病毒问题，急

熊猫烧香病毒 去找个专杀的工具

关于变种"熊猫烧香"病毒最新解决办法(包括XP,2000系统下的。还有一定程度预防此病毒的方法）

我是广西南宁的，要是哪家单位被病毒弄得鸡犬不宁的话，可以联系我，我帮你们处理。我的联系电话是07718025017。以上代码可以任意传播，但要是乱改代码。出事了可不关我的事啊。另外传播的时候，最好符上我的联系方式，这样更到的受害者能联系上我，多联系上一个，网络上的病毒就少一点。我也能多完善我的“杀毒软件”这样大家就不会受病毒之苦了。本人会做病毒，但我觉得没必要作，我更喜欢杀毒，至少杀毒不会被人骂，哈哈……。不说了。有困难联系我。

一、处理XP系统下的病毒

批处理代码如下，看起来有点罗嗦，但没办法，这些病毒就得让我罗嗦，而且有些地方可能有些网友不明白，因为求助的人太我，我现在暂时没时间解释。等你了解那病毒以后，你就会明白的。不会用的加我Q：53779213，也可入我的群：13021805或者发信：huang10497301@163.com另外，因为是赶制出来的，可能还存在漏洞，要是发现漏洞的网友记得提醒我一下啊。谢啦

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

taskkill /im devgt.exe /f

taskkill /im iexpl0re.EXE /f

taskkill /im SVCHQST.EXE /f

taskkill /im iexplore.exe /f

taskkill /im iexplore.exe /f

taskkill /im iexplore.exe /f

taskkill /im iexplore.exe /f

taskkill /im iexplore.exe /f

taskkill /im iexplore.exe /f

taskkill /im iexplore.exe /f

taskkill /im iexplore.exe /f

taskkill /im iexplore.exe /f

taskkill /im devgt.exe /f

taskkill /im spoclsv.exe /f

taskkill /im iedw.exe /f

taskkill /im svohost.exe /f

taskkill /im sxs.exe /f

taskkill /im qdoxjq.exe /f

rd /s /q C:\WINDOWS\system32\spool

cd

c:

attrib qdoxjq.exe -a -h -s

del /s /q /f qdoxjq.exe

attrib nvlib.def -a -h -s

del /s /q /f nvlib.def

attrib Desktop_.ini -a -h -s

del /s /q /f Desktop_.ini

attrib iedw.exe -a -h -s

del /s /q /f iedw.exe

attrib setup.exe -a -h -s

del /s /q /f setup.exe

attrib autorun.inf -a -h -s

del /s /q /f autorun.inf

attrib lccxga.exe -a -h -s

del /s /q /f lccxga.exe

attrib sxs.exe -a -h -s

del /s /q /f sxs.exe

attrib iexpl0re.EXE -a -h -s

del /s /q /f iexpl0re.EXE

attrib SVCHQST.EXE -a -h -s

del /s /q /f SVCHQST.EXE

attrib psinthk.dll -a -h -s

del /s /q /f psinthk.dll

attrib spoclsv.exe -a -h -s

del /s /q /f spoclsv.exe

attrib rmincon.exe -a -h -s

del /s /q /f rmincon.exe

attrib a.bat -a -h -s

del /s /q /f a.bat

attrib mh.exe -a -h -s

del /s /q /f mh.exe

d:

attrib nvlib.def -a -h -s

del /s /q /f nvlib.defe

attrib iedw.exe -a -h -s

del /s /q /f iedw.exe

attrib setup.exe -a -h -s

del /s /q /f setup.exe

attrib autorun.inf -a -h -s

del /s /q /f autorun.inf

attrib lccxga.exe -a -h -s

del /s /q /f lccxga.exe

attrib sxs.exe -a -h -s

del /s /q /f sxs.exe

attrib iexpl0re.EXE -a -h -s

del /s /q /f iexpl0re.EXE

attrib SVCHQST.EXE -a -h -s

del /s /q /f SVCHQST.EXE

attrib psinthk.dll -a -h -s

del /s /q /f psinthk.dll

attrib spoclsv.exe -a -h -s

del /s /q /f spoclsv.exe

attrib rmincon.exe -a -h -s

del /s /q /f rmincon.exe

attrib a.bat -a -h -s

del /s /q /f a.bat

attrib mh.exe -a -h -s

del /s /q /f mh.exe

attrib spoolsv.exe -a -h -s

del /s /q /f spoolsv.exe

e:

attrib nvlib.def -a -h -s

del /s /q /f nvlib.defe

attrib iedw.exe -a -h -s

del /s /q /f iedw.exe

attrib setup.exe -a -h -s

del /s /q /f setup.exe

attrib autorun.inf -a -h -s

del /s /q /f autorun.inf

attrib lccxga.exe -a -h -s

del /s /q /f lccxga.exe

attrib sxs.exe -a -h -s

del /s /q /f sxs.exe

attrib iexpl0re.EXE -a -h -s

del /s /q /f iexpl0re.EXE

attrib SVCHQST.EXE -a -h -s

del /s /q /f SVCHQST.EXE

attrib psinthk.dll -a -h -s

del /s /q /f psinthk.dll

attrib spoclsv.exe -a -h -s

del /s /q /f spoclsv.exe

attrib rmincon.exe -a -h -s

del /s /q /f rmincon.exe

attrib a.bat -a -h -s

del /s /q /f a.bat

attrib mh.exe -a -h -s

del /s /q /f mh.exe

attrib spoolsv.exe -a -h -s

del /s /q /f spoolsv.exe

f:

attrib nvlib.def -a -h -s

del /s /q /f nvlib.defe

attrib iedw.exe -a -h -s

del /s /q /f iedw.exe

attrib setup.exe -a -h -s

del /s /q /f setup.exe

attrib autorun.inf -a -h -s

del /s /q /f autorun.inf

attrib lccxga.exe -a -h -s

del /s /q /f lccxga.exe

attrib sxs.exe -a -h -s

del /s /q /f sxs.exe

attrib iexpl0re.EXE -a -h -s

del /s /q /f iexpl0re.EXE

attrib SVCHQST.EXE -a -h -s

del /s /q /f SVCHQST.EXE

attrib psinthk.dll -a -h -s

del /s /q /f psinthk.dll

attrib spoclsv.exe -a -h -s

del /s /q /f spoclsv.exe

attrib rmincon.exe -a -h -s

del /s /q /f rmincon.exe

attrib a.bat -a -h -s

del /s /q /f a.bat

attrib mh.exe -a -h -s

del /s /q /f mh.exe

attrib spoolsv.exe -a -h -s

del /s /q /f spoolsv.exe

h:

attrib nvlib.def -a -h -s

del /s /q /f nvlib.defe

attrib iedw.exe -a -h -s

del /s /q /f iedw.exe

attrib setup.exe -a -h -s

del /s /q /f setup.exe

attrib autorun.inf -a -h -s

del /s /q /f autorun.inf

attrib lccxga.exe -a -h -s

del /s /q /f lccxga.exe

attrib sxs.exe -a -h -s

del /s /q /f sxs.exe

attrib iexpl0re.EXE -a -h -s

del /s /q /f iexpl0re.EXE

attrib SVCHQST.EXE -a -h -s

del /s /q /f SVCHQST.EXE

attrib psinthk.dll -a -h -s

del /s /q /f psinthk.dll

attrib spoclsv.exe -a -h -s

del /s /q /f spoclsv.exe

attrib rmincon.exe -a -h -s

del /s /q /f rmincon.exe

attrib a.bat -a -h -s

del /s /q /f a.bat

attrib mh.exe -a -h -s

del /s /q /f mh.exe

attrib spoolsv.exe -a -h -s

del /s /q /f spoolsv.exe

i:

attrib nvlib.def -a -h -s

del /s /q /f nvlib.defe

attrib iedw.exe -a -h -s

del /s /q /f iedw.exe

attrib setup.exe -a -h -s

del /s /q /f setup.exe

attrib autorun.inf -a -h -s

del /s /q /f autorun.inf

attrib lccxga.exe -a -h -s

del /s /q /f lccxga.exe

attrib sxs.exe -a -h -s

del /s /q /f sxs.exe

attrib iexpl0re.EXE -a -h -s

del /s /q /f iexpl0re.EXE

attrib SVCHQST.EXE -a -h -s

del /s /q /f SVCHQST.EXE

attrib psinthk.dll -a -h -s

del /s /q /f psinthk.dll

attrib spoclsv.exe -a -h -s

del /s /q /f spoclsv.exe

attrib rmincon.exe -a -h -s

del /s /q /f rmincon.exe

attrib a.bat -a -h -s

del /s /q /f a.bat

attrib mh.exe -a -h -s

del /s /q /f mh.exe

attrib spoolsv.exe -a -h -s

del /s /q /f spoolsv.exe

j:

attrib nvlib.def -a -h -s

del /s /q /f nvlib.defe

attrib iedw.exe -a -h -s

del /s /q /f iedw.exe

attrib setup.exe -a -h -s

del /s /q /f setup.exe

attrib autorun.inf -a -h -s

del /s /q /f autorun.inf

attrib lccxga.exe -a -h -s

del /s /q /f lccxga.exe

attrib sxs.exe -a -h -s

del /s /q /f sxs.exe

attrib iexpl0re.EXE -a -h -s

del /s /q /f iexpl0re.EXE

attrib SVCHQST.EXE -a -h -s

del /s /q /f SVCHQST.EXE

attrib psinthk.dll -a -h -s

del /s /q /f psinthk.dll

attrib spoclsv.exe -a -h -s

del /s /q /f spoclsv.exe

attrib rmincon.exe -a -h -s

del /s /q /f rmincon.exe

attrib a.bat -a -h -s

del /s /q /f a.bat

attrib mh.exe -a -h -s

del /s /q /f mh.exe

attrib spoolsv.exe -a -h -s

del /s /q /f spoolsv.exe

k:

attrib nvlib.def -a -h -s

del /s /q /f nvlib.defe

attrib iedw.exe -a -h -s

del /s /q /f iedw.exe

attrib setup.exe -a -h -s

del /s /q /f setup.exe

attrib autorun.inf -a -h -s

del /s /q /f autorun.inf

attrib lccxga.exe -a -h -s

del /s /q /f lccxga.exe

attrib sxs.exe -a -h -s

del /s /q /f sxs.exe

attrib iexpl0re.EXE -a -h -s

del /s /q /f iexpl0re.EXE

attrib SVCHQST.EXE -a -h -s

del /s /q /f SVCHQST.EXE

attrib psinthk.dll -a -h -s

del /s /q /f psinthk.dll

attrib spoclsv.exe -a -h -s

del /s /q /f spoclsv.exe

attrib rmincon.exe -a -h -s

del /s /q /f rmincon.exe

attrib a.bat -a -h -s

del /s /q /f a.bat

attrib mh.exe -a -h -s

del /s /q /f mh.exe

attrib spoolsv.exe -a -h -s

del /s /q /f spoolsv.exe

l:

attrib nvlib.def -a -h -s

del /s /q /f nvlib.defe

attrib iedw.exe -a -h -s

del /s /q /f iedw.exe

attrib setup.exe -a -h -s

del /s /q /f setup.exe

attrib autorun.inf -a -h -s

del /s /q /f autorun.inf

attrib lccxga.exe -a -h -s

del /s /q /f lccxga.exe

attrib sxs.exe -a -h -s

del /s /q /f sxs.exe

attrib iexpl0re.EXE -a -h -s

del /s /q /f iexpl0re.EXE

attrib SVCHQST.EXE -a -h -s

del /s /q /f SVCHQST.EXE

attrib psinthk.dll -a -h -s

del /s /q /f psinthk.dll

attrib spoclsv.exe -a -h -s

del /s /q /f spoclsv.exe

attrib rmincon.exe -a -h -s

del /s /q /f rmincon.exe

attrib a.bat -a -h -s

del /s /q /f a.bat

attrib mh.exe -a -h -s

del /s /q /f mh.exe

attrib spoolsv.exe -a -h -s

del /s /q /f spoolsv.exe

m:

attrib nvlib.def -a -h -s

del /s /q /f nvlib.defe

attrib iedw.exe -a -h -s

del /s /q /f iedw.exe

attrib setup.exe -a -h -s

del /s /q /f setup.exe

attrib autorun.inf -a -h -s

del /s /q /f autorun.inf

attrib lccxga.exe -a -h -s

del /s /q /f lccxga.exe

attrib sxs.exe -a -h -s

del /s /q /f sxs.exe

attrib iexpl0re.EXE -a -h -s

del /s /q /f iexpl0re.EXE

attrib SVCHQST.EXE -a -h -s

del /s /q /f SVCHQST.EXE

attrib psinthk.dll -a -h -s

del /s /q /f psinthk.dll

attrib spoclsv.exe -a -h -s

del /s /q /f spoclsv.exe

attrib rmincon.exe -a -h -s

del /s /q /f rmincon.exe

attrib a.bat -a -h -s

del /s /q /f a.bat

attrib mh.exe -a -h -s

del /s /q /f mh.exe

attrib spoolsv.exe -a -h -s

del /s /q /f spoolsv.exe

n:

attrib nvlib.def -a -h -s

del /s /q /f nvlib.defe

attrib iedw.exe -a -h -s

del /s /q /f iedw.exe

attrib setup.exe -a -h -s

del /s /q /f setup.exe

attrib autorun.inf -a -h -s

del /s /q /f autorun.inf

attrib lccxga.exe -a -h -s

del /s /q /f lccxga.exe

attrib sxs.exe -a -h -s

del /s /q /f sxs.exe

attrib iexpl0re.EXE -a -h -s

del /s /q /f iexpl0re.EXE

attrib SVCHQST.EXE -a -h -s

del /s /q /f SVCHQST.EXE

attrib psinthk.dll -a -h -s

del /s /q /f psinthk.dll

attrib spoclsv.exe -a -h -s

del /s /q /f spoclsv.exe

attrib rmincon.exe -a -h -s

del /s /q /f rmincon.exe

attrib a.bat -a -h -s

del /s /q /f a.bat

attrib mh.exe -a -h -s

del /s /q /f mh.exe

attrib spoolsv.exe -a -h -s

del /s /q /f spoolsv.exe

echo 这是专门清除最近比较流行的“sxs.exe setup.exe(讨厌的烧香熊猫)”等病毒.若有问题,可以联系我.Q:53779213 群：13021805 E-mail:HUANG10497301@163.COM@pause

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

运行完以后千万别重启。把以下项导入注册表才能完全清除。

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"

"Text"="@shell32.dll,-30500"

"Type"="radio"

"CheckedValue"=dword:00000001

"ValueName"="Hidden"

"DefaultValue"=dword:00000002

"HKeyRoot"=dword:80000001

"HelpID"="shell.hlp#51105"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"qdoxjq"=-

"ctfmon"=-

"svcshare"=-

"myZt3"=-

"myMh2"=-

"SVOHOST"=-

"sxs"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]

"DebugOptions"="2048"

"Documents"=""

"DosPrint"="no"

"load"=-

"NetMessage"="no"

"NullPort"="None"

"Programs"="com exe bat pif cmd"

"Device"=""

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

2006年1月10日

二、2000系统下处理病毒的方法。

今天再次在2000系统下剖析了一下小猫，现在给大家一些信息，由于还没吃饭，而且手头还有很多工作，就不

罗嗦了。直接说明吧：

以后我都不打算发布自动处理的脚本了，给人鱼不如教人钓鱼。看不懂的网上问我，要不就直接问身边的高手

。要自己学会杀毒，不能总是依赖杀毒软件。还有一个原因，我实在太忙了，没办法，为生存奔波~

此病毒的核心进程是spoclsv.exe,它的位置是在 C:\WINNT\SYSTEM32\drivers,名称是spoclsv.exe，图标是可

爱的小猫猫~。属性为隐藏，只读，系统文件特性。其他的还有什么，AUTORUN.INI。GAMESETUP.EXE。

SETUP.EXE。EXE的都是小猫猫图标，都是隐藏，只读属性。还有很多乱七八糟的进程，都是些什么盗号木马之

类的（如果你连上网，病毒会自动下载运行）。有些人可能很疑惑我在公布的批处理里为什么把IE的进程也结

束了（刚开始还会把IE删了），现在就解释一下吧，这个病毒在你的IEXPLORE.EXE做了手脚，不处理它你应该

知道结果的。最好是删了IEXPLORE.EXE，然后再从正常的系统考一个过来放到原来的位置就行了，XP或2000都

通用的。

查看进程的方法有很多种，用工具，到百度上搜索“进程管理”工具，很多的，越是不出名的越好，因为出名

的都被小猫禁用了。有条件的可以自己写个软件，我就是自己写了一个，专为小猫写的，但我不打算发布，要

不让小猫的主人知道了，他把我的禁用了我就得白打工了。如果不可以直接杀掉那个进程，就看好进程的PID.

然后: 开始-运行-CMD 输入：ntsd -c q -p 病毒的PID。

对付方法，结束SPOCLSV.EXE进程，一切正常。任务管理器，注册表，管理……。接下来知道怎么收拾它了吧

任务管理器打不开就用工具，用批处理。大家杀毒的时候要灵活点，EXE处理不了的，就用BAT，BAT解决不了

的就用HTML，方法多的是。不要总盯着EXE的，要会灵活运用，转换战略角度，让病毒防不胜防。

以后我不打算做成自动的批处理了，给人鱼不如教人钓鱼。想学分析病毒的方法到我群里，主群已经满了（没

钱做高级群，郁闷~~），刚开了个分群：16789738。或者直接加我Q：53779213。

邮箱：huang10497301@163.com我建议除了以下进程外，其他的全杀了.

================================================================================================

　在Windows 2000 中,系统包含以下缺省进程：

　Csrss.exe

　Explorer.exe

　Internat.exe

　Lsass.exe

　Mstask.exe

　Smss.exe

　Spoolsv.exe

　Svchost.exe

　Services.exe

　System

　System Idle Process

　Taskmgr.exe

　Winlogon.exe

　Winmgmt.exe

================================================================================================

对了，到这里顺便说一些我的杀毒风格：宁可错杀百人，不可漏网一个。呵呵，用我的东西可得小心了。

然后把以下的批处理脚本复制到记事本，把后缀改为BAT（原来的是TXT）。双击就可以把可爱的小猫猫赶出你

的电脑了。呵呵，先别高兴，把它的窝一起扔出去再说：

把以下项导入注册表（复制所有以下英文，一个都不能漏。到记事本，改后缀为REG）

================================================================================================

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SH

OWALL]

"RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"

"Text"="@shell32.dll,-30500"

"Type"="radio"

"CheckedValue"=dword:00000001

"ValueName"="Hidden"

"DefaultValue"=dword:00000002

"HKeyRoot"=dword:80000001

"HelpID"="shell.hlp#51105"

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]

"DebugOptions"="2048"

"Documents"=""

"DosPrint"="no"

"load"=-

"NetMessage"="no"

"NullPort"="None"

"Programs"="com exe bat pif cmd"

"Device"=""

================================================================================================

等会再高兴，检查看这只死猫有没有拉屎在你电脑里面（有些有，有些没有）

方法：我的电脑—管理（右键）—服务。把那些没有注释的服务项都禁用，并且把它说指向的文件（猫屎，哈

哈~）删除。

大功告成！至于被小猫咬坏了的EXE文件，随便用个修复工具就可以搞定了，又很多都能用。或者手动修复文

件关联也能恢复。还有听说“超级巡警”，瑞星等大哥们的专杀也可以修复受损文件，我还没时间试。听大伙

说的，大家自己试咯，实在不行就联系我，我一步一步教，就是弄几个DLL，就搞定了。现在太饿了，下次再

写方法了。

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

三、一定程度上预防的办法

另外很多人问我怎么防范小猫呢，以下方法可以适当防得了，希望有时间的战友做成补丁发布，我现在是没时

间了，我手头还有很多工作，没办法，我也得打工赚钱吃饭。如果等我做，那就等一个星期后了。（不知道要

有多少电脑被猫咬了）

第一，就是要关闭自己的默认***享。

首先运行regedit，找到如下组建[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把

RestrictAnonymous = DWORD的键值改为：00000001。

restrictanonymous REG_DWORD

0x0 缺省

0x1 匿名用户无法列举本机用户列表

0x2 匿名用户无法连接本机IPC

说明:不建议使用2，否则可能会造成你的一些服务无法启动，如SQL Server

2、禁止默认***享

1）察看本地***享资源

运行-cmd-输入net share

2）删除***享(每次输入一个）

net share ipc$ /delete

net share admin$ /delete

net share c$ /delete

net share d$ /delete（如果有e,f,……可以继续删除）

3）修改注册表删除***享

运行-regedit

找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]

把AutoShareServer（DWORD）的键值改为0000000。

如果上面所说的主键不存在，就新建(右击-新建-双字节值）一个主健再改键值。

3、停止server服务

1）暂时停止server服务

net stop server /y （重新启动后server服务会重新开启）

2）永久关闭ipc:lanmanserver即server服务

控制面板-管理工具-服务-找到server服务（右击）-属性-常规-启动类型-已禁用

第二，在注册表里禁止病毒进程运行

导入注册表：

================================================================================================

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"DisallowRun"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]

"1"="spoclsv.exe"

"2"="qq2007.exe"

"3"="iexpl0re.EXE"

"4"="SVCHQST.EXE"

"5"="iedw.exe"

"6"="svohost.exe"

"7"="sxs.exe"

"8"="qdoxjq.exe"

================================================================================================

以此类推，大家可以自己加9，10，11，12，13……，反正你怀疑是病毒的就把它加上去就可以了。

这只猫并不可怕，大家要鼓起勇气，向它挑战。齐心合力，一定可以把它给灭了~。

对了，说点题外话，我们公司现在接了个大工程，今天就开工了。我肯定是跑不掉的（为了生存，无奈）。所

以我的时间非常紧迫，能用在杀毒上的时间少得可怜。除非是这个病毒串到我们公司负责网络我才有机会收拾

它。也就是说接下来的至少一个星期我都不会有很多时间上网(中午休息时间可以12:30-2:30),如果大家有问

题，就注意看好时间了。还有我只有一个头，两只手，多一点都没有了。不可能来得及回答所有人的问题，请

大家见谅。实在很急的话电话联系：0771-8025017

另外，我希望有更多杀毒战线上的战友…… QQ：53779213