剿灭“熊猫烧香”病毒

    了解“熊猫烧香”病毒的原理后，相信大家对如何清除这个病毒已经心中有数了。“熊猫烧香”病毒的自我保护是一环套一环的，我们要找出其源头，才能彻底将其删除。而这个源头就是其病毒文件——spoclsv.exe。

    1.结束病毒进程。
    任务管理器已经被限制，其他安全工具也无法启动，那么我们怎样才能结束病毒的进程呢？还好病毒作者疏忽了一点，“命令提示符”是没有被限制的，我们就从这里入手。这里我们要借助两个小工具：pslist.exe和pskill.exe，前者可以列出系统中活动的进程，后者可以将进程结束。
    将pslist.exe和pskill.exe复制到中毒计算机上，放到c盘，然后在命令提示符中输入“c:\pslist.exe”，系统中的活动进程就被列出来了，这时我们会发现其中的病毒进程spoclsv.exe。记住其PID值，这里为860。在命令提示符中运行pskill.exe，输入命令“pskill.exe -t 860”，如果显示“Process 860 killed”，则表示spoclsv.exe进程已经被结束了。如果你双击运行过盘符，那么可能还存在一个setup.exe进程，同样用此方法结束既可。

    2.去除病毒启动项
    结束病毒进程后，我们会发现“任务管理器”和“系统配置使用程序”都可以正常使用了。点击“开始”→“运行”，输入“msconfig”运行“系统配置使用程序”，切换到“启动”标签，将其中spoclsv项前的勾取消。

    3.删除病毒文件
    将病毒文件spoclsv.exe删除，该文件位于c:\windows\system32\drivers\目录下。注意进入c盘时一定不要双击盘符，可以在盘符上点击右键→打开，这样才不会运行里面的病毒，否则将前功尽弃。进入其他盘符亦是如此。

    4.修复注册表
    定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]处的"CheckedValue"项，将其键值改为1。这样就能正确设置“显示所有文件和文件夹”选项了。

    5.显示隐藏文件
    打开我的电脑，单击菜单栏中的“工具”→“文件夹选项”，切换到“查看”标签，将其中的“隐藏受保护的操作系统文件（推荐）”前面的勾取消掉，并选择下面的“显示所有文件和文件夹”选项，完成后单击确定。

    6.删除病毒附属文件
    将所有盘符根目录的setup.exe和autorun.inf文件删除。

    7.用专杀工具进行查杀
    手工清除步骤到这里就差不多了，最后我们要做的就是下载一个“熊猫烧香”专杀，对系统中的病毒进行彻底的查杀。
pslist&pskill下载地址：http://www.microsoft.com/technet/sysinternals/utilities/pskill.mspx
“熊猫烧香”病毒专杀：http://it.rising.com.cn/Channels/Service/2006-11/1163505486d38734.shtml

上一页  [1] [2]