1.拔網(wǎng)線；

　　2.重新進(jìn)入winxp安全模式，熊貓燒香病毒進(jìn)程沒有加載，可使用任務(wù)管理器！（提示：開機(jī)后按住F8）

　　3.刪除病毒文件：%SystemRoot%\system32\drivers\nvscv32.exe，

熊貓燒香病毒nvscv32.exe變種清除方案

　　4.開始菜單=>運(yùn)行，運(yùn)行msconfig命令。在系統(tǒng)配置實(shí)用程序中，取消與nvscv32.exe相關(guān)的進(jìn)程。也可使用超級兔子魔法設(shè)置、HijackThis等，刪除nvscv32.exe的注冊表啟動(dòng)項(xiàng)。

　　取消熊貓燒香病毒進(jìn)程的啟動(dòng)

　　5.下載并使用江民專殺工具，修復(fù)被感染的exe文件。并及時(shí)打上Windows補(bǔ)丁。

　　6.清除html/asp/php等，所有網(wǎng)頁文件中如下代碼：（為防止傳播代碼有三處修改，請將。換為.）

　　批量清除惡意代碼的方法：　　可使用Dreamweaver的批量替換。

　　Dreamweaver批理替換的使用方法　　可下載使用BatchTextReplacer批量替換�！　〔渴鹆薙ymantecAntiVirus的企業(yè)，升級到最新病毒庫掃描全盤文件，即可清除被添加的惡意代碼和清除病毒文件。

　　7.用安裝殺毒軟件，并升級病毒庫，掃描整個(gè)硬盤，清除其他病毒文件。推薦PConline多次推薦的免費(fèi)卡巴斯基mdash;mdash;ActiveVirusSheild。（xxxxxxxxxxxxx）（注：步驟7不能與步驟5調(diào)換，以免可修復(fù)的帶毒文件被刪除�。�

　　8.刪除每個(gè)盤根目錄下的autorun.inf文件，利用搜索功能，將Desktop_.ini全部刪除。

　　二、互聯(lián)安全網(wǎng)提供的解決方法（后文的病毒描述、中毒現(xiàn)象和技術(shù)分析均來自互聯(lián)安全網(wǎng)）

　　1：關(guān)閉網(wǎng)絡(luò)共享，斷開網(wǎng)絡(luò)。

　　2：使用IceSword結(jié)束掉nvscv32.exe進(jìn)程（速度要快，搶在病毒感染IceSword前）

　　3：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

　　Explorer\Advanced\Folder\Hidden\SHOWALLCheckedValue的數(shù)值改為1

　　4：刪除注冊表啟動(dòng)項(xiàng)

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\]

　　nvscv32:"C:\WINDOWS\system32\drivers\nvscv32.exe"

　　5：刪除C:\WINDOWS\system32\drivers\nvscv32.exe

　　6：刪除每個(gè)盤根目錄下的autorun.inf文件和setup.exe文件，利用搜索功能，將Desktop_.ini全部刪除。

　　7：如果電腦上有腳本文件，將病毒代碼全部刪除。

　　8：關(guān)閉系統(tǒng)的自動(dòng)播放功能。

　　這樣就基本上將病毒清除了。

　　三、病毒描述

　　含有病毒體的文件被運(yùn)行后，病毒將自身拷貝至系統(tǒng)目錄，同時(shí)修改注冊表將自身設(shè)置為開機(jī)啟動(dòng)項(xiàng)，并遍歷各個(gè)驅(qū)動(dòng)器，將自身寫入磁盤根目錄下，增加一個(gè)Autorun.inf文件，使得用戶打開該盤時(shí)激活病毒體。隨后病毒體開一個(gè)線程進(jìn)行本地文件感染，并對局域網(wǎng)其他電腦進(jìn)行掃描，同時(shí)開另外一個(gè)線程連接某網(wǎng)站下載木馬程序進(jìn)行發(fā)動(dòng)惡意攻擊。

　　文件名稱：nvscv32.exe

　　病毒名稱：目前各殺毒軟件無法查殺（已經(jīng)將病毒樣本上報(bào)各殺毒廠商）

　　中文名稱：（尼姆亞，熊貓燒香）

　　病毒大小：68,570字節(jié)

　　編寫語言：BorlandDelphi6.0-7.0

　　加殼方式：FSG2.0->bart/xt

　　發(fā)現(xiàn)時(shí)間：2007.1.16

　　危害等級：高

　　四、中毒現(xiàn)象

　　1：在系統(tǒng)每個(gè)分區(qū)根目錄下存在setup.exe和autorun.inf文件（A和B盤不感染）。

　　2：無法手工修改文件夾選項(xiàng)將隱藏文件顯示出來。

　　3：在每個(gè)感染后的文件夾中可見Desktop_ini的隱藏文件，內(nèi)容為感染日期如：2007-1-16

　　4：電腦上的所有腳本文件中加入以下代碼：

　　5：中毒后的機(jī)器上常見的反病毒軟件及防火墻無法正常開啟及運(yùn)行。

　　6：不能正常使用任務(wù)管理器，SREng.exe等工具。

　　7：無故的向外發(fā)包，連接局域網(wǎng)中其他機(jī)器。

　　五、技術(shù)分析

　　1：病毒文件運(yùn)行后，將自身復(fù)制到%SystemRoot%\system32\drivers\nvscv32.exe

　　建立注冊表自啟動(dòng)項(xiàng)：

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\]

　　nvscv32:"C:\WINDOWS\system32\drivers\nvscv32.exe"

　　2：查找反病毒窗體病毒結(jié)束相關(guān)進(jìn)程：　　天網(wǎng)防火墻　　virusscan　　symantecantivirus　　systemsafetymonitor　　systemrepairengineer　　wrappedgiftkiller　　游戲木馬檢測大師　　超級巡警

　　3：結(jié)束以下進(jìn)程　　mcshield.exe　　vstskmgr.exe　　naprdmgr.exe　　updaterui.exe　　tbmon.exe　　scan32.exe　　ravmond.exe　　ccenter.exe　　ravtask.exe　　rav.exe　　ravmon.exe　　ravmond.exe　　ravstub.exe　　kvxp.kxp　　kvmonxp.kxp　　kvcenter.kxp　　kvsrvxp.exe　　kregex.exe　　uihost.exe　　trojdie.kxp　　frogagent.exe　　kvxp.kxp　　kvmonxp.kxp　　kvcenter.kxp　　kvsrvxp.exe　　kregex.exe　　uihost.exe　　trojdie.kxp　　frogagent.exe　　logo1_.exe　　logo_1.exe　　rundl132.exe　　taskmgr.exe　　msconfig.exe　　regedit.exe　　sreng.exe

　　4：禁用下列服務(wù)　　schedule　　sharedaccess　　rsccenter　　rsravmon　　rsccenter　　kvwsc　　kvsrvxp　　kvwsc　　kvsrvxp　　kavsvc　　avp　　avp　　kavsvc　　mcafeeframework　　mcshield　　mctaskmanager　　mcafeeframework　　mcshield　　mctaskmanager　　navapsvc　　wscsvc　　kpfwsvc　　sndsrvc　　ccproxy　　ccevtmgr　　ccsetmgr　　spbbcsvc　　symanteccorelc　　npfmntor　　mskservice　　firesvc

　　5：刪除下列注冊表項(xiàng)：　　software\microsoft\windows\currentversion\run\ravtask　　software\microsoft\windows\currentversion\run\kvmonxp　　software\microsoft\windows\currentversion\run\kav　　software\microsoft\windows\currentversion\run\kavpersonal50　　software\microsoft\windows\currentversion\run\mcafeeupdaterui　　software\microsoft\windows\currentversion\run\networkassociateserrorreportingservice　　software\microsoft\windows\currentversion\run\shstatexe　　software\microsoft\windows\currentversion\run\ylive.exe　　software\microsoft\windows\currentversion\run\yassistse

　　6：感染所有可執(zhí)行文件，并將圖標(biāo)改成（這次不是熊貓燒香那個(gè)圖標(biāo)了）

　　7：跳過下列目錄:

　　windows　　winnt　　systemvolumeinformation　　recycled　　windowsnt　　windowsupdate　　windowsmediaplayer　　outlookexpress　　netmeeting　　commonfiles　　complusapplications　　commonfiles　　messenger　　installshieldinstallationinformation　　msn　　microsoftfrontpage　　moviemaker　　msngaminzone

　　8：刪除*.gho備份文件，

電腦資料

　　9：在所有驅(qū)動(dòng)器根目錄建立自身文件副本setup.exe,建立autorun.inf文件使病毒自動(dòng)運(yùn)行,設(shè)置文件屬性為隱藏、只讀、系統(tǒng)。

　　autorun.inf內(nèi)容：

　　[AutoRun]

　　PEN=setup.exe

　　shellexecute=setup.exe

　　shell\Auto\command=setup.exe

　　10：刪除共享：cmd.exe/cnetshareadmin$/del/y

　　11：在機(jī)器上所有腳本文件中加入，此代碼地址是一個(gè)利用MS-06014漏洞攻擊的網(wǎng)頁木馬，一旦用戶瀏覽中此病毒的服務(wù)器上的網(wǎng)頁，如果系統(tǒng)沒有打補(bǔ)丁，就會(huì)下載執(zhí)行此病毒。

　　12：掃描局域網(wǎng)機(jī)器，一旦發(fā)現(xiàn)漏洞，就迅速傳播。

　　13：在后臺(tái)訪問http：//www。whboy。net/update/wormcn。txt，根據(jù)下載列表下載其他病毒。

　　到此病毒行為分析完畢。