组策略编辑器，浏览到计算机配置，管理模板，系统，在右边的窗格中选择关闭自动播放，该配置缺省是未配置，在下拉框中选择所有驱动器，再选取已启用，确定后关闭。最后，在开始，运行中输入gpupdate，确定后，该策略就生效了。

　　4.立即安装杀毒软件，建议使用正版光盘安装，不推荐用存储在本地硬盘、移动硬盘或U盘中的安装包，因为程序可能已经染毒，如果你没有确认安全的安装包，强烈建议直接访问杀毒软件官方网站下载安装包。

　　5.安装杀毒软件后，应该立即在线升级病毒库，金山毒霸2007最新升级中包含了针对熊猫烧香病毒的疫苗，可以防止您的电脑被新的熊猫烧香变种入侵。

　　6.最后一步，使用杀毒软件完整扫描硬盘，把感染熊猫烧香病毒的执行程序，网页文件修复。
=================================

我个人见解

如果重装系统，

1.请准备好最新的补丁集成包，不用上网就可以更新到最新的补丁了，当然，你得做好备份。这个在网上很容易就能找到。比如：

补丁集收录了截止2007年1月18的 Windows XP Professional SP2 后的所有官方高优先级更新补丁〔自动更新〕。注意!非自动更新的补丁没有收录〔其实也没必要〕，适用于所有的简体中文windows xp sp2专业版,不适用于没有升级的XP或SP1版XP。自动安装所有更新补丁，并自动清除安装更新补丁时产生的备份和LJ。

因为不想将补丁包弄得过大，所以就将“Windows Media Player 11(微软07年1月15日新发布版)”和“Internet Explorer 7”分别单独打包了。

特别提示，由于是安装时自动清除安装备份和LJ的，所以安装后是不能再卸载了。

下载：

Windows Media Player 11 ：http://www.baodi.net\fdiskoo1\wmp11.exe

Internet Explorer 7：http://www.baodi.net\fdiskoo1\IE7.exe

XPsp2后更新集[电爱版]0701：http://www.baodi.net\fdiskoo1\XPsp2后更新集电爱版0701.exe

下载后直接双击运行即可开始安装，安装后效果和在线更新是完全一样的。安装过程是很简单的，如下图：

=====

2.既然中毒了，重新装好系统后，就要对其他盘符进行检查，这时候就千万不要直接点击打开其他盘符，应使用右键打开。当然杀毒过程中，就是要重闪存要杀毒包了，这时也得右键打开U盘，免得又中招。

Autorun类病毒智能删除+免疫

点击下载该文件

通用版本，无须定义病毒文件。主要用于U盘及移动硬盘。
智能查找AutoRun.inf里面的文件并删除。

免疫原理：
删除已有病毒（假如有的话）；
注册表免疫（0xDF，不包括CDROM；0xFF包括）；
Autorun.inf免疫+建立无法删除的目录；

注意事项：
请将所有的移动硬盘或U盘插上再运行。
以确保彻底免疫此类病毒。

系统目录中病毒与注册表项，请手工清除。

熊猫烧香软件专杀合集!!

图片：

图片：

注:本人转载木蚂蚁社区

熊猫烧香（Worm.Nimaya/武汉男生）病毒介绍
中文名：“熊猫烧香”
病毒长度：可变
病毒类型：蠕虫
危害等级：★★★
影响平台：Win
9X/ME/NT/2000/XP/2003
“武汉男生”，俗称“熊猫烧香”，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样
1:拷贝文件
病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe
2:添加注册表自启动
病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
3:病毒行为
a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序：
QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec
AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped
gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword
并使用的键盘映射的方法关闭安全软件IceSword
添加注册表使自己自启动
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare ->
C:\WINDOWS\System32\Drivers\spoclsv.exe
并中止系统中以下的进程:
Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe
b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$ 共享
c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$ 共享
d:每隔6秒删除安全软件在注册表中的键值
并修改以下值不显示隐藏文件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue -> 0x00
删除以下服务:
navapsvc、wscsvc、KPfwSvc、SNDSrvc、无党派人士roxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec
Core LC、NPFMntor MskService、FireSvc
e:感染文件
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部，并在扩展名为htm,html,
asp,php,jsp,aspx的文件中添加一网址，用户一但打开了该文件，IE就会不断的在后台点击写入的网址，达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件：
WINDOW、Winnt、System Volume Information、Recycled、Windows
NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet
Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield
Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone
g:删除文件
病毒会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。
“熊猫烧香”（“威金”变种qo）是一个由Delphi工具编写的蠕虫，终止大量的反病毒软件和防火墙软件进程，病毒会删除扩展名为gho的文件，使用户无法使用ghost软件恢复操作系统。“熊猫烧香”感染系统的*.exe、*.com、*.pif、*.src、*.html、*.asp文件，添加病毒网址，导致用户一打开这些网页文件，IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe，可以通过U盘和移动硬盘等方式进行传播，并且利用Windows系统的自动播放功能来运行。搜索硬盘中的*.EXE可执行文件并感染，感染后的文件图标变成“熊猫烧香”图案。“熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播

下载地址

微软的MS06-014漏洞，应立即打好该漏洞补丁。
补丁下载地址：http://download.microsoft.com/download/5/a/a/5aa8efea-9f8e-4dd6-8fdb-76c8407c48b2/WindowsXP-KB911562-x86-CHS.exe