此病毒于2006.11月份发布,是2007.1月份病毒排行榜第一位,可想而知此病毒是多么的凶,本人前几天用朋友的移动硬盘时,被感染了此病毒,通过自己的分析终于解决了此病毒,现在我把自己解决此病毒的过程和感想贴出来给大家参考,希望能帮助大家解决此问题!
一.病毒原理及存在形式
此病毒在网上是以"熊猫烧香"的一幅精美图片显示,被感染后的文件也会以此图标显示,感染此病毒后计算机的运行速度会明显变慢,不严重时可打开系统进程表,你会发现多了spcolsv.exe这个system进程,然后你的系统盘会创建这个可执行文件,它位于c:\windows\system32\drivers\spcolsv.exe,然后在你计算机各个盘的根目录下建立两个文件,一个是setup.exe和author.inf(文件名和这个相似,后缀名是.inf),这两个文件的作用是当用户双击各盘根目录打开盘时,就自动遍历当前盘的整个.exe和.scr,.html,.jsp等文件,然后感染这些文件(大家想一下,它在你每个盘上都创建了以上两个文件,也就是当你双击你其它盘时,你其它盘的文件都会被感染,如C,D,E,F盘),最后会在你的计算机上的注册表中注册,从而破坏你的注册表,以达到一启动计算机就自动运行病毒文件spcolsv.exe从而大量消耗内存和cpu,使得计算机速度变慢,最终到致你计算机崩溃.
[注].spcolsv.exe,setup.exe,author.inf这三个文件都是系统扩展隐藏的,此病毒还会自动关闭你显示隐藏属性功能,一般的显示隐藏文件是打不开的.
二.解决方案
1.不严重时打开系统进程表(按ctrl+alt+del),严重时从安全模式打开进程表,找到spcolsv.exe这个进程,然后结束此进程,它实际上是模拟的系统进程spoolsv.exe, 只是一个字母的区别,大家要分开,不要删错了哈,删错了系统会挂掉.
2.解决隐藏文件,首先选"开始-->>运行",在输入框中输入regedit打开注册表,找到以下子键并修改其值:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]中的CheckedValue的0值改为1,然后打开的我电脑,选中C盘点右键选打开(不要双击打开,那样只会加重病毒的变重及运行,因为它在你的系统根目录下自动创建了setup.exe文件),然后进入c:\windows\system32\drivers目录下,此时选择工具菜单下的"工具-->>文件夹选项...",然后选择"查看",把"隐藏受保护的操作系统文件"项前的选中状态去掉,最后选中"显示所有文件及文件夹".
3.删除病毒文件,通过以上隐藏文件的解决,现在你就会发现c:\windwos\system32\drivers\目录下有一个spcolsv.exe文件,此时选中它然后删掉,然后回到各盘的根目录下,找到setup.exe和author.inf这两个文件并删掉,最后找到注册表文件这个子键[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]目录下的spcolsv.exe的引导文件从注册表中删掉,经过这几步操作过后,这个病毒的基本上主要文件都没删掉了,然后就剩下目计算机上的感染文件没解决了,被感染的文件有两种显示方式,一种是不正常的框架图标显示,一种是"熊猫烧香"图标显示,此时建议你用最新卡巴斯基6.0以上版本进行全盘扫描一下,这主要是防止此病毒变种或者是自动从网下下载的一些特洛伊木马病毒(此病毒侵入计算机后最大的特点就是自动从网上不断的下载木马病毒,建议先断网,再操作),扫描完后,然后清除感染图标,如不重要的话,建议删掉,重要的话,先双击这个图标,此时另外打开c:\windows\system32\drivers窗口,把spcolsv.exe文件删掉(因为当你被感染的文件表面上没毒,当你双击时,它会自动在以上那个目录下建立spcolsv.exe文件,所以你每双击一个被感染的文件恢复图标时,你就要打开那个目录删掉spcolsv.exe这个虚拟文件,建议用文件修复工具解决).
三.感想
通过以上的步骤,此病毒将解决;本人中此病毒时,首先跟大家一样,想重新装系统,结果当系统装完后,由于病毒没解决完,所以我新装的系统又补感染,一气之下,打开注册表Run目录下一看,发现多了spcolsv.exe这个启动项,然后找开进程也发现有这个文件,所以在网上一看,原来中了"熊猫烧香"这个病毒,最近网上很流行这个病毒,建议大家小心,然后用卡巴斯基,开启主动御警功能,这样当你打开网页时发现有病毒,它就会提示你.
注.[一句话,这个病毒太牛了,我碰到最凶的一个病毒,彻底清楚这个病毒搞了我6个小时左右,真是费时,以下有不清楚之地方或疏漏之处,请大家留言讨论.]
