熊猫烧香电脑病毒清除方法介绍

“熊猫烧香”后又一厉害病毒清除方法导读:这几天，因为工作的需要，把杀毒软件卸载掉了。

没想到悲剧从此发生了，在不到短短两天的时间里，我的电脑中了一款名字为Trojan-Dropper.Win32.Agent.bct的病毒。

该病毒的作用是能够自动感染所有的盘，和那个rose病毒youdian类似。

我并没有意识到已经中了病毒，直到，工作做完了，把360装上了，然后顺手又骗了个卡巴的序列号，装上了KAV6升级、重启……接下来我的机器，不，是卡巴，跟驴叫似的……还不是一头驴叫，是千驴万马在叫啊!那真是相当的壮观!我傻眼了……这么多?才两天而已???再一看，是木马啊?!没事……就随手设置成，发现病毒不询问直接清理。

等我过一会儿回来看看收成……果然是多收了三五斗啊!——我顶你个肺!卡巴它是把病毒找出来了，病毒感染的文件，卡巴连着一起删除啊!!E盘和F盘两个盘近25G的资料啊，软件啊……只要是exe结尾的……全给卡啦!我慌了，赶紧上线求助，发现，没有专杀!目前都是手工删除……于是找了找他们的清理办法，贴上来大家共同预防，以我为戒!!!千万不要以为，你的机器可以在internet上裸奔!!千万要给机器穿件儿衣服……推荐卡巴或NOD32。

第一个方法：在系统根目录生成并运行_.de，生成_.de.bat，自杀生成x:\windows\system\internat.exe(若先前有同名目录，则把那个文件夹改名为internat.exe.tmp)各盘下生成autorun.inf和setup.exe运行命令cmd.exe /c dir 系统盘以外的盘:\*.exe /s /b >>C:\WINDOWS\win.log根据win.log里的文件来感染EXE 文件感染后增大26890字节查杀方法：1、用命令管理器结束internat.exe这个进程;2、删除X:\windows\system\internat.exe;3、用右键进入各盘，删除下面的autorun.inf和setup.exe;4、在系统盘根目录创建一个名为_.de的文件夹;5、用杀毒软件彻底扫描全部硬盘，被感染不能修复的删不删除都可。

熊猫烧香病毒清除方法有哪些电脑病毒看不见，却无处不在，有时防护措施不够或者不当操作都会导致病毒入侵。

熊满烧香是之前很经典也是很可怕的一种病毒，那么具体有什么预防和处理办法呢?方法步骤1. 断开网络(必要)2. 结束病毒进程%System%\drivers\spoclsv.exe3. 删除病毒文件：c:\windows\system32\drivers\spoclsv.exe注意：打开C盘要右键-开打，否则仁兄就要功亏一篑，就要重复2的步骤!4. 修改注册表设置，恢复“显示所有文件和文件夹”选项功能：[Copy to clipboard]CODE:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\C urrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]"CheckedValue"=dword:00000001本步骤针对病毒将显示隐藏文件禁用的情况5. 右键点击分区盘符，点击右键菜单中的“打开”进入分区根目录，删除根目录下的文件：X:\setup.exeX:\autorun.inf6. 删除病毒创建的启动项：[Copy to clipboard]CODE:[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run]"svcshare"="%System%\drivers\spoclsv.exe"7. 使用专杀工具进行全盘扫描，清除恢复被感染的exe文件推荐使用软件：NimayaKiller相关阅读：2018网络安全事件：一、英特尔处理器曝“Meltdown”和“Spectre漏洞”2018年1月，英特尔处理器中曝“Meltdown”(熔断)和“Spectre” (幽灵)两大新型漏洞，包括AMD、ARM、英特尔系统和处理器在内，几乎近20年发售的所有设备都受到影响，受影响的设备包括手机、电脑、服务器以及云计算产品。

熊猫烧香病毒之专杀工具的编写教程通过对熊猫烧香的行为分析，这里仅针对所得结果，来进行专杀工具的编写。

本节课我们会学习使用C++来写一个简单的“熊猫烧香”专杀系统。

实验目的：结合本篇文章的知识点，能够彻底掌握文章所讲述的编写杀毒软件的方法。

实验思路：1.理解专杀工具所需要实现的功能2.利用VC++编写专杀工具3.结合Process Monitor验证专杀工具实验步骤：1、病毒行为回顾与归纳这里我们首先回顾一下病毒的行为：**病毒行为1：**病毒本身创建了名为`spoclsv.exe`的进程，该进程文件的路径为：C:WINDOWSsystem32driversspoclsv.exe**病毒行为2：**在命令行模式下使用`net share`命令来取消系统中的共享。

**病毒行为3：**删除安全类软件在注册表中的启动项。

**病毒行为4：**在注册表:HKCUSoftwareMicrosoftWindowsCurrentVersionRun中创建svcshare用于在开机时启动位于`C:WINDOWSsystem32driversspoclsv.exe`的病毒程序。

**病毒行为5：**修改注册表，使得隐藏文件无法通过普通的设置进行显示，该位置为：HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL 病毒将`CheckedValue`的键值设置为了0。

**病毒行为6：**将自身拷贝到根目录，并命名为`setup.exe`，同时创建`autorun.inf`用于病毒的启动，这两个文件的属性都是“隐藏”。

**病毒行为7：**在一些目录中创建名为`Desktop_.ini`的隐藏文件。

**病毒行为8：**向外发包，连接局域网中其他机器。

纵观以上八点行为，这里需要说明的是，其中的第二点行为，由于我不知道用户计算机在中毒前的设置，因此这条我打算忽略。

你的电脑中了熊猫烧香病毒，要解决的办法是硬盘格式化（也就是重新分区），因为你的电脑病毒已经不只在一个盘了。

在重装系统的时候建议你换一个能防止类式病毒的操作系统。

现把你电脑所中病毒介绍如下：Cool_gamesetup.exe山寨版熊猫烧香病毒病毒名：win32.bmw.j.75783病毒体大小：74.0 KB (75,783 字节)病毒类型：熊猫烧香变种二、病毒行为这是一个熊猫烧香的变种，伪装成毒霸的图标来迷惑用户，它还会下载其他病毒并执行。

1.病毒会删除安全软件的开机启动项目和服务项目。

2.每1秒添加自己的启动项，并将文件隐藏显示注册表键值破坏。

3.每隔6秒在每个驱动器下（A和B驱动器除外），删除所在的autorun.inf文件或文件夹，并创建autorun.inf和对应的 .exe文件。

4.每隔6秒停止部分安全软件服务，删除部分安全软件的服务和开机自启动项目。

5.每10秒关闭以下进程，并添加映像劫持，指向ntsd -davp.exe rav.exe rsagent.exe ravmon.exe ravmond.exeravstub.exe ravtask.exe ccenter.exe 360tray.exe 360safe.exe6.每30分钟下载一次木马/down/down.txt。

7.病毒会感染扩展名为exe、pif、com、src的文件，把自己附加到文件的头部，并在扩展名为htm、html、asp、php、jsp、aspx的文件中添加一网址，用户一但打开了该文件，IE就会不断的在后台点击写入的网址，达到增加点击量的目的。

且该网页有漏洞，新变种的病毒会被下载并运行。

感染时排除以下文件夹中的文件WINDOW Winnt winrar system32 Documents and Settings System Volume Information RecycledWindows NT WindowsUpdate Windows Media Player Outlook Express Internet Explorer NetMeetingCommon Files ComPlus Applications Messenger InstallShield Installation Information MSNMicrosoft Frontpage Movie Maker MSN Gamin Zone也不感染和rar后缀的文件。