資訊天堂 有許多人對電腦有很多疑問 有許多人對電腦充滿好奇 讓我們共同研究它吧~ 有問題的人 可以在留言版提問喔^^ 另外建議大家加我即時通或msn 這樣比較複雜且需要對答的問題 對雙方討論也會輕鬆很多^^ 即時通＆msn帳號：fd0432@yahoo.com.tw

185愛的鼓勵 0訂閱站台

引述東森新聞　2007/01/22

最近大陸網路上出現一隻電腦病毒，一旦遭到感染，所有電腦文件夾
都會變成貓熊拿著三炷香拜拜的圖案，所以也稱做「貓熊燒香」病毒。可
愛的貓熊搖身一變成了電腦病毒，看來沒有威脅性，卻會感染你電腦中的「.exe」文件，預估已經有上百萬人受害。

最近不少大陸網友陸續發現自己電腦裡的文件通通變成貓熊符號，圓
嘟嘟的貓熊對著你燒香拜拜，看起來真的是超卡哇伊，不過電腦裡只要出
現這隻貓熊，那就表示你中毒了。

電腦病毒中心發出的警告，這是一隻感染型的電腦蠕蟲，能在WIN9X
／NT／2000／XP／2003等系統上運行，不但會破壞用戶系統，還會造成文
件遺失，甚至會散播惡意程式，癱瘓整個網路系統。

據估計，「貓熊燒香」病毒正在以驚人的速度變種，從去年12月份開
始，變種數量已經超過30種，受害網友達到百萬人，同時專家預估，這一
款病毒將在最近發作，下次看到這麼可愛的貓熊可別急著下載，免得把病
毒一起帶回家。

熊貓燒香不但可以對用戶系統進行破壞，導致大量應用軟體無法使用
，而且還可刪除副檔名為gho的所有檔，造成用戶的系統備份檔案丟失，從
而無法進行系統恢復；同時該病毒還能終止大量反病毒軟體進程，大大降
低用戶系統的安全性。

　　木馬特徵：該木馬病毒利用微軟IE漏洞（IE7.0也未被倖免）通過網站
傳播，中了此木馬的電腦，會有以下特徵：　　
1、在任務管理器裏有spoclsv.exe檔進程

2、在每個硬碟的根目錄下面生成以上的setup.exe和autorun.inf兩個
檔，當用戶打開電腦的任意一個硬碟，即執行該木馬病毒。　　
3、該木馬會強制關閉用戶打開的“任務管理器”。　　

4、該木馬會強制關閉用戶打開的“註冊表編輯器(regedit)”、“系統
配置實用程式(msconfig)”、IceSword等程式檔。　　

5、該木馬會強制關閉用戶電腦上安裝的防病毒及網路監控軟體，其中
包括Symantec的norton企業版。　　

6、該木馬修改註冊表檔，在
[HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionRun]
下生成”svcshare=C:WINDOWSsystem32driversspoclsv.exe”的字串值
，修改[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion ExplorerAdvancedFolderHiddenSHOWALL]　　
　　”CheckedValue”=dword:00000000。　　

7、該木馬會刪除電腦默認的共用目錄。　　

　　另外該木馬還會刪除並感染.com、.pif、.scr、.exe檔，並生成一個
以原檔案名.exe.exe文件或.exe的燒香熊貓圖示檔，並會尋找並刪除.gho
備份檔案。

手動解決：　

1、拔掉網線斷開網路，打開Windows任務管理器，迅速找到spoclsv.exe，
結束程式，找到explorer.exe，結束進程，再點擊檔，新建任務，輸入
c:WINDOWSexplorer.exe，確定。　　

2、點擊開始，運行，輸入cmd按enter，輸入以下命令：　　

　　del c:setup.exe /f /q　　

　　del c:autorun.inf /f /q　

上述兩個木馬檔為唯讀隱藏，會修改Windows屬性，使用戶無法通過設
置檔夾選項顯示所有檔及檔夾的功能看到。　　

3、進入註冊表，刪除HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionRun下svcshare值。　　

4、刪除C:windowssystem32driversspoclsv.exe　　

5、修復或重新安裝防病毒軟體並升級病毒庫，徹底全面殺毒，清除恢復被
感染的.exe

熊貓燒香專殺工具 v1.6：http://raes.myweb.hinet.net/PandaKiller16.rar