「熊貓燒香」病毒的清除方法

最近單位的電腦中了一個可惡的病毒「熊貓燒香」，一查居然是 2007 年第一周排行榜第一的病毒。這次我們講利用打補丁及手工來解決。

最近單位的電腦中了一個可惡的病毒「熊貓燒香」，一查居然是 2007 年第一周排行榜第一的病毒。這個病毒對 Windows 和常用的系統組件，如 IE、Messenger 等的運行倒沒有多大影響，但是它會自行搜索硬碟上擴展名為 .EXE、.HTM、.ASP、.CHM 等幾種類型的文件，把這些文件當作宿主，寄生在這些文件里。一旦這幾種類型的文件被感染，文件的圖標就會變成一個很噁心的燒香熊貓的樣子，同時文件大小變大（病毒已經寄生在其中），只要試圖運行這些中毒的文件，病毒就會進一步地瘋狂擴散。

受病毒的影響，幾乎所有的應用軟體基本上都不能正常運行了（哪個軟體的執行文件不是 .EXE 文件呢）。而且病毒還具有自行關閉防火牆和殺毒軟體的能力，電腦上的瑞星防火牆便被強制禁用，病毒監控雖然可以運行，但也被取消了隨系統啟動一同載入的權利；同時連 Windows 安全中心也未能倖免，Security Center 服務被整個刪除；另外在文件夾選項中也無法查看隱藏的文件夾和文件了，這是一個常見問題，在文件夾選項中設置「顯示所有文件夾和文件」后無法保存設置。

和這個病毒糾纏了兩天，過程就不說了，說說怎麼清理它吧。由於瑞星已經「泥菩薩過河、自身難保」，所以不得不手動清除。

1.在任務管理器的進程列表中關閉 SPCOLSV.EXE 病毒進程。這個 SPCOLSV.EXE 明顯是在模仿系統進程 SPOOLSV.EXE。

2.刪除位於 %SystemRoot%system32Drivers 文件夾中的 SPCOLSV.EXE 文件。%SystemRoot%system32Drivers 文件夾中不應該存在 .EXE 文件，所以很好找。

3.按照 KB555640 提供的方法，恢復資源管理器不能顯示隱含文件的問題：

4.每個硬碟分區的根目錄都有兩個隱含的文件 AUTORUN.INF 和 SETUP.EXE，將這些垃圾全部刪除。

5.在註冊表 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

Run 中把病毒的啟動項 svcshare 刪除。如果存在多個用戶帳戶，每個用戶帳戶的 HKEY_CURRENT_USER 都要清理。

6.恢復殺毒軟體隨系統啟動的載入項，以瑞星為例，在註冊表 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 中加上一個 RavTask，設置命令為 "C:RiSingRavRavTask.exe" -system 即可，其中 C:RisingRAV 是瑞星的默認安裝位置。

7.在另一台「安全中心」服務正常的電腦上打開註冊表，將 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswscsvc 的全部內容導出為 .REG 文件，複製到故障電腦上導入註冊表，然後重新啟動 Windows，恢復被病毒刪除的「安全中心」服務。

到這個地步，病毒的主要文件基本上就被清理乾淨了。但是還剩下那些已經變成了熊貓嘴臉的 .EXE 文件，一開始不知道如何恢復。試過瑞星、江民和金山提供的熊貓燒香病毒專殺工具，但它們都只能清理上面提到的 AUTORUN.INF 和 SETUP.EXE，對於已經被寄生的 .EXE 文件無法自動恢復。後來在反間諜軟體《超級巡警》里找到了一個熊貓燒香病毒專殺工具 1.6，名為 KillPanda.BAT，這個工具總算沒有讓人失望，經過掃描后，被寄生的 .EXE、.HTM 等類型的文件都恢復了默認圖標，而且文件大小也恢復正常了，可以正常運行，總算避免了需要全部重新安裝的厄運。不過所有被寄生過的文件，文件的生成時間、修改時間和訪問時間就都保不住了，最後還是留下了一點「後遺症」。