1.拔网线；

　　2.重新进入WinXP安全模式，熊猫烧香病毒进程没有加载，可使用“任务管理器”！（提示：开机后按住F8）

　　3.删除病毒文件：%SystemRoot%\system32\drivers\nvscv32.exe。

　　4.开始菜单=>运行，运行msconfig命令。在“系统配置实用程序”中，取消与nvscv32.exe相关的进程。也可使用超级兔子魔法设置、HijackThis等，删除nvscv32.exe的注册表启动项。

病毒进程的启动 src="/upfile/allimg/070308/0401440.jpg" border=0>

取消熊猫烧香病毒进程的启动

　　5.下载并使用江民专杀工具，修复被感染的exe文件。并及时打上Windows补丁。

　　6.清除html/asp/php等，所有网页文件中如下代码：（为防止传播代码有三处修改，请将“。”换为“.”）

　　批量清除恶意代码的方法：

• 　　可使用Dreamweaver的批量替换。

Dreamweaver批理替换的使用方法

• 　　可下载使用BatchTextReplacer批量替换。
• 　　部署了Symantec AntiVirus的企业，升级到最新病毒库扫描全盘文件，即可清除被添加的恶意代码和清除病毒文件。

　　7.用安装杀毒软件，并升级病毒库，扫描整个硬盘，清除其他病毒文件。推荐PConline多次推荐的“免费卡巴斯基”——Active Virus Sheild。（xxxxxxxxxxxxx）（注：步骤7不能与步骤5调换，以免可修复的带毒文件被删除！）

　　8.删除每个盘根目录下的autorun.inf文件，利用搜索功能，将Desktop_.ini全部删除。

二、互联安全网提供的解决方法（后文的病毒描述、中毒现象和技术分析均来自互联安全网）

　　1：关闭网络共享，断开网络。

　　2：使用IceSword结束掉nvscv32.exe进程（速度要快，抢在病毒感染IceSword前）

　　3：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
　　Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue的数值改为1

　　4：删除注册表启动项

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\]

　　nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe"

　　5：删除C:\WINDOWS\system32\drivers\nvscv32.exe

　　6：删除每个盘根目录下的autorun.inf文件和setup.exe文件，利用搜索功能，将Desktop_.ini全部删除。

　　7：如果电脑上有脚本文件，将病毒代码全部删除。

　　8：关闭系统的自动播放功能。

　　这样就基本上将病毒清除了。

三、病毒描述

　　含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个 Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，并对局域网其他电脑进行扫描，同时开另外一个线程连接某网站下载木马程序进行发动恶意攻击。

　　文件名称：nvscv32.exe
　　病毒名称：目前各杀毒软件无法查杀（已经将病毒样本上报各杀毒厂商）
　　中文名称：（尼姆亚，熊猫烧香）
　　病毒大小：68,570 字节
　　编写语言：Borland Delphi 6.0 - 7.0
　　加壳方式：FSG 2.0 -> bart/xt
　　发现时间：2007.1.16
　　危害等级：高

四、中毒现象

　　1：在系统每个分区根目录下存在setup.exe和autorun.inf文件（A和B盘不感染）。

　　2：无法手工修改“文件夹选项”将隐藏文件显示出来。

　　3：在每个感染后的文件夹中可见Desktop_ini的隐藏文件，内容为感染日期 如：2007-1-16

　　4：电脑上的所有脚本文件中加入以下代码：

　　5：中毒后的机器上常见的反病毒软件及防火墙无法正常开启及运行。

　　6：不能正常使用任务管理器，SREng.exe等工具。

　　7：无故的向外发包，连接局域网中其他机器。

五、技术分析

　　1：病毒文件运行后，将自身复制到%SystemRoot%\system32\drivers\nvscv32.exe

　　建立注册表自启动项：

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\]

　　nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe"

　　2：查找反病毒窗体病毒结束相关进程：

• 　　天网防火墙
• 　　virusscan
• 　　symantec antivirus
• 　　system safety monitor
• 　　system repair engineer
• 　　wrapped gift killer
• 　　游戏木马检测大师
• 　　超级巡警

　　3：结束以下进程

• 　　mcshield.exe
• 　　vstskmgr.exe
• 　　naprdmgr.exe
• 　　updaterui.exe
• 　　tbmon.exe
• 　　scan32.exe
• 　　ravmond.exe
• 　　ccenter.exe
• 　　ravtask.exe
• 　　rav.exe
• 　　ravmon.exe
• 　　ravmond.exe
• 　　ravstub.exe
• 　　kvxp.kxp
• 　　kvmonxp.kxp
• 　　kvcenter.kxp
• 　　kvsrvxp.exe
• 　　kregex.exe
• 　　uihost.exe
• 　　trojdie.kxp
  
  共2页: 上一页 1 [2] 下一页