受病毒的影響，幾乎所有的應(yīng)用軟件基本上都不能正常運(yùn)行了（哪個(gè)軟件的執(zhí)行文件不是 .EXE 文件呢）。而且病毒還具有自行關(guān)閉防火墻和殺毒軟件的能力，電腦上的瑞星防火墻便被強(qiáng)制禁用，病毒監(jiān)控雖然可以運(yùn)行，但也被取消了隨系統(tǒng)啟動一同加載的權(quán)利；同時(shí)連 Windows 安全中心也未能幸免，Security Center 服務(wù)被整個(gè)刪除；另外在文件夾選項(xiàng)中也無法查看隱藏的文件夾和文件了，這是一個(gè)常見問題，在文件夾選項(xiàng)中設(shè)置“顯示所有文件夾和文件”后無法保存設(shè)置。

由于瑞星已經(jīng)“泥菩薩過河、自身難保”，所以不得不手動清除。

1.在任務(wù)管理器的進(jìn)程列表中關(guān)閉 SPCOLSV.EXE 病毒進(jìn)程。這個(gè) SPCOLSV.EXE 明顯是在模仿系統(tǒng)進(jìn)程 SPOOLSV.EXE。

2.刪除位于 %SystemRoot%system32Drivers 文件夾中的 SPCOLSV.EXE 文件。%SystemRoot%system32Drivers 文件夾中不應(yīng)該存在 .EXE 文件，所以很好找。

3.按照 KB555640 提供的方法，恢復(fù)資源管理器不能顯示隱含文件的問題：

http://support.microsoft.com/kb/555640/zh-cn

這篇 KB 還是 youyang 寫的，向 youyang 同學(xué)致敬。

4.每個(gè)硬盤分區(qū)的根目錄都有兩個(gè)隱含的文件 AUTORUN.INF 和 SETUP.EXE，將這些垃圾全部刪除。

5.在注冊表 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
Run 中把病毒的啟動項(xiàng) svcshare 刪除。如果存在多個(gè)用戶帳戶，每個(gè)用戶帳戶的 HKEY_CURRENT_USER 都要清理。

6.恢復(fù)殺毒軟件隨系統(tǒng)啟動的加載項(xiàng)，以瑞星為例，在注冊表 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 中加上一個(gè) RavTask，設(shè)置命令為 "C:RiSingRavRavTask.exe" -system 即可，其中 C:RisingRAV 是瑞星的默認(rèn)安裝位置。

7.在另一臺“安全中心”服務(wù)正常的電腦上打開注冊表，將 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswscsvc 的全部內(nèi)容導(dǎo)出為 .REG 文件，復(fù)制到故障電腦上導(dǎo)入注冊表，然后重新啟動 Windows，恢復(fù)被病毒刪除的“安全中心”服務(wù)。

到這個(gè)地步，病毒的主要文件基本上就被清理干凈了。但是還剩下那些已經(jīng)變成了熊貓嘴臉的 .EXE 文件，一開始不知道如何恢復(fù)。試過瑞星、江民和金山提供的熊貓燒香病毒專殺工具，但它們都只能清理上面提到的 AUTORUN.INF 和 SETUP.EXE，對于已經(jīng)被寄生的 .EXE 文件無法自動恢復(fù)。后來在反間諜軟件《超級巡警》里找到了一個(gè)熊貓燒香病毒專殺工具 1.6，名為 KillPanda.BAT，這個(gè)工具總算沒有讓人失望，經(jīng)過掃描后，被寄生的 .EXE、.HTM 等類型的文件都恢復(fù)了默認(rèn)圖標(biāo)，而且文件大小也恢復(fù)正常了，可以正常運(yùn)行，總算避免了需要全部重新安裝的厄運(yùn)。不過所有被寄生過的文件，文件的生成時(shí)間、修改時(shí)間和訪問時(shí)間就都保不住了，最后還是留下了一點(diǎn)“后遺癥”。