一、在动手查杀熊猫烧香病毒之前，强烈建议先注意以下四点：
　　1.本文包含两种熊猫烧香病毒变种的描述，请注意查看病毒症状，根据实际情况选用不同的查杀方法。 
　　2.对于被熊猫烧香病毒感染的.exe可执行文件，推荐先备份，再修复！ 
　　3.找回被熊猫烧香病毒删除的ghost(.gho)文件，详情请见文中！ 
　　4.对计算机了解不多的用户，请在专家指导下清除熊猫烧香病毒。
　　二、熊猫烧香病毒变种一：病毒进程为“spoclsv.exe”
　　这是“熊猫烧香”早期变种之一，特别之处是“杀死杀毒软件”，最恶劣之处在于感染全盘.exe文件和删除.gho文件（Ghost的镜像文件）。
　　最有“灵感”的一招莫过于在所有htm/html/asp/php/jsp/aspx文件末尾添加一段代码来调用病毒。目前所有专杀工具及杀毒软件均不会修复此病毒行为。需要手动清除病毒添加的代码，且一定要清除。否则访问了有此代码的网页，又会感染。
　　其他老一点的“熊猫烧香”spoclsv变种的病毒行为比此版本少。就不再单独列出。
　　病毒描述：
　　“武汉男生”，俗称“熊猫烧香”，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，（.gho为GHOST的备份文件），使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。 
　　以下是熊猫烧香病毒详细行为和解决办法：
　　熊猫烧香病毒详细行为：
　　1.复制自身到系统目录下：
　　%System%driversspoclsv.exe（“%System%”代表Windows所在目录，比如：C:Windows）
　　不同的spoclsv.exe变种，此目录可不同。比如12月爆发的变种目录是：C:WINDOWSSystem32Driversspoclsv.exe。
　　2.创建启动项：
　　[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
　　svcshare=%System%driversspoclsv.exe
　　3.在各分区根目录生成病毒副本：
　　X:setup.exe
　　X:autorun.inf
　　autorun.inf内容：
　　[AutoRun]
　　OPEN=setup.exe
　　shellexecute=setup.exe
　　shellAutocommand=setup.exe
　　4.使用net share命令关闭管理共享：
　　cmd.exe /c net share X$ /del /y
　　cmd.exe /c net share admin$ /del /y
　　5.修改“显示所有文件和文件夹”设置：
　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
　　ExplorerAdvancedFolderHiddenSHOWALL]
　　CheckedValue=dword:00000000
　　6.熊猫烧香病毒尝试关闭安全软件相关窗口：
　　天网防火墙，进程，VirusScan，NOD32，网镖，杀毒，毒霸，瑞星，江民，黄山IE，超级兔子，优化大师，木马清道夫，木馬清道夫，QQ病毒，注册表编辑器，系统配置实用程序，卡巴斯基反病毒，Symantec AntiVirus，Duba，Windows 任务管理器，esteem procs，绿鹰PC，密码防盗，噬菌体，木马辅助查找器，System Safety Monitor，Wrapped gift Killer，Winsock Expert，游戏木马检测大师，超级巡警，msctls_statusbar32，pjf(ustc)，IceSword。
　　7.尝试结束安全软件相关进程以及Viking病毒（威金病毒）进程：
　　Mcshield.exe，VsTskMgr.exe，naPrdMgr.exe，UpdaterUI.exe，TBMon.exe，scan32.exe，Ravmond.exe，CCenter.exe，RavTask.exe，Rav.exe，Ravmon.exe，RavmonD.exe，RavStub.exe，KVXP.kxp，KvMonXP.kxp，KVCenter.kxp，KVSrvXP.exe，KRegEx.exe，UIHost.exe，TrojDie.kxp，FrogAgent.exe，Logo1_.exe，Logo_1.exe，Rundl132.exe。
　　8.禁用安全软件相关服务：
　　Schedule，sharedaccess，RsCCenter，RsRavMon，KVWSC，KVSrvXP，kavsvc，AVP，McAfeeFramework，McShield，McTaskManager，navapsvc，wscsvc，KPfwSvc，SNDSrvc，ccProxy，ccEvtMgr，ccSetMgr，SPBBCSvc，Symantec Core LC，NPFMntor，MskService，FireSvc。
　　9.删除安全软件相关启动项：
　　SOFTWAREMicrosoftWindowsCurrentVersionRunRavTask
　　SOFTWAREMicrosoftWindowsCurrentVersionRunKvMonXP
　　SOFTWAREMicrosoftWindowsCurrentVersionRunkav
　　SOFTWAREMicrosoftWindowsCurrentVersionRunKAVPersonal50
　　SOFTWAREMicrosoftWindowsCurrentVersionRunMcAfeeUpdaterUI
　　SOFTWAREMicrosoftWindowsCurrentVersionRunNetwork …………Reporting Service
　　SOFTWAREMicrosoftWindowsCurrentVersionRunShStatEXE
　　SOFTWAREMicrosoftWindowsCurrentVersionRunYLive.exe
　　SOFTWAREMicrosoftWindowsCurrentVersionRunyassistse。
　　10.遍历目录修改htm/html/asp/php/jsp/aspx等网页文件，在这些文件尾部追加信息：

来源: