【正文】 動關(guān)閉。 7，打開“我的電腦”，雙擊本地磁盤C盤，會發(fā)現(xiàn)無法打開，同時(shí)，右鍵，會發(fā)現(xiàn)右鍵菜單中多了一個“Auto”選項(xiàng)。 8，打開菜單“工具”，打開“文件夾選項(xiàng)”，選擇“顯示所有文件和文件夾”，選擇“確定”。如下圖所示。 之后，我們重新打開，查看剛才我們的修改是否成功，發(fā)現(xiàn)剛才的修改失敗。如下圖所示。 9，這是一款系統(tǒng)檢測維護(hù)工具，可以進(jìn)行進(jìn)程和服務(wù)驅(qū)動的檢查，SSDT強(qiáng)化檢測，文件查詢，注冊表操作，DOS刪除等操作。打開wsyscheck的進(jìn)程管理，我們可以看見系統(tǒng)打開了哪些進(jìn)程，我們定位它的位置，可以發(fā)現(xiàn)，“熊貓燒香”已經(jīng)將自身復(fù)制到了系統(tǒng)目錄C:\WINDOWS\system32\drivers\，如下圖所示。 10，我們繼續(xù)打開“文件管理”框，在C盤下，我們可以看見隱藏了的“熊貓燒香”。如下圖所示。，表明當(dāng)雙擊C盤時(shí)。 11，觀察病毒創(chuàng)建啟動項(xiàng)[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]svcshare=% system32%\drivers\，如下圖所示。 12，病毒修改了注冊表中“顯示所有文件和文件夾”的設(shè)置內(nèi)容：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explore\Advanced\Folder\Hidder\SHOWALL]分支下的“CheckedValue”的鍵值設(shè)為“dword：00000000”。如下圖所示。任務(wù)二實(shí)驗(yàn)步驟二“熊貓燒香”病毒手工清除 1，結(jié)束病毒進(jìn)程。使用剛才介紹的工具wsyscheck，打開“進(jìn)程管理”，右鍵選擇“結(jié)束進(jìn)程并刪除文件”。 2，刪除根目錄下的病毒文件： X:\ X:\ 切換到“文件管理”，找到“熊貓燒香”，右鍵選擇直接刪除， 3，刪除病毒啟動項(xiàng)。切換到“注冊表管理”，找到[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]svcshare，右鍵刪掉該值。 4，恢復(fù)被修改的“顯示所有文件和文件夾”設(shè)置。[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explore\Advanced\Folder\Hidder\SHOWALL]分支下的“CheckedValue”的鍵值設(shè)為“dword：00000001”。 5，恢復(fù)或重新安裝被破壞的軟件。 6，通過上面的措施，接下來驗(yàn)證一下，現(xiàn)在能否打開任務(wù)管理器以及注冊表，打開方式詳見任務(wù)一。如下圖所示，我們現(xiàn)在可以成功打開注冊表和任務(wù)管理器。 7，接下來，清空回收站，我們打開我的電腦，雙擊C盤，發(fā)現(xiàn)仍然不能打開，這個時(shí)候，需要重新啟動計(jì)算機(jī)。 8，重啟之后，我們右鍵C盤，發(fā)現(xiàn)仍然存在如下圖所示的情況。這時(shí)，我們只需要按照步驟1至步驟4重新設(shè)置一遍，然后再一次重啟。 9，再次重啟之后，這個時(shí)候我們就可以打開C盤了。如下圖所示。接下來我們就可以對系統(tǒng)重新安裝殺毒軟件，對系統(tǒng)進(jìn)行全面的查殺。（，大家可以隨時(shí)利用該工具清理電腦中的“熊貓燒香”病毒）五、實(shí)驗(yàn)結(jié)果總結(jié)實(shí)驗(yàn)結(jié)果截圖以下為未感染病毒前的注冊表及任務(wù)管理器感染病毒后無法安裝瑞星殺毒軟件任務(wù)管理器閃退C盤出現(xiàn)Auto，并無法打開任務(wù)管理器可以顯示重啟后發(fā)現(xiàn)C盤可以打開，AUTO消失病毒刪除成功，實(shí)驗(yàn)完成。心得體會如何防范“熊貓燒香”病毒？“熊貓燒香”病毒不但可以對用戶系統(tǒng)進(jìn)行破壞，導(dǎo)致大量應(yīng)用軟件無法使用，而且還可刪除擴(kuò)展名為gho的所有文件，造成用戶的系統(tǒng)備份文件丟失，從而無法進(jìn)行系統(tǒng)恢復(fù)；同時(shí)該病毒還能終止大量反病毒軟件進(jìn)程，大大降低用戶系統(tǒng)的安全性。 這幾天“熊貓燒香”的變種更是表象異?；钴S，近半數(shù)的網(wǎng)民深受其害。對于已經(jīng)感染“熊貓燒香”病毒的用戶，建議參考《熊貓燒香病毒專殺及手動修復(fù)方案》，下載其中的專釘工具進(jìn)行查殺，也可手動查殺。技術(shù)專家還總結(jié)了以下預(yù)防措施，幫你遠(yuǎn)離“熊貓燒香”病毒的騷擾。 立即檢查本機(jī)administrator組成員口令，一定放棄簡單口令甚至空口令，安全的口令是字母數(shù)字特殊字符的組合，自己記得住，別讓病毒猜到就行。 修改方法：右鍵單擊“我的電腦”，選擇管理，瀏覽到本地用戶和組，在右邊的窗中，選擇具備管理員權(quán)限的用戶名，單擊右鍵，選擇設(shè)置密碼，輸入新密碼就行。 2.、利用組策略，關(guān)閉所有驅(qū)動器的自動播放功能。 步驟：單擊開始，運(yùn)行，打開組策略編輯器，瀏覽到計(jì)算機(jī)配置，管理模板，系統(tǒng)，在右邊的窗格中選擇關(guān)閉自動播放，該配置缺省是未配置，在下拉框中選擇所有驅(qū)動器，再選取已啟用，確定后關(guān)閉。最后，在開始，運(yùn)行中輸入gpupdate，確定后，該策略就生效了。 修改文件夾選項(xiàng)，以查看不明文件的真實(shí)屬性，避免無意雙擊騙子程序中毒。 步驟：打開資源管理器（按windows徽標(biāo)鍵＋E），點(diǎn)工具菜單下文件夾選項(xiàng)，再點(diǎn)查看，在高級設(shè)置中，選擇查看所有文件，取消隱藏受保護(hù)的操作系統(tǒng)文件，取消隱藏文件擴(kuò)展名。 時(shí)刻保持操作系統(tǒng)獲得最新的安全更新，建議用毒霸的漏洞掃描功能。 啟用windows防火墻保護(hù)本地計(jì)算機(jī)。 對于已經(jīng)感染“熊貓燒香”病毒的用戶，建議參考《熊貓燒香病毒專殺及手動修復(fù)方案》，下載其中的專釘工具進(jìn)行查殺，也可手動查殺。 對于未感染的用戶，專家建議，不要登陸不良網(wǎng)站，及時(shí)下載微軟公布的最新補(bǔ)丁，來避免病毒利用漏洞襲擊用戶的電腦，同時(shí)上網(wǎng)時(shí)應(yīng)采用“殺毒軟件＋防火墻”的立體防御體系。清除步驟 ************************************** 1. 斷開網(wǎng)絡(luò) 46