清除步骤
==========
1. 断开网络
2. 结束病毒进程
%System%\FuckJacks.exe
3. 删除病毒文件：
%System%\FuckJacks.exe
4. 右键点击分区盘符，点击右键菜单中的“打开”进入分区根目录，删除根目录下的文件：
X:\autorun.inf
X:\setup.exe
5. 删除病毒创建的启动项：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%System%\FuckJacks.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svohost"="%System%\FuckJacks.exe"
6. 修复或重新安装反病毒软件
7. 使用反病毒软件或专杀工具进行全盘扫描，清除恢复被感染的exe文件
中毒文件的恢复(仅个人观点,只在自己的虚拟机上测试正常)
首先在清除病毒文件的同时不要删除%SYSTEM%下面释放FuckJacks.exe的这个文件,(注册表里要清除干净)
打开运行输入gpedit.msc打开组策略-本地计算机策略-windows设置-安全设置-软件限制策略-其它规则
在其它规则上右键选择-新散列规则=打开新散列规则窗口
在文件散列上点击浏览找到-%SYSTEM%下面释放FuckJacks.exe文件.......安全级别选择-不允许的 确定后重启(一定重启)
重启后可以双击运行已经被熊猫感染的程序-运行程序后该FuckJacks.exe文件会在注册表里的Run键下建立启动项(不会有问题的)
双击运行被感染的程序已经恢复原来样子了,全部回复后用SRENG2把FuckJacks.exe在注册表里的启动项删除即可!
再重申一遍:以上只是在自己的虚拟机上运行并试用的,不能保证100%的没有问题!

清除流氓软件清除间谍软件技巧
http://www.lucky8k.com/thread-5301-1-1.html
清除流氓软件清除间谍软件的软件下载
http://www.lucky8k.com/thread-5300-1-1.html

　　瑞星1月14号以后的病毒库都能杀，而且很灵。但瑞星的程序会被熊猫关掉。
　　杀毒具体方法(100%成功)。注意!一定要看完完整的一步再进行，因为一旦断开，整步都要重做!
　　1、右键点击托盘里的瑞星防火墙图标，选择“系统状态”，然后马上用右键点击任务栏中的防火墙窗口按钮，弹出窗口控制菜单，这样就可以锁住窗口，使其不被关闭。找出“熊猫”的进程，记下程序名。现在可以把菜单点掉了，你会发现瑞星的窗口马上被关了。没事，现在不管它。
　　2、打开“任务管理器”(Ctrl+Alt+Del)。在窗口出来时马上点任务栏锁住它，然后打开“进程”标签(如果已经打开就跳过这一步)。然后按住标题栏锁住它。准备一下，迅速松开标题栏，按下刚才找到的“熊猫”的首字母，再按住标题栏。重复数次，直到选中“熊猫”。松开标题栏，马上按键盘上的 “右键快捷键(右Ctrl左边的那个画着菜单的键)”、然后按“T”、“Y”，结束“熊猫”的进程树!
　　3、至此，已经成功90%了，你可以稍稍放松一下。打开瑞星杀毒软件和防火墙，升级到最新版本后(可能要重启，重启后只能重复1、2了，但如果你是1 月14号以后的病毒库就不用升级了)，打开防火墙主程序的“启动选项”，显示所有启动项(什么应用程序劫持项、驱动程序的)，删掉熊猫的键值。然后开着防火墙、监控中心进行整机杀毒!(包括引导区、内存、邮件。可以不断网，因为病毒已经进不来了)。
　　4、杀完毒，看一看是不是几百个“Worm.Nimaya.W”全在网页里面?怪不得一开网际快车就重新中毒呢。重启电脑，再来一遍开机扫描，确定无毒，电脑也就无毒了。

　　“熊猫烧香”病毒无疑成了近期互联网最热门的关键字了，网上也能找到很多个有关熊猫烧香病毒的解决办法，这些方法都显得不尽完美，再加上熊猫的变种很多，有效性就更加大打折扣了。金山毒霸反病毒专家为广大感染熊猫烧香的用户提供了一个相对完整的解决方案供大家参考。
　　病毒名：
　　中文：熊猫烧香病毒(又称武汉男生)
　　英文：Worm.WhBoy
　　目前发现的变种数已超过50个
　　典型表现：
　　感染病毒后发现较多的.EXE文件图标变成点着香的熊猫，这也是该病毒命名的由来。现在发现的部分变种已经不再使用这个广为人知的图标了。部分变种可以直接通过互联网更新版本，部分变种可以感染htm、html、asp、php、jsp、aspx等网页格式文件。一段web服务器被感染，将意味着所有浏览这些网页的计算机可能会自动下载并感染上熊猫烧香病毒。
　　该系列变种会释放以下几个典型文件
　　分区根目录下：setup.exe、autorun.inf、%System%\Fuckjacks.exe、%System%\Drivers\
　　spoclsv.exe
　　局域网环境下：GameSetup.exe
　　病毒行为：
　　1、删除常用杀毒软件在注册表中的启动项或服务，终止杀毒软件的进程，几乎涉及目前所有杀毒软件
　　2、终止部分安全辅助工具的进程，如IceSword，任务管理器taskmon。
　　3、终止维金的相关进程Logo1_.exe、Logo_1.exe、Rundl123.exe。
　　4、弱口令破解局域网其他电脑的Administror帐号，并用GameSetup.exe进行复制传播。
　　5、修改注册表键值，导致不能查看隐藏文件和系统文件。
　　6、除C盘如下目录外，病毒会尝试破坏其它分区下的部分.exe、.com、.gho、.pif、.scr文件，病毒不会去感染以下目录中的文件(给我们解决此病毒留下机会了，请看下文中的有关描述)。
　　WINDOW，Winnt，System Volume Information，Recycled， Windows NT，WindowsUpdate，Windows MediaP，Outlook Express，InternetExplorer，NetMeeting，Common Files，ComPlus Applications，Messenger，InstallShield Installation Information，MSN，Microsoft Frontpage，MovieMaker，MSN GaminZone
　　7、病毒会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。　　解决办法：
　　1、首选专杀工具
　　专杀工具是效能最好的方案，能处理已知变种，缺点是有新变种后，专杀也需要更新。推荐去www.lucky8k.com下载专杀。
　　2、在线杀毒
　　因为熊猫烧香病毒的特殊性，杀毒软件本身可能会被感染，病毒还会尝试结束杀毒软件进程和服务，但病毒不感染IE浏览器，用浏览器加载在线杀毒控件来清除病毒可以收到奇效。已经中招的，可以去shadu.duba.net试试。
　　3、重启系统到带网络连接的安全模式，升级杀毒软件后杀毒。可单击开始，运行，输入msconfig，打开系统配置实用程序，点击BOOT.INI标签，作如图修改，重启即可进入带网络连接的安全模式。

　　4、手工清除
　　因为熊猫烧香病毒是感染型的病毒，手工清除相当麻烦，网友公布的手工清除方案只能手工结束病毒进程，一段运行了感染过熊猫烧香病毒的程序，还会再中招。以下简单介绍手工结束病毒进程，修复注册表项的步骤：
　　a.断开网络，禁用网卡或拔掉网线就行;
　　b.结束病毒进程，因为任务管理器、IcdSword已无法运行，已感染病毒的机器上很难实现。建议去http://www.microsoft.com/technet ... rocessesAndThreads/
　　ProcessExplorer.mspx下载一个ProcessExplorer备用，郁闷的是光缆没修好，官网下载速度巨慢。可以百度一下，到新浪、华军、天空去下载。如果在进程中发现FuckJacks.exe、setup.exe、spoclsv.exe(注意和正常的打印服务就差一个字母，打印服务文件名为spoolsv.exe)，就用这个工具结束掉。
　　c.在本地计算机上搜索并删除以下病毒执行文件：
　　分区根目录下：setup.exe、autorun.inf(这个本身不是病毒，但它的存在是为了双击磁盘自动调用病毒程序，建议删了吧)
　　%System%\Fuckjacks.exe;%System% \Drivers\spoclsv.exe
　　局域网环境下：GameSetup.exe
　　d. 开始-->运行—>输入regedit，确定后，打开注册表编辑器，删除病毒创建的启动项：
　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]"FuckJacks"="%System%\FuckJacks.exe[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"svohost"="%System%\FuckJacks.exe"
　　浏览到
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\ Folder\Hidden\SHOWALL]
　　，单击右键，点新建——Dword值——命名为CheckedValue(如果已经有，可以删除后重建)，修改它的键值为1,为十六进制，按确定后，退出注册表编辑器。以恢复文件夹选项中的“显示所有隐藏文件”和“显示系统文件”
　　e.修复或重新安装反病毒软件，以恢复被病毒删除的注册键值，恢复杀毒软件的功能。
　　f.最后，还是要更新反病毒软件全盘扫描，把感染的EXE程序、网页格式的文件修复。特别提醒网页编辑，一定要保护好自己编辑的Web文档，保护好自己的Web服务器，如果发现网站上传文件带毒，应该及时删除，重新上传。
　　有关该病毒的预防，请参考www.lucky8k.com上蓝色软件版介绍的方法，或者看这里http://www.lucky8k.com/ 。特别提示一下，今天更新的金山毒霸已经集成了针对熊猫烧香病毒的免疫功能，对预防熊猫烧香病毒会起到遏制作用。

收到。。。。。。。。。。谢谢

版主太强了，多谢分享。

太厉害的帖子，不得不

没中过 学习 防范于未然

谢谢
我知道了，！！

顶顶顶顶顶顶顶顶顶