電腦維修工作室

熊貓燒香不但可以對用戶系統進行破壞，導致大量應用軟體無法使用，而且還可刪除副檔名為gho的所有檔，造成用戶的系統備份檔案丟失，從而無法進行系統恢復；同時該病毒還能終止大量反病毒軟體進程，大大降低用戶系統的安全性。

　　木馬特徵：該木馬病毒利用微軟IE漏洞（IE7.0也未被倖免）通過網站傳播，中了此木馬的電腦，會有以下特徵：　　

　　1、在任務管理器裏有spoclsv.exe檔進程

　　2、在每個硬碟的根目錄下面生成以上的setup.exe和autorun.inf兩個檔，當用戶打開電腦的任意一個硬碟，即執行該木馬病毒。　　

　　3、該木馬會強制關閉用戶打開的“任務管理器”。　　

　　4、該木馬會強制關閉用戶打開的“註冊表編輯器(regedit)”、“系統配置實用程式(msconfig)”、IceSword等程式檔。　　

　　5、該木馬會強制關閉用戶電腦上安裝的防病毒及網路監控軟體，其中包括Symantec的norton企業版。　　

　　6、該木馬修改註冊表檔，在[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]下生成"svcshare=C:\WINDOWS\system32\drivers\spoclsv.exe”的字串值，修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]　　

　　"CheckedValue"=dword:00000000。　　

　　7、該木馬會刪除電腦默認的共用目錄。　　

　　另外該木馬還會刪除並感染.com、.pif、.scr、.exe檔，並生成一個以原檔案名.exe.exe文件或.exe的燒香熊貓圖示檔，並會尋找並刪除.gho備份檔案。

手動解決：　

　　1、拔掉網線斷開網路，打開Windows任務管理器，迅速找到spoclsv.exe，結束進程，找到explorer.exe，結束進程，再點擊檔，新建任務，輸入c:\WINDOWS\explorer.exe，確定。　　

　　2、點擊開始，運行，輸入cmd按enter，輸入以下命令：　　

　　del c:\setup.exe /f /q　　

　　del c:\autorun.inf /f /q　

上述兩個木馬檔為唯讀隱藏，會修改Windows屬性，使用戶無法通過設置檔夾選項顯示所有檔及檔夾的功能看到。　　

　　3、進入註冊表，刪除HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下svcshare值。　　

　　4、刪除C:\windows\system32\drivers\spoclsv.exe　　

　　5、修復或重新安裝防病毒軟體並升級病毒庫，徹底全面殺毒，清除恢復被感染的.exe