病毒“熊猫烧香”的彻底解决办法【实用】 » chcoolcola - 猫扑大杂烩 - 体验年轻

帖子的HTML代码：(适合个人空间、大部分的BLOG)

劳动了几个小时，大家转载时请注明出处，谢谢。 症状： 1、 “我的电脑中”各个盘双击无法打开，系统缓慢甚至反复重启； 2、 Msconfig、regedit和任务管理器以及很多程序无法运行； 3、 遍历目录，感染除以下系统目录外其它目录中的exe、com、scr、pif文件，还尝试使用弱密码访问和感染局域网内其它计算机（公司很多同事中此病毒，都有同样的情况——密码都非常简单，就是几个数字。而密码较复杂的同事全部没感染。大家最好重新修改自己的密码） 4、 尝试关闭下列窗口： VirusScan Symantec AntiVirus Duba Windows esteem procs System Safety Monitor Wrapped gift Killer Winsock Expert msctls_statusbar32 pjf(ustc IceSword （冰刃都无可奈何了） 5、 因杀毒软件被感染，所以会结束很多杀毒软件的进程： Mcshield.exe VsTskMgr.exe naPrdMgr.exe 更新rUI.exe TBMon.exe scan32.exe Ravmond.exe CCenter.exe RavTask.exe Rav.exe Ravmon.exe RavmonD.exe RavStub.exe KVXP.kxp KvMonXP.kxp KVCenter.kxp KVSrvXP.exe KRegEx.exe UIHost.exe TrojDie.kxp FrogAgent.exe Logo1_.exe Logo_1.exe Rundl132.exe…… 6、 在各分区根目录生成副本： X:\setup.exe X:\autorun.inf (直接删除是没用的，会再次出现) 下面是非常有效和迅速的彻底杀掉该病毒的方法，请大家参考。步骤为： 1、 断开网络，重启机器。 2、 开始 —> 所有程序 —> 附件 —>系统工具 —>系统信息 —>软件环境 —>正在运行任务，找到“名称”为“spoclsv.exe”的程序，可见其路径在“c\windows\system32\drivers”，记下第三列“处理ID”中的数字，如1852； 3、 开始 —>运行，输入“ntsd -c q -p 1852”，回车（注意：即上述处理ID的数字）。此步骤作用：彻底停止该病毒的进程。 4、 开始 —>运行，输入“cmd”回车，启动dos。进入“c:\windows\system32\drivers”目录，输入“attrib –h –s spoclsv.exe”，取消其隐藏和系统文件属性。 5、 在“我的电脑”中，对系统盘的盘符（通常是C）点右键（千万不可以双击，因为病毒可以借助微软的“自动播放”功能，在用户每次双击硬盘时即可自动启动运行。如已双击，请重复步骤1-3），打开，进入“c:\windows\system32\drivers”目录，删除“spoclsv.exe”文件。 6、 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 意思是将checked这个键值修改为1。 此步骤非常重要！否则任何杀毒软件或专杀工具都不回有任何效果，虽然有些软件据说能对付该病毒，但是病毒文件被隐藏后不能被查杀！。 7、 右键点击分区盘符，点击右键菜单中的“打开”进入分区根目录，删除根目录下的文件： X:\setup.exe X:\autorun.inf(此时删除后不会再出现) 特别注意：只能“右键”—>“打开”每个分区，千万不能双击打开，否则病毒又开始运行。如已双击，请重复步骤1-6。） 8、 删除病毒创建的启动项： [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "svcshare"="%System%\drivers\spoclsv.exe" 或者在“msconfig”中修改。 9、 修复或重新安装反病毒软件(因为.exe应用文件已经被感染过)； 10、 使用反病毒软件或专杀工具（如超级巡警）进行全盘扫描，清除恢复被感染的exe文件。 至此，杀毒结束！不排除病毒有其他变种，比如spoclsv变成sppolsv的，请参考！ 推荐杀毒后，下载google firefox安全浏览器，以防止再次中毒！ 再罗嗦一句，请大家注意自己的登陆密码，用自己的生日或电话等数字作为密码的，不仅对自己不负责任，也是对大家尤其是网管不负责任，太危险了。

帖子的UBB代码：(适合动网、Discuz!的论坛)

帖子的纯文本：（适合贴吧等不支持任何代码的论坛）

劳动了几个小时，大家转载时请注明出处，谢谢。症状：1、 “我的电脑中”各个盘双击无法打开，系统缓慢甚至反复重启；2、 Msconfig、regedit和任务管理器以及很多程序无法运行；3、  遍历目录，感染除以下系统目录外其它目录中的exe、com、scr、pif文件，还尝试使用弱密码访问和感染局域网内其它计算机（公司很多同事中此病毒，都有同样的情况——密码都非常简单，就是几个数字。而密码较复杂的同事全部没感染。大家最好重新修改自己的密码）4、 尝试关闭下列窗口：VirusScanSymantec AntiVirusDubaWindowsesteem procsSystem Safety MonitorWrapped gift KillerWinsock Expertmsctls_statusbar32pjf(ustcIceSword （冰刃都无可奈何了）5、 因杀毒软件被感染，所以会结束很多杀毒软件的进程：Mcshield.exeVsTskMgr.exenaPrdMgr.exe更新rUI.exeTBMon.exescan32.exeRavmond.exeCCenter.exeRavTask.exeRav.exeRavmon.exeRavmonD.exeRavStub.exeKVXP.kxpKvMonXP.kxpKVCenter.kxpKVSrvXP.exeKRegEx.exeUIHost.exeTrojDie.kxpFrogAgent.exeLogo1_.exeLogo_1.exeRundl132.exe……6、 在各分区根目录生成副本：X:\setup.exeX:\autorun.inf(直接删除是没用的，会再次出现)下面是非常有效和迅速的彻底杀掉该病毒的方法，请大家参考。步骤为：1、 断开网络，重启机器。2、 开始 —> 所有程序 —> 附件 —>系统工具 —>系统信息 —>软件环境 —>正在运行任务，找到“名称”为“spoclsv.exe”的程序，可见其路径在“c\windows\system32\drivers”，记下第三列“处理ID”中的数字，如1852；3、 开始 —>运行，输入“ntsd -c q -p 1852”，回车（注意：即上述处理ID的数字）。此步骤作用：彻底停止该病毒的进程。4、 开始 —>运行，输入“cmd”回车，启动dos。进入“c:\windows\system32\drivers”目录，输入“attrib –h –s spoclsv.exe”，取消其隐藏和系统文件属性。5、  在“我的电脑”中，对系统盘的盘符（通常是C）点右键（千万不可以双击，因为病毒可以借助微软的“自动播放”功能，在用户每次双击硬盘时即可自动启动运行。如已双击，请重复步骤1-3），打开，进入“c:\windows\system32\drivers”目录，删除“spoclsv.exe”文件。6、 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]"CheckedValue"=dword:00000001意思是将checked这个键值修改为1。此步骤非常重要！否则任何杀毒软件或专杀工具都不回有任何效果，虽然有些软件据说能对付该病毒，但是病毒文件被隐藏后不能被查杀！。7、 右键点击分区盘符，点击右键菜单中的“打开”进入分区根目录，删除根目录下的文件：X:\setup.exeX:\autorun.inf(此时删除后不会再出现)特别注意：只能“右键”—>“打开”每个分区，千万不能双击打开，否则病毒又开始运行。如已双击，请重复步骤1-6。）8、 删除病毒创建的启动项：[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]"svcshare"="%System%\drivers\spoclsv.exe"或者在“msconfig”中修改。9、 修复或重新安装反病毒软件(因为.exe应用文件已经被感染过)；10、 使用反病毒软件或专杀工具（如超级巡警）进行全盘扫描，清除恢复被感染的exe文件。至此，杀毒结束！不排除病毒有其他变种，比如spoclsv变成sppolsv的，请参考！推荐杀毒后，下载google firefox安全浏览器，以防止再次中毒！再罗嗦一句，请大家注意自己的登陆密码，用自己的生日或电话等数字作为密码的，不仅对自己不负责任，也是对大家尤其是网管不负责任，太危险了。

帖子里的图片地址：

扑(8):找几只母熊猫在电脑前跳钢管舞，熊猫自己就从电脑里出来了

扑(10):建议清理的时候，可以把系统里面的所有文件全部拷贝到移动硬盘。然后搞好再拷贝回来不过拷贝回来一定要再杀毒啊

猫(13):最好解决办法就是，打开窗户，把主机直接扔到楼下（5楼以下不要尝试，修不好的。。。。）

扑(18):嗯，不错，＝我找找病毒去，得感染上了再用楼猪的法子。

猫(27):没想到大学毕业后第一份工作就是这样的超级郁闷

熊猫病毒

我还能说什么呢

【楼主】 (30):楼上的，你不会copy到本机啊？

还有，只格式化C盘，重装是解决不了问题的。处于LAN中，全盘格式化都没作用。

12楼的，你丫闭醉。

猫(31):其实现在这种病毒很多
都是有INF文件的
楼主的方法有点麻烦
其实用PE盘，直接删还要简单点

扑(44):这个病毒很卑鄙的，直接下专杀就行。。。。。
真糟蹋熊猫宝宝

猫(45):这个问题有点复杂

看来只有请出江湖绰号‘灼死熊’的北毒暴雨硫酸刘药师和东邪复旦一见有血张大侠（又称猫见愁）联手才可以彻底的铲除魔教。

恩恩恩

是这样的。。。

扑(48):有专杀工具了，为什么还这么麻烦啊？
LZ又退回工业革命之前了吧？
烧香ing~~~~~~~

扑(50):下载360安全卫士，里面有熊猫专杀

安全模式下杀干净后，给管理员帐户加个强口令，就彻底解决了

多么简单的事，20分钟搞定

对了，我的机器装的有卡巴，这也很关键

楼主贴的这玩意网上一搜一大片，还好意思说费了几个小时的功夫

鄙视

猫(57):他妈的制造这个病毒的坑死我了重装系统都不行就看明天能不能好了再好不了就没戏了这sb没事整这么恶毒的病毒一个文件夹都不放过靠！！！杀毒软件都被整残废了！！！nnd！

扑(58):最好是把电脑里面所有关于竹子的内容全删除,这样熊猫就不会来了~!~!
更加不必担心它烧什么香!~!~!`

扑(64):把硬盘挂到没中毒的机子，用诺顿最新的病毒库杀就可以了，杀完后挂回自己机子，双击还是会进不去，别急，显示所有隐藏文件夹，发现显示不了，也别急，把注册表里的HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，将CheckedValue键值修改为1 （如果还不行，网络上搜索其他方法），显示完隐藏文件后，找到每个盘下的autorun.inf删除，然后注销机子就好了。

扑(66):楼主求助。。

之前我本本和移动硬盘因为一起使用时，中了老版的熊猫烧香了。。就是双击打不开盘。右键可以打开。然后第一行是AUTO。。后来杀毒，删注册表。本本已经完全没问题了。但硬盘还是不行。杀不出毒来。但是。双击还是打不开。。咋办吖。。

有朋友说是：你的系统文件还有一些被病毒更改了，没改回来，是注册表里的指向给改了

但硬盘和电脑还不太一样。。没法从注册表修改。。

求助。。主要是把内容移到电脑里。然后格掉，还会中毒么。比较担心二次中毒！~~

猫(71):做个记号。
向楼主致敬——为了你的纯手工操作。现在人力成本提高了啊。。。

[大杂烩]» 病毒“熊猫烧香”的彻底解决办法【实用】 2(25300MP)