中了熊猫烧香病毒该怎么办

1 安全卫士360
2 其他专杀工具.
3 google

多打补丁

目前我所在办公室的一位物理老师的电脑中招了。现在正用金山专杀软件查杀着。
听他说是有个图标，不过刚才我们围过去看的时候，图标不见了。
看着他的电脑的金山专杀软件显示：是个whboy.script的病毒。
光看他的电脑的课件程序中，一直都在同一个文夹中杀着，显示有千多个。
有高手建议到安全模式下杀。
可能原来他已经杀了一轮，现在又重新出现这么多。
目前的问题还没有解决！
我关注一下，看看他们用了什么软件，有什么效果。
或者用了什么措施。
上回我说用金山专杀不错的。
在没有中招之前，有专家说打好补丁就没事。我的电脑是用360安全卫士打了补丁的。
由于那台机是与我们的电脑是联网的，所以其他的电脑也有可能被感染到的。
他的电脑是这学期才搬来的，怎就中招了呢？是来之前，还是来之后，如果是来之后，又是上那个网中的呢？不会是学校的ftp吧。
这学期学校要求电子备课，所以教师都将自己的电脑搬来了。并且费尽心机地去找资料，说不定就这样中招了。
还有许多这样的新手。
而如果我中了，我要到周六才找得到人帮忙的。所以目前上来找些资料来看看。

[tr]
[td]引用：[/td]
[/tr][tr]最简单的方法如下：
鉴于whboy属于木马范畴，因此，它只能在系统盘（默认为c:）里存在，系统还原固然有效，但很是麻烦。
由于whboy入侵到系统启动项目组里，修改了msconfig里的启动项，因此，在regedit里必然有其注册项，点:开始------运行------运行regedit，按F3搜索whboy项目，找到该项目后删除掉，再重新启动计算机，当计算机再次进入系统（正常模式），系统开机会报错，提示无法找到c:windowssystem....whboy.f这个进程，这个时候就证明已经将whboy的安装体删除掉了，虽然系统报错，但不会影响系统运行。想要系统消除这个报错消息，可以将系统安装盘（要看你装的是什么系统了）的启动项目组压缩包展开，覆盖掉已经安在你C盘里的启动项目组文件。这样就应该不会再出错了。最好没个系统都要有一个干净的gho和reg的备份。
由于我长期使用win98，所以对2000以上系统中木马是什么反应还不太清楚，但我在xp的reg里也发现了whboy这个东西，所以各个系统的解决方案应该是类似的。[/tr]
我的办法就是转贴。一边转一边学。请版主不要锁贴，好让我灌灌水。

“武汉男孩”又名“小俊”，男，25岁左右，身高1.75米，网名为“DAVE”。
原名李俊！
熊猫烧香作者！
省厅专家：他是网络天才
“他是网络天才。”12日，省厅网监总队有关专家如此描述李俊。
犯罪嫌疑人李俊今年25岁，是武汉市新洲区阳逻街人，中专毕业后参加过网络技术职业培训班，曾在某电脑城工作；同为25岁的同伙雷磊是其同乡兼同学，两人关系较好。
发泄不满 编写病毒赚钱
2004年毕业后，李俊曾多次到北京、广州等地寻找IT方面的工作，尤其钟情于网络安全公司，但均未成功。
为了发泄不满，同时抱着赚钱的目的，李俊开始编写病毒，2003年曾编写过“武汉男生”病毒，2005年编写了“武汉男生2005”病毒及“QQ尾巴”病毒。
李俊交代，他于2006年10月16日编写了“熊猫烧香”。这是一种超强病毒，感染病毒的电脑会在硬盘的所有网页文件上附加病毒。
如果被感染的是网站编辑电脑，通过中毒网页病毒就可能附身在网站所有网页上，访问中毒网站时网民就会感染病毒。“熊猫烧香”感染过天涯社区等门户网站。
控制“网络僵尸”牟暴利
“熊猫烧香”除了带有病毒的所有特性外，还具有强烈的商业目的：一种形式是，采取“制作病毒－散布－盗号、上付费网站赚钱”的方式，暗中盗取用户游戏账号、QQ账号，以供出售牟利。
另一种形式是，“用病毒控制受感染的电脑”，将其变为“网络僵尸”。暗中访问一些按访问流量付费的网站，从而获利。部分变种中还含有盗号木马。
李俊以自己出售和由他人代卖的方式，每次要价500-1000元不等，将该病毒销售给120余人，非法获利10万余元。经病毒购买者进一步传播，该病毒的各种变种在网上大面积传播。
据估算，被“熊猫烧香”病毒控制的“网络僵尸”数以百万计，其访问按访问流量付费的网站，一年下来累计可获利上千万元。
网友悬赏10万美金通缉
疯狂肆虐互联网的“熊猫烧香”病毒让超过百万的网民深受其害。
“就在很多人怀疑“熊猫烧”香病毒是一个15岁武汉男孩制作的时候，它背后的黑势力已经现身，网上已经发现了产销一条龙盗窃销售网游设备的产业链。”江民公司反病毒工程师称。
据江民等反病毒公司人员介绍，“熊猫烧香”病毒从去年12月份大规模爆发至今，已经使上百万网友受害。该公司每天都接到大量的求助电话。
据悉受此病毒危害最为严重的是一些网吧业主，近千台电脑集体瘫痪，直接损失30多万元，让他们“杀人的心都有”。
在反病毒公司接连发布病毒紧急警报后，国家计算机病毒应急处理中心也发布了病毒预警，“可惜两次病毒警报并没有引起人们的足够重视”。反病毒专家何公道表示。
有电脑受到严重破坏的网友更公开发出帖子称，将悬赏10万美元通缉“熊猫烧香”病毒的作者，得到九成以上网友的热烈响应。
网友公开发出通缉的举动在我国互联网和反病毒历史上都是首次，引起了各方关注

  
“熊猫烧香”（武汉男生）病毒专杀工具2007年03月08日 星期四 14:49熊猫烧香病毒无疑成了近期互联网最热门的关键字了，网上也能找到很多个有关熊猫烧香病毒的解决办法，这些方法不尽完美，再加上熊猫的变种很多，有效性要打折扣了。这里提供一个相对完整的方案供大家参考。
首先,点击下面的链接下载专用的病毒专杀工具,任选一个下载即可.
瑞金专杀               江民专杀
金山专杀下载一　金山专杀下载二　金山专杀下载三　金山专杀下载四
请重启系统到带网络连接的安全模式下使用专杀工具查杀。
如果已经中毒，直接运行专杀工具也会失败，病毒会阻止专杀工具启动，请重启系统时，按F8，选择安全模式，再运行专杀工具处理。
上面链接失效,可到 瑞金网站  金山网站   江民网站  下载.
下面是详细的介绍:
　　病毒信息
　　中文名：熊猫烧香病毒（又称武汉男生），英文名（Worm.WhBoy），目前发现的变种数已超过50个。这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。

被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。  
　　病毒典型恶劣表现：
　　1．感染病毒后发现较多的EXE文件图标变成点着香的熊猫，这也是该病毒命名的由来，现在发现的部分变种已经不再使用这个广为人知的图标了。
　　2．部分变种可以直接通过互联网更新版本，部分变种感染除.exe文件外，还可以感染htm，html，asp，php，jsp，aspx等网页格式文件。
　　3．一旦web服务器被感染，将意味着所有浏览这些网页的计算机可能会自动下载并感染上熊猫烧香病毒。
　　4．该系列变种会释放以下几个典型文件
　　分区根目录下：    code:setup.exe、autorun.inf、%System%Fuckjacks.exe；%System%Driversspoclsv.exe
　　局域网环境下：GameSetup.exe
　　病毒行为：
　　1．删除常用杀毒软件在注册表中的启动项或服务，终止杀毒软件的进程，几乎涉及目前所有杀毒软件
　　2．终止部分安全辅助工具的进程，如IceSword，任务管理器taskmon。
　　3．终止维金的相关进程Logo1_.exe、Logo_1.exe、Rundl123.exe。
　　4．弱口令破解局域网其他电脑的Administror帐号，并用GameSetup.exe进行复制传播。
　　5．修改注册表键值，导致不能查看隐藏文件和系统文件。
　　6．除C盘如下目录外，病毒会尝试破坏其它分区下的部分.exe、.com、.gho、.pif、.scr文件，病毒不会去感染以下目录中的文件（给我们解决此病毒留下机会了，请看下文中的有关描述）。
code:
　　WINDOW，Winnt，System Volume Information，Recycled，Windows NT，
Windows Update，Windows MediaPlayer，Outlook Express，Internet Explorer，
NetMeeting，Common Files，ComPlus Applications，Messenger，InstallShield
Installation Information，MSN，Microsoft Frontpage，MovieMaker，MSN GaminZone。

　　7．病毒会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。
　　解决办法：
　　1.金山毒霸2007（彻底清除+全面免疫）
　　毒霸用户升级病毒库到最新，可完全防止该病毒
　　个人用户：立即升级金山毒霸最新病毒库可处理该病毒 病毒库版本：07.01.19.10
　　企业级用户：立即升级金山毒霸网络版到最新病毒库可处理该病毒 病毒库版本： 2006.08.14
　　使用毒霸2007查杀熊猫烧香的操作方法：
　　第1步：重启系统到带网络连接的安全模式，
　　第2步：升级杀毒软件后杀毒。
　　第3步：可单击开始，运行，输入msconfig，打开系统配置实用程序，点击BOOT.INI标签，
　　第4步：作下图修改，重启即可进入带网络连接的安全模式。
　　2.没有安装毒霸用户（专杀工具+手动清除）
　　（1）首选专杀工具
　　专杀工具是效能最好的方案，能处理已知变种，缺点是有新变种后，专杀也需要更新。推荐去www.xiongmaoshaoxiang.com下载专杀。请重启系统到带网络连接的安全模式下使用专杀工具查杀。
　　（2）在线杀毒
　　因为熊猫烧香病毒的特殊性，杀毒软件本身可能会被感染，病毒还会尝试结束杀毒软件进程和服务，但病毒不感染IE浏览器，用浏览器加载在线杀毒控件来清除病毒可以收到奇效。已经中招的，可以去shadu.duba.net试试。
　　（3）手工清除
　　因为熊猫烧香病毒是感染型的病毒，手工清除相当麻烦，网友公布的手工清除方案只能手工结束病毒进程，一段运行了感染过熊猫烧香病毒的程序，还会再中招。以下简单介绍手工结束病毒进程，修复注册表项的步骤：
　　a.断开网络，禁用网卡或拔掉网线就行；
[url=　　b.结束病毒进程，因为任务管理器、IcdSword已经无法运行，在已感染病毒的机器上很难实现了。建议去http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/]　　b.结束病毒进程，因为任务管理器、IcdSword已经无法运行，在已感染病毒的机器上很难实现了。建议去http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/[/url]
下载一个Process Explorer备用，郁闷的是光缆没修好，官网下载速度巨慢。可以百度一下，到新浪、华军、天空去下载。如果在进程中发现FuckJacks.exe、setup.exe、spoclsv.exe（注意和正常的打印服务就差一个字母，打印服务文件名为spoolsv.exe），就用这个工具结束掉。
　　c.在本地计算机上搜索并删除以下病毒执行文件：
　　分区根目录下：setup.exe、autorun.inf（这个本身不是病毒，但它的存在是为了双击磁盘自动调用病毒程序，建议删了吧）
　　%System%Fuckjacks.exe；%System%Driversspoclsv.exe
　　局域网环境下：GameSetup.exe
　　d. 开始-->运行->输入regedit，确定后，打开注册表编辑器，删除病毒创建的启动项：
code:
　　[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
　　“FuckJacks”=“%System%FuckJacks.exe
　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
　　“svohost”=“%System%FuckJacks.exe”

　　浏览到    code:
HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersion
explorerAdvancedFolderHiddenSHOWALL，
单击右键，点新建--Dword值--命名为CheckedValue（如果已经有，可以删除后重建），修改它的键值为1，为十六进制，按确定后，退出注册表编辑器。以恢复文件夹选项中的“显示所有隐藏文件”和“显示系统文件”
　　e.修复或重新安装反病毒软件，以恢复被病毒删除的注册键值，恢复杀毒软件的功能。
　　f.最后，还是要更新反病毒软件全盘扫描，把感染的EXE程序、网页格式的文件修复。特别提醒网页编辑，一定要保护好自己编辑的Web文档，保护好自己的Web服务器，如果发现网站上传文件带毒，应该及时删除，重新上传。
　　有关该病毒的预防，请参考www.xiongmaoshaoxiang.com上介绍的方法。

前两天问：还是有病毒的存在，图标是专杀后就没有了。
今早再问，重装了系统。没有了。
所以对付熊猫烧香病毒的办法就是：专杀后重装系统。
建议，平时要打好补丁。C盘不要存放任何的重要文档。

再补充一点。
昨天又有一个老师的电脑中招了。
后来是，第一次中招的老师说用超级兔子杀。现在杀了后就没事了。

BS狸菌这个人渣傻逼二百五，我就差点中招