“熊猫烧香”病毒怎样杀掉

如题所述

“熊猫烧香”病毒的清除方法。
最近单位的电脑中了一个可恶的病毒“熊猫烧香”，一查居然是 2007 年第一周排行榜第一的病毒。这个病毒对 Windows 和常用的系统组件，如 IE、Messenger 等的运行倒没有多大影响，但是它会自行搜索硬盘上扩展名为 .EXE、.HTM、.ASP、.CHM 等几种类型的文件，把这些文件当作宿主，寄生在这些文件里。一旦这几种类型的文件被感染，文件的图标就会变成一个很恶心的烧香熊猫的样子，同时文件大小变大（病毒已经寄生在其中），只要试图运行这些中毒的文件，病毒就会进一步地疯狂扩散。

受病毒的影响，几乎所有的应用软件基本上都不能正常运行了（哪个软件的执行文件不是 .EXE 文件呢）。而且病毒还具有自行关闭防火墙和杀毒软件的能力，电脑上的瑞星防火墙便被强制禁用，病毒监控虽然可以运行，但也被取消了随系统启动一同加载的权利；同时连 Windows 安全中心也未能幸免，Security Center 服务被整个删除；另外在文件夹选项中也无法查看隐藏的文件夹和文件了，这是一个常见问题，在文件夹选项中设置“显示所有文件夹和文件”后无法保存设置。

和这个病毒纠缠了两天，过程就不说了，说说怎么清理它吧。由于瑞星已经“泥菩萨过河、自身难保”，所以不得不手动清除。

1.在任务管理器的进程列表中关闭 SPCOLSV.EXE 病毒进程。这个 SPCOLSV.EXE 明显是在模仿系统进程 SPOOLSV.EXE。

2.删除位于 %SystemRoot%\system32\Drivers 文件夹中的 SPCOLSV.EXE 文件。%SystemRoot%\system32\Drivers 文件夹中不应该存在 .EXE 文件，所以很好找。

3.按照 KB555640 提供的方法，恢复资源管理器不能显示隐含文件的问题：

http://support.microsoft.com/kb/555640/zh-cn

这篇 KB 还是 youyang 写的，向 youyang 同学致敬。

4.每个硬盘分区的根目录都有两个隐含的文件 AUTORUN.INF 和 SETUP.EXE，将这些垃圾全部删除。

5.在注册表 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Run 中把病毒的启动项 svcshare 删除。如果存在多个用户帐户，每个用户帐户的 HKEY_CURRENT_USER 都要清理。

6.恢复杀毒软件随系统启动的加载项，以瑞星为例，在注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 中加上一个 RavTask，设置命令为 "C:\RiSing\Rav\RavTask.exe" -system 即可，其中 C:\Rising\RAV 是瑞星的默认安装位置。

7.在另一台“安全中心”服务正常的电脑上打开注册表，将 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc 的全部内容导出为 .REG 文件，复制到故障电脑上导入注册表，然后重新启动 Windows，恢复被病毒删除的“安全中心”服务。

到这个地步，病毒的主要文件基本上就被清理干净了。但是还剩下那些已经变成了熊猫嘴脸的 .EXE 文件，一开始不知道如何恢复。试过瑞星、江民和金山提供的熊猫烧香病毒专杀工具，但它们都只能清理上面提到的 AUTORUN.INF 和 SETUP.EXE，对于已经被寄生的 .EXE 文件无法自动恢复。后来在反间谍软件《超级巡警》里找到了一个熊猫烧香病毒专杀工具 1.6，名为 KillPanda.BAT，这个工具总算没有让人失望，经过扫描后，被寄生的 .EXE、.HTM 等类型的文件都恢复了默认图标，而且文件大小也恢复正常了，可以正常运行，总算避免了需要全部重新安装的厄运。不过所有被寄生过的文件，文件的生成时间、修改时间和访问时间就都保不住了，最后还是留下了一点“后遗症”。

参考资料：http://blogs.itecn.net/blogs/alexis/archive/2007/01/12/6010.aspx
回答者：佳莹公主 - 试用期 一级 2-6 11:06

江民杀毒有专杀软件，杀个两三次就OK
以后就最好一个星期杀一次，以防又中毒了

温馨提示：内容为网友见解，仅供参考

当前网址：https://aolonic.com/aa/awdnadnn.html