熊猫烧香之手动查杀（熊猫烧香之手动查杀）

大家好,今天就和毛毛一起来看看这个问题吧 。熊猫烧香之手动查杀，熊猫烧香之手动查杀很多人还不知道，现在让我们一起来看看吧！

一.导言

作为这一系列研究的开始，我选择了“熊猫烧香”这一病毒作为研究对象。我选择这个病毒主要是因为它具有代表性。一方面在当时影响很大，让计算机专业或者没听说过的人。另一方面是因为这种病毒没有先进的技术。即使在当时，它采用的技术手段也很一般，我们目前掌握的知识也足以分析它。所以我相信从这个病毒入手，会帮助从未接触过病毒研究的读者打消对病毒的恐惧，在整个学习过程中有一个好的开始。

本文首先研究如何手动杀死“熊猫烧香”。这里的手动查杀主要是指不写代码查杀病毒。说白了，基本上就是通过鼠标的指点，有时候用几个DOS命令就可以实现杀毒的工作。但不可否认的是，这种方法非常肤浅，往往无法完全杀死病毒。但是，学习手动查杀病毒，有助于我们更好地理解反病毒工作，为进一步讨论打下基础。

需要注意的是，手动查杀病毒并不意味着不使用任何软件查杀病毒。其实使用一些专业的分析软件来查杀病毒，对我们是很有帮助的。我将在不同病毒的研究中解释这些工具。另外，出于安全考虑，我所有的研究文章都不会给你提供病毒样本。你自己上网搜吧，我只给你我用的病毒样本的基本信息。

二、手动查杀病毒流程

手动查杀病毒木马有一套“固定”的流程，可以总结如下：

1.调查可疑流程。因为病毒经常会创建一个或多个进程，所以我们需要识别哪些进程是由病毒创建的，然后删除可疑的进程。

2.检查启动项目。为了实现自启动，病毒会采用一些方法将自己添加到启动项中，从而实现自启动，所以我们需要将病毒从启动项中移除。

3.删除病毒。在前面检查启动项的步骤中，我们能够确定病毒主体的位置，以便最终删除病毒文件。

4.修复被病毒损坏的文件。一般来说，这一步不能直接用手工完成，需要使用相应的软件，这不是我们讨论的重点。

第三，杀病毒

我在这里研究的“熊猫烧香”病毒样本的基本信息如下：

MD5编码：87551 e33d 517442424 e 586d 25 a9 f 8522，

Sha-1编码：cbbab 396803685 D5 de 593259 c 9 B2 Fe 4d 0d 967 BC 7

文件大小：59KB

你在网上搜到的病毒样本可能和我的不一样，但基本上是一样的。杀人的核心思想还是一样的。

在这里，我将病毒样本复制到之前配置的虚拟机中(注意，应该对其进行备份)。首先，打开“任务管理器”检查当前进程：

因为我的虚拟机系统没有安装软件，所以很纯粹，所以有18个进程(包括任务管理器进程)，可以认为是系统必备的。有时候我们需要这样一个纯粹的系统，将过程与疑似中毒的系统进行对比。然后我们运行病毒，再次尝试打开任务管理器，发现一打开就立刻关闭，说明病毒已经影响到我们的系统了，第一个效果就是让任务管理器打不开。然而，这并不重要。我们可以使用cmd中的“tasklist”命令来检查它。

通过对比，我们可以看到这里还有一个名为spoclsv.exe的进程，我们可以通过“taskkill /f /im 1820”命令结束这个进程(强制删除PID值为1820的文件镜像):

这时候我们可以发现“任务管理器”可以打开，说明我们工作的第一步是成功的。然后需要对启动项进行故障排除。您可以在“运行”中输入“msconfig”:

我们很快就可以在这里锁定“spoclsv.exe”项了。首先，我们需要记下它的文件位置：

c : \ WINDOWS \ system32 \ drivers \ spoclsv . exe

然后是注册表位置：

HKCU \软件\微软\ Windows \当前版本\运行

然后取消这个启动项前面的复选标记，转到注册表中相应的位置，删除运行中的“spoclsv.exe”，删除病毒文件本体：

以上工作完成后，重启系统，再次打开“任务管理器”，可以正常打开，说明我们的工作成功了。然后打开“我的电脑”，用鼠标右键点击每个盘符(我的系统只有c盘)。

当我们手动杀毒时，我们应该养成一种习惯，然后

　　因为我已经确定C盘中存在autorun.inf文件，而使用dir命令却没有看到，说明它应该是被隐藏了，所以这里要使用“dir /ah”(查看属性为隐藏的文件和文件夹)命令。而我们也确实发现了autorun.inf与setup.exe这两个可疑文件(因为正常文件是不需要隐藏的，特别是EXE文件更加不需要隐藏自己，所以这个setup.exe属于可疑文件)。因为这两个可疑程序的属性是隐藏的，所以这里可以先去掉其隐藏属性，然后再进行删除。

　　重启系统后，所有手动查杀病毒的工作完毕，我们的系统就又恢复正常了。

　　四、小结

　　事实上，“熊猫烧香”对于我们的电脑的危害远不止于此，只是说在不使用任何辅助工具的前提下，我们能做的基本上就是这些了。对于“熊猫烧香”病毒的手动查杀部分就到这里，在以后对于别的病毒的研究中，由于它们比“熊猫”要强大，我们不得不使用一些专业工具作为辅助。也希望大家能够亲自去尝试，勤动手，由这里开始，不再惧怕病毒。

这篇文章到此就结束，希望能帮助到大家。