学习怎样手工清除“熊猫烧香”等病毒

注：以下文章来源于网络

学习怎样手工清除“熊猫烧香”等病毒[有图解]

　　病毒名称：worm.whboy.h

　　病毒中文名：熊猫烧香(武汉男生)
　　
　　病毒类型：蠕虫
　　
　　危险级别：★★★★★
　　
　　影响平台：win 9x/me,win 2000/nt,win xp,win 2003
　　
　　专杀工具：金山专杀工具 安天专杀工具 江民专杀工具
　　
　　病毒描述：
　　
　　“武汉男生”，俗称“熊猫烧香”，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具ghost的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
　　补充： rar等压缩文件也会被感染
　　
　　感染病毒后的截图：

[attach]1697[/attach]

　　★注意★
　　2000系统的系统目录为 c:\winnt
　　xp系统的则是 c:\windows
　　以下涉及到的都是 2000系统中的系统目录，如果你是xp系统，请自己将 winnt改为windows
　　
　　★病毒的启动原理：
　　
　　首先，它在 c:\winnt\system32\drivers目录下建立了一个
　　"spo0lsv.exe"文件，o是英文字母，0是数字，伪装成正常的系统打印服务"spoolsv.exe"并实现开机的加载。
　　
　　第二，有些机器会有与以前的u盘病毒一样的特征，每个盘双击打开会运行病毒的程序。原理是在每个盘比如c盘根目录下建立两个隐藏文件 setup.exe 和 autorun.inf
　　autorun.inf这个文件实在是变态，它本来是用来实现“光盘的自动播放”功能。你自己随便在哪个盘建立一个该文件，哪怕是空的，也会造成该盘会被认为是自动运行盘，病毒只要在里面写上一句短短的病毒程序路径，双击该盘图标就会运行这个autorun.inf文件，从而达到运行病毒的目的。
　　
　　
　　autoruns.exe 是一个国外的优秀启动项目检查和设置工具，小巧但功能全面。我们下面就要使用它来进行“熊猫烧香”病毒的手动分析、清除。所有病毒的启动原理都差不多，学会一两个病毒的查杀，以后碰见新病毒，说不定就能派上用场。
　　
　　软件截图：

[attach]1698[/attach]

　　首先，我们重启机器，按 f8 键进入安全模式。
　　“安全模式”停用了大部分的系统服务和第三方服务。比如“熊猫烧香”病毒，进入安全模式后是不会启动的，除非你在安全模式下运行了感染该病毒的文件。
　　而且，由于该病毒每秒都穷举所打开软件的标题和内容，如果含有“杀毒软件、进程、专杀”等等对它不利的关键字，就会马上关闭该窗口。比如常用的“进程管理器”一打开就马上被关闭掉了。我常推荐的“超然进程管理器”也是一样，所以这个案例我暂时不使用它。
　　
　　网上有人居然提出“在进程管理器被关闭之前，迅速的把spo0lsv.exe进程关闭”这个愚蠢的办法....相信能在1秒的时间里在一堆进程列表里找到这个进程并关闭它的人，不太多。
　　
　　好了，进入安全模式。
　　运行下载好的autoruns.exe，不管它是否也已被病毒感染，我们看到的界面如上图所示，我们需要关注的内容是“登录”和“服务”两项。
　　
　　其中“登录”一栏截图如下：

[attach]1699[/attach]　　

　　如上图所示，在 hklm\software\microsoft\windows\currentversion\run键下面，有5个列表，除了 aticc是该机器的ati显卡控制面板程序外， 8\cmdbcs\iect1v142wyy\ravmonhelp这4个启动项都是病毒产生的文件。
　　在列表的右边，有对应的文件详细路径，分别是：
　　c:\winnt\alga.exe
　　c:\winnt\rx.exe
　　c:\winnt\iexpl0re.exe (l为字母，0为数字)
　　c:\winnt\my.exe
　　
　　在hkcu\software\microsoft\windows\currentversion\run下有2个列表，其中 internat是键盘输入法管理程序， svcshare光看图标就知道是熊猫烧香的病毒了。
　　它的详细路径是：
　　 c:\winnt\system32\drivers\spo0lsv.exe (o是字母，0是数字）
　　
　　我们把这5个病毒的启动项前面的勾去掉，并记下路径，也可以在后来再次打开autoruns来查看。
　　
　　接着来看“服务”一栏下部分（上部分在第二个图）里的启动项，如图：

[attach]1700[/attach]　

　　上次中了viking(威金)
　　和这个原理上差不多
　　
　　找到这几个病毒文件的启动项后，我们需要做的就是，把这几个启动项前面的勾取消掉。
　　
　　在”登录“一栏应该取消的是
　　8\cmdbcs\iect1v142wyy\ravmonhelp这4个启动项
　　对应的文件详细路径，分别是：
　　　　c:\winnt\alga.exe
　　　　c:\winnt\rx.exe
　　　　c:\winnt\iexpl0re.exe (l为字母，0为数字)
　　　　c:\winnt\my.exe
　　
　　如图：

[attach]1701[/attach]