freesvc

“熊猫烧香”其实是“尼姆亚”病毒的新变种，最早出现在2006年的11月，到目前为止已经有数十个不同变种，在此期间瑞星已经发布针对该病毒的专杀工具,用户可以去瑞星网站（http://it.rising.com.cn/Channels/Service/index.shtml）免费下载使用。

防范该病毒并不复杂，只需简单几步就可以使您的计算机远离“熊猫烧香”病毒。

第一，安装杀毒软件及个人防火墙升级到最新版本，并打开实时监控程序。

由于现在海底光缆中断，很多国外杀毒软件难以升级，瑞星杀毒软件及个人防火墙免费为用户提供三个月服务，所有用户均可登陆：http://www.rising.com.cn/free/index.htm 免费下载并使用。

瑞星个人防火墙已经升级了内置规则，只需启用“家长保护”即可阻止病毒从互联网上下载其它的病毒或进行自我升级。

第二，给管理员帐号设置较为复杂的密码。

1、在“我的电脑”图标上单击鼠标右键，选择“管理”-〉“本地用户和组”-〉“用户”。

2、在右边的窗格中找到具有管理员权限的帐号，用鼠标右键点击该名称，选择“设置密码”，输入新的密码。

3、新的密码应尽量的复杂，采用字母加数字混合，并且长度在8位以上。

第三，关闭系统“自动运行”功能

1、点击“开始”-〉“运行”，输入“gpedit.msc”，确定，打开组策略编辑器。

2、点击“计算机配置”-〉“管理模板”-〉“系统”，在右边的窗格中找到“关闭自动播放”一项。

3、双击该项目。在弹出的窗口中选择“已启用”，并在“关闭自动播放”的下拉菜单中选择“所有驱动器”，点击“确定”关闭该窗口。

4、点击“开始”-〉“运行”，输入“gpupdate”，确定，以便刷新组策略，使刚才的更改生效。

第四、安装系统和应用软件补丁

1、打开IE浏览器，点击菜单中的“工具”-〉“WindowsUpdate”，安装所有的关键更新。

2、QQ、UC的漏洞已经被该病毒利用，用户应该去他们的官方网站打好最新补丁。更新QQ，单击菜单按钮，选择“帮助”-〉“在线升级”。新浪UC的用户可登陆http://download.51uc.com/uc_download.shtml?tool_0下载补丁程序。

该病毒会利用IE浏览器的漏洞进行攻击，因此用户应该给IE打好所有的补丁。如果必要的话，用户可以暂时换用Firefox、Opera等比较安全的浏览器。

第五、安装卡卡上网安全助手并开启“IE防漏墙”

瑞星卡卡上网安全助手是瑞星公司开发的一款专业的反流氓软件工具，所有用户均可登陆瑞星网站http://tool.ikaka.com免费下载使用。

卡卡助手中独创的“IE防漏墙”技术可有效阻止“熊猫烧香”等病毒及流氓软件利用IE、QQ、UC等漏洞侵入用户的计算机。安装卡卡助手后，屏幕右下角的托盘区会出现“IE防漏墙”的图标。

当用户访问的网站带有恶意代码时会自动弹出提示窗口，建议用户点击“阻止”按钮阻止病毒侵入。

手工清除

1、 清除内存中的病毒

i. 由于该病毒会禁止“任务管理器”运行，可以使用第三方的进程管理工具，如Procview等结束病毒的进程。

ii. 在进程列表中找到“spcolsv.exe”项，单击鼠标右键，选择“结束进程”。

iii. 对于WindowsXP系统，可以直接点击“开始”-〉“运行”，输入“ntsd -c q -pn spcolsv.exe”结束病毒的进程。

2、修复注册表项目

i. 运行regedit.exe，打开注册表编辑器。

ii. 找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

ExplorerAdvancedFolderHiddenSHOWALL一项，将CheckedValue改成1。

iii. 打开HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun，将svcshare的项目删除。

3、删除病毒文件

i. 打开“我的电脑”，选择菜单“工具”-》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。同时取消掉“隐藏已知类型文件的扩展名”前的对勾，然后点击“确定”。

ii. 在硬盘的各个分区上点击鼠标右键，选择“打开”，切忌直接双击。

iii. 删除根目录下的“setup.exe”（图标为“熊猫烧香”）和“autorun.inf”文件。

iv. 进入系统目录下的drivers目录，默认为C:windowssystem32drivers，将其下的spcolsv.exe文件删除。

v. 重新启动计算机，检查这几个文件是否存在，如果不存在，则病毒已被清除干净。

4、恢复被病毒修改的网页文件

搜索计算机上所有的网页文件，找到“<iframe src="http//www.ctv1**.com/wuhan/down.htm" width="0" height="0" frameborder="0"> </iframe>”，将其删除。不同的变种加入的网址有所不同，建议采用杀毒软件进行清除操作。

5、修复被病毒感染的文件

该病毒的一些变种会感染EXE可执行文件，因此建议使用杀毒软件或专杀工具清除该病毒