当前位置：首页 > 实用文档 > 其他范文> 如何成功清除“熊猫烧香”病毒

如何成功清除“熊猫烧香”病毒

时间：2022-05-20 01:36:33 其他范文收藏本文下载本文

如何成功清除“熊猫烧香”病毒（锦集5篇）由网友“荔枝糖葫芦”投稿提供，以下是小编精心整理的如何成功清除“熊猫烧香”病毒，希望对大家有所帮助。

如何成功清除“熊猫烧香”病毒

篇1：如何成功清除“熊猫烧香”病毒

最近，一个叫“熊猫烧香”的病毒把电脑用户折腾得苦不堪言，在人们心目中，“熊猫”这个国宝似乎不再可爱，而成了人人喊打的过街老鼠，

“熊猫烧香”蠕虫不但可以对用户系统进行破坏，导致大量应用软件无法使用，而且还可删除扩展名为gho的所有文件，造成用户的系统备份文件丢失，从而无法进行系统恢复；同时该病毒还能终止大量反病毒软件进程，大大降低用户系统的安全性。

这几天“熊猫烧香”的变种更是表象异常活跃，近半数的网民深受其害。用户除了可以从tool.duba.net/zhuansha/253.shtml下载金山毒霸的“熊猫烧香”专杀来对付该病毒外，金山毒霸技术专家还总结的以下预防措施，帮你远离“熊猫烧香”病毒的骚扰。

木马名称：setup.exe

木马大小：91,648字节

所在位置：由C至Z盘的根目录下

附带文件：autorun.inf

文件内容：

[AutoRun]

PEN=setup.exe

shellexecute=setup.exe

shellAutocommand=setup.exe

所在位置：由C至Z盘的根目录下

木马名称：spoclsv.exe

木马大小：91,648字节

所在位置：C:windowssystem32drivers

木马特征：该木马病毒利用微软IE漏洞（IE7.0也未被幸免）通过网站传播，中了此木马的电脑，会有以下特征：

1、在任务管理器里有spoclsv.exe文件进程。

热门推荐：教你几招判断系统是否被流氓侵犯多窗口浏览器Opera 9.0新版怒放

点击阅读更多学院相关文章>>

分享到 2、在每个盘符的根目录下面生成以上的setup.exe和autorun.inf两个文件，当用户打开电脑的任意一个盘，即执行该木马病毒。

3、该木马会强制关闭用户打开的“任务管理器”。

4、该木马会强制关闭用户打开的“注册表编辑器(regedit)”、“系统配置实用程序(msconfig)”、IceSword等程序文件。

5、该木马会强制关闭用户电脑上安装的防病毒及网络监控软件，其中包括Symantec的norton企业版。

6、该木马修改注册表文件，在[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]下生成“svcshare=C:WINDOWSsystem32driversspoclsv.exe”的字符串值，修改[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]

”CheckedValue“=dword:00000000。

7、该木马会删除电脑默认的共享目录。

另外该木马还会删除并感染.com、.pif、.scr、.exe文件，并生成一个以原文件名.exe.exe文件或.exe的烧香熊猫图标文件，并会寻找并删除.gho备份文件。

解决办法：

1、拔掉网线断开网络，打开Windows任务管理器，迅速找到spoclsv.exe，结束进程，找到explorer.exe，结束进程，再点击文件，新建任务，输入c:WINDOWSexplorer.exe，确定。

2、点击开始，运行，输入cmd回车，输入以下命令：

del c:setup.exe /f /q

del c:autorun.inf /f /q

热门推荐：教你几招判断系统是否被流氓侵犯多窗口浏览器Opera 9.0新版怒放

点击阅读更多学院相关文章>>

分享到如果你的硬盘有多个分区，请逐次将c:改为你实际拥有的盘符（C盘-->Z盘）。上述两个木马文件为只读隐藏，会修改Windows属性，使用户无法通过设置文件夹选项显示所有文件及文件夹的功能看到。

3、进入注册表，删除HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun下svcshare值。

4、删除C:windowssystem32driversspoclsv.exe

5、修复或重新安装防病毒软件并升级病毒库，彻底全面杀毒，清除恢复被感染的.exe文件。

6、屏蔽熊猫烧香病毒网站pkdown.3322.org和ddos2.sz45.com，具体方法如下：

打开C:WINDOWSsystem32driversetchost文件，添加修改如下格式：

# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.

# This file contains the mappings of IP addresses to host names. Each

# entry should be kept on an individual line. The IP address should

# be placed in the first column followed by the corresponding host name.

# The IP address and the host name should be separated by at least one

# space.

热门推荐：教你几招判断系统是否被流氓侵犯多窗口浏览器Opera 9.0新版怒放

点击阅读更多学院相关文章>>

分享到 # Additionally, comments (such as these) may be inserted on individual

# lines or following the machine name denoted by a '#' symbol.

# For example:

# 102.54.94.97 rhino.acme.com # source server

# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

127.0.0.1 *.3322.org

127.0.0.1 *.sz45.com

7、修复文件夹选项的“显示所有文件及文件夹”的方法：

A、找到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL分支，在右边的窗口中双击CheckedValue键值项，该键值应为1.如果值不为1,改为1即可，

如果你设置仍起不了作用，那么接下来看。

有些木马把自己的属性设置成隐藏、系统属性，并且把注册表中“文件夹选项中的隐藏受保护的操作系统文件”项和“显示所有文件和文件夹”选项删除，致使通过procexp可以在进程中看到，但去文件所在目录又找不到源文件，无法进行删除。(正常如图，被修复后看不见图中标注的项)

针对这种情况可以把下面内容存储成ShowALl.reg文件,双击该文件导入注册表即可

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDEN]

热门推荐：教你几招判断系统是否被流氓侵犯多窗口浏览器Opera 9.0新版怒放

点击阅读更多学院相关文章>>

分享到 ”RegPath“=”SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced“

”Text“=”@shell32.dll,-30501“

”Type“=”radio“

”CheckedValue“=dword:00000002

”ValueName“=”Hidden“

”DefaultValue“=dword:00000002

”HKeyRoot“=dword:80000001

”HelpID“=”shell.hlp#51104“

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]

”RegPath“=”SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced“

”Text“=”@shell32.dll,-30500“

”Type“=”radio“

”CheckedValue“=dword:00000001

”ValueName“=”Hidden“

”DefaultValue“=dword:00000002

”HKeyRoot“=dword:80000001

”HelpID“=”shell.hlp#51105“

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHidden]

热门推荐：教你几招判断系统是否被流氓侵犯多窗口浏览器Opera 9.0新版怒放

点击阅读更多学院相关文章>>

分享到 ”Type“=”checkbox“

”Text“=”@shell32.dll,-30508“

”WarningIfNotDefault“=”@shell32.dll,-28964“

”HKeyRoot“=dword:80000001

”RegPath“=”SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced“

”ValueName“=”ShowSuperHidden“

”CheckedValue“=dword:00000000

”UncheckedValue“=dword:00000001

”DefaultValue“=dword:00000000

”HelpID“=”shell.hlp#51103“

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHiddenPolicy]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHiddenPolicyDontShowSuperHidden]

@=”“

具体操作方法：

1）通过记事本新建一个文件

2）将以上内容复制到新建的记事本文件中

3）通过记事本文件菜单另存为show.reg

4）双击存储的showall.reg文件，点击弹出的对话框是按钮即可。

注意：以上方法对win和XP有效

热门推荐：教你几招判断系统是否被流氓侵犯多窗口浏览器Opera 9.0新版怒放

点击阅读更多学院相关文章>>

分享到 B、HKEY_LOCAL_MACHINE Software Microsoft windows CurrentVersion explorer Advanced Folder Hidden SHOWALL，将CheckedValue键值修改为1

但可能依然没有用，隐藏文件还是没有显示，这是因为病毒在修改注册表达到隐藏文件目的之后，把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0！

方法：删除此CheckedValue键值，单击右键新建Dword值，命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。

【专家总结】

1、立即检查本机administrator组成员口令，一定放弃简单口令甚至空口令，安全的口令是字母数字特殊字符的组合，自己记得住，别让病毒猜到就行。

修改方法：右键单击我的电脑，选择管理，浏览到本地用户和组，在右边的窗中，选择具备管理员权限的用户名，单击右键，选择设置密码，输入新密码就行。

2、利用组策略，关闭所有驱动器的自动播放功能。

步骤：单击开始，运行，输入gpedit.msc，打开组策略编辑器，浏览到计算机配置，管理模板，系统，在右边的窗格中选择关闭自动播放，该配置缺省是未配置，在下拉框中选择所有驱动器，再选取已启用，确定后关闭。最后，在开始，运行中输入gpupdate，确定后，该策略就生效了。

3、修改文件夹选项，以查看不明文件的真实属性，避免无意双击骗子程序中毒。

步骤：打开资源管理器（按windows徽标键＋E），点工具菜单下文件夹选项，再点查看，在高级设置中，选择查看所有文件，取消隐藏受保护的操作系统文件，取消隐藏文件扩展名。

4、时刻保持操作系统获得最新的安全更新，建议用毒霸的漏洞扫描功能。

5、启用windows防火墙保护本地计算机。

对于未感染的用户，专家建议，不要登陆不良网站，及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑，同时上网时应采用“杀毒软件+防火墙”的立体防御体系。

热门推荐：教你几招判断系统是否被流氓侵犯多窗口浏览器Opera 9.0新版怒放

上一页 123456 7

点击阅读更多学院相关文章>>

分享到

篇2：熊猫烧香病毒nvscv32.exe变种清除方案

1.拔网线；

2.重新进入winxp安全模式，熊猫烧香病毒进程没有加载，可使用任务管理器！（提示：开机后按住F8）

3.删除病毒文件：%SystemRoot%system32driversnvscv32.exe，

4.开始菜单=>运行，运行msconfig命令。在系统配置实用程序中，取消与nvscv32.exe相关的进程。也可使用超级兔子魔法设置、HijackThis等，删除nvscv32.exe的注册表启动项。

取消熊猫烧香病毒进程的启动

5.下载并使用江民专杀工具，修复被感染的exe文件。并及时打上Windows补丁。

6.清除html/asp/php等，所有网页文件中如下代码：（为防止传播代码有三处修改，请将。换为.）

批量清除恶意代码的方法：可使用Dreamweaver的批量替换。

Dreamweaver批理替换的使用方法可下载使用BatchTextReplacer批量替换。部署了SymantecAntiVirus的企业，升级到最新病毒库扫描全盘文件，即可清除被添加的恶意代码和清除病毒文件。

7.用安装杀毒软件，并升级病毒库，扫描整个硬盘，清除其他病毒文件。推荐PConline多次推荐的免费卡巴斯基mdash;mdash;ActiveVirusSheild。（xxxxxxxxxxxxx）（注：步骤7不能与步骤5调换，以免可修复的带毒文件被删除！）

8.删除每个盘根目录下的autorun.inf文件，利用搜索功能，将Desktop_.ini全部删除。

二、互联安全网提供的解决方法（后文的病毒描述、中毒现象和技术分析均来自互联安全网）

1：关闭网络共享，断开网络。

2：使用IceSword结束掉nvscv32.exe进程（速度要快，抢在病毒感染IceSword前）

3：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

ExplorerAdvancedFolderHiddenSHOWALLCheckedValue的数值改为1

4：删除注册表启动项

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

nvscv32:”C:WINDOWSsystem32driversnvscv32.exe“

5：删除C:WINDOWSsystem32driversnvscv32.exe

6：删除每个盘根目录下的autorun.inf文件和setup.exe文件，利用搜索功能，将Desktop_.ini全部删除。

7：如果电脑上有脚本文件，将病毒代码全部删除。

8：关闭系统的自动播放功能。

这样就基本上将病毒清除了。

三、病毒描述

含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，并对局域网其他电脑进行扫描，同时开另外一个线程连接某网站下载木马程序进行发动恶意攻击。

文件名称：nvscv32.exe

病毒名称：目前各杀毒软件无法查杀（已经将病毒样本上报各杀毒厂商）

中文名称：（尼姆亚，熊猫烧香）

病毒大小：68,570字节

编写语言：BorlandDelphi6.0-7.0

加壳方式：FSG2.0->bart/xt

发现时间：.1.16

危害等级：高

四、中毒现象

1：在系统每个分区根目录下存在setup.exe和autorun.inf文件（A和B盘不感染）。

2：无法手工修改文件夹选项将隐藏文件显示出来。

3：在每个感染后的文件夹中可见Desktop_ini的隐藏文件，内容为感染日期如：2007-1-16

4：电脑上的所有脚本文件中加入以下代码：

5：中毒后的机器上常见的反病毒软件及防火墙无法正常开启及运行。

6：不能正常使用任务管理器，SREng.exe等工具。

7：无故的向外发包，连接局域网中其他机器。

五、技术分析

1：病毒文件运行后，将自身复制到%SystemRoot%system32driversnvscv32.exe

建立注册表自启动项：

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

nvscv32:”C:WINDOWSsystem32driversnvscv32.exe“

2：查找反病毒窗体病毒结束相关进程：天网防火墙 virusscan symantecantivirus systemsafetymonitor systemrepairengineer wrappedgiftkiller 游戏木马检测大师超级巡警

3：结束以下进程 mcshield.exe vstskmgr.exe naprdmgr.exe updaterui.exe tbmon.exe scan32.exe ravmond.exe ccenter.exe ravtask.exe rav.exe ravmon.exe ravmond.exe ravstub.exe kvxp.kxp kvmonxp.kxp kvcenter.kxp kvsrvxp.exe kregex.exe uihost.exe trojdie.kxp frogagent.exe kvxp.kxp kvmonxp.kxp kvcenter.kxp kvsrvxp.exe kregex.exe uihost.exe trojdie.kxp frogagent.exe logo1_.exe logo_1.exe rundl132.exe taskmgr.exe msconfig.exe regedit.exe sreng.exe

4：禁用下列服务 schedule sharedaccess rsccenter rsravmon rsccenter kvwsc kvsrvxp kvwsc kvsrvxp kavsvc avp avp kavsvc mcafeeframework mcshield mctaskmanager mcafeeframework mcshield mctaskmanager navapsvc wscsvc kpfwsvc sndsrvc ccproxy ccevtmgr ccsetmgr spbbcsvc symanteccorelc npfmntor mskservice firesvc

5：删除下列注册表项： softwaremicrosoftwindowscurrentversionrunravtask softwaremicrosoftwindowscurrentversionrunkvmonxp softwaremicrosoftwindowscurrentversionrunkav softwaremicrosoftwindowscurrentversionrunkavpersonal50 softwaremicrosoftwindowscurrentversionrunmcafeeupdaterui softwaremicrosoftwindowscurrentversionrunnetworkassociateserrorreportingservice softwaremicrosoftwindowscurrentversionrunshstatexe softwaremicrosoftwindowscurrentversionrunylive.exe softwaremicrosoftwindowscurrentversionrunyassistse

6：感染所有可执行文件，并将图标改成（这次不是熊猫烧香那个图标了）

7：跳过下列目录:

windows winnt systemvolumeinformation recycled windowsnt windowsupdate windowsmediaplayer outlookexpress netmeeting commonfiles complusapplications commonfiles messenger installshieldinstallationinformation msn microsoftfrontpage moviemaker msngaminzone

8：删除*.gho备份文件，

9：在所有驱动器根目录建立自身文件副本setup.exe,建立autorun.inf文件使病毒自动运行,设置文件属性为隐藏、只读、系统。

autorun.inf内容：

[AutoRun]

PEN=setup.exe

shellexecute=setup.exe

shellAutocommand=setup.exe

10：删除共享：cmd.exe/cnetshareadmin$/del/y

11：在机器上所有脚本文件中加入，此代码地址是一个利用MS-06014漏洞攻击的网页木马，一旦用户浏览中此病毒的服务器上的网页，如果系统没有打补丁，就会下载执行此病毒。

12：扫描局域网机器，一旦发现漏洞，就迅速传播。

13：在后台访问http：//www。whboy。net/update/wormcn。txt，根据下载列表下载其他病毒。

到此病毒行为分析完毕。

篇3：继“熊猫烧香”后又一厉害病毒清除方法病毒防范

近日，本人因CISCO实验需要，考虑到卡巴耗费资源，特意将其卸载……没想到就短短两天的时间里，在我机器无任何防护措施的情况下，中了病毒，

病毒名为：Trojan-Dropper.Win32.Agent.bct

大家小心防范，该病毒会自动感染所有的盘，和前几个月的那个rose病毒有点相似

当时，我并没意识到中了毒，只是这两天上网，觉得没有个保护措施不行，就好象裸奔一样……

今天早上我把360装上了，然后顺手又骗了个卡巴的序列号，装上了KAV6

升级、重启……接下来我的机器，不，是卡巴，跟驴叫似的……还不是一头驴叫，是千驴万马在叫啊!

那真是相当的壮观!我傻眼了……这么多?才两天而已???

再一看，是木马啊?!没事……就随手设置成，发现病毒不询问直接清理。

等我过一会儿回来看看收成……果然是多收了三五斗啊!――我顶你个肺!

卡巴它是把病毒找出来了，病毒感染的文件，卡巴连着一起删除啊!!

E盘和F盘两个盘近25G的资料啊，软件啊……只要是exe结尾的……全给卡啦!

我慌了，赶紧上线求助……一看，晕，没有专杀!目前都是手工删除……于是找了找他们的清理办法，贴上来

大家共同预防，以我为戒!!!千万不要以为，你的机器可以在internet上裸奔!!千万要给机器穿件儿衣服……推荐卡巴或NOD32。

下面是方法：

在系统根目录生成并运行_.de，生成_.de.bat，自杀

生成x:windowssysteminternat.exe(若先前有同名目录，则把那个文件夹改名为internat.exe.tmp)

各盘下生成autorun.inf和setup.exe

运行命令cmd.exe /c dir 系统盘以外的盘:*.exe /s /b >>C:WINDOWSwin.log

根据win.log里的文件来感染EXE

文件感染后增大26890字节

查杀方法：

1、用命令管理器结束internat.exe这个进程;

2、删除X:windowssysteminternat.exe;

3、用右键进入各盘，删除下面的autorun.inf和setup.exe;

4、在系统盘根目录创建一个名为_.de的文件夹;

5、用杀毒软件彻底扫描全部硬盘，被感染不能修复的删不删除都可，

这样，被感染的EXE虽然还没修复，但毒是不会复发了的。你可以运行它，慢慢等到杀软可以杀它的时候吧。

第二方法：

或把以下内容保存为jy.reg，再双击导入

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsinternat.exe]

”Debugger“=”internat.exe"

这样，internat.exe就不会运行了

另外，如果已经不幸感染了的，而且被卡巴不分良恶给删除文件的朋友，请节哀……如果觉得手工清理后还是不保险的话，等专杀出来吧。只有这样了，手工清理的话exe结尾的文件仍然是被感染的……

篇4：“熊猫烧香”病毒的病毒描述和发作行为

“武汉男生”，俗称“熊猫烧香”，这是一个感染型的蠕虫病毒，它能感染系统中，exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失，被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

1:拷贝文件

病毒运行后,会把自己拷贝到C:WINDOWSSystem32Driversspoclsv.exe

2:添加注册表自启动

病毒会添加自启动项HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun svcshare - C:WINDOWSSystem32Driversspoclsv.exe

3:病毒行为

a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序：

QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword

并使用的键盘映射的方法关闭安全软件IceSword

添加注册表使自己自启动 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun svcshare - C:WINDOWSSystem32Driversspoclsv.exe

并中止系统中以下的进程:

Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、Ccenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe

b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$共享

c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$共享

d:每隔6秒删除安全软件在注册表中的键值

并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL CheckedValue - 0x00

删除以下服务:

navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc

e:感染文件

病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部，并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址，用户一但打开了该文件，IE就会不断的在后台点击写入的网址，达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件：

WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone

g:删除文件

病毒会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失，

篇5：共享成果：杀熊猫烧香100％成功绝招病毒防范

瑞星1月14号以后的病毒库都能杀，而且很灵，但瑞星的程序会被熊猫关掉。

杀毒具体方法(100%成功)。注意!一定要看完完整的一步再进行，因为一旦断开，整步都要重做!

1、右键点击托盘里的瑞星防火墙图标，选择“系统状态”，然后马上用右键点击任务栏中的防火墙窗口按钮，弹出窗口控制菜单，这样就可以锁住窗口，使其不被关闭。找出“熊猫”的进程，记下程序名。现在可以把菜单点掉了，你会发现瑞星的窗口马上被关了。没事，现在不管它。

2、打开“任务管理器”(Ctrl+Alt+Del)，

在窗口出来时马上点任务栏锁住它，然后打开“进程”标签(如果已经打开就跳过这一步)。然后按住标题栏锁住它。准备一下，迅速松开标题栏，按下刚才找到的“熊猫”的首字母，再按住标题栏。重复数次，直到选中“熊猫”。松开标题栏，马上按键盘上的“右键快捷键(右Ctrl左边的那个画着菜单的键)”、然后按“T”、“Y”，结束“熊猫”的进程树!

3、至此，已经成功90%了，你可以稍稍放松一下。打开瑞星杀毒软件和防火墙，升级到最新版本后(可能要重启，重启后只能重复1、2了，但如果你是1月14号以后的病毒库就不用升级了)，打开防火墙主程序的“启动选项”，显示所有启动项(什么应用程序劫持项、驱动程序的)，删掉熊猫的键值。然后开着防火墙、监控中心进行整机杀毒!(包括引导区、内存、邮件。可以不断网，因为病毒已经进不来了)。

4、杀完毒，看一看是不是几百个“Worm.Nimaya.W”全在网页里面?怪不得一开网际快车就重新中毒呢。重启电脑，再来一遍开机扫描，确定无毒，电脑也就无毒了。

★ 方正熊猫病毒年鉴：病毒之最

★ sxs.exe专杀工具

★ userinit病毒原理及其清除和预防方法

★ 不能清除病毒信箱的邮件有丢失的危险病毒防范