新变种"熊猫烧香"彻底解决方法

之前网上流传的“熊猫烧香”清除方法已经无用^_^

申明，新变种无法直接del清除，量也大。需要借助部分工具。以下步骤提前集中下载。

以下操作途中不要开其他网页或自行打开本机网页等其他有可能加载网页的程序。

首发http://blog.yarfun.com 转载请注明，谢谢

一、首先下载江民的威金专杀工具，目前效果比较理想。不要想着手动结束，那只是浪费时间，让更多的文件被修改。

KV官方下载（请注意链接为官方地址）

目前此专杀不会被结束进程，可以顺利，查杀蠕虫，AUTORUN.INF、Setup.exe、SVCH0ST。

查杀后，可以运行，注册表编辑器及任务管理器，并停止网页文件的修改。

打开任务管理器。结束“uaoybx”进程。

二、下载Dreamweaver或其他网页专用字符替换工具，新手建议下载Dreamweaver，不过有点大，虽然有点大材小用，不过它的优点在于，只针对网页程序进行替换，缩短时间，操作简单。很多很小的字符替换程序，只能全部搜索或者指定一种扩展名。目前先做下载。不进行操作。

华军下载页面（请到放心地方下载程序，以免在无防护情况下出现意外）

注：不要想着自己不是Web服务器，不是站长，不接触网页程序，就省略次步骤，其蠕虫修改的htm、html也为很多软件所使用的说明书，例如Windows的安装说明、EA众多游戏的说明、部分软件的内嵌本地网页等。或许你也有以此后缀的文档。所以请不要忽略。

三、下载copylock文件，copylock可以在重启后删除、替换正在被系统占用的文件。无需安装、图标容易误导。绿色软件，不放心的朋友可以去华军下载，提供2个链接。

本地下载汉化版：CopyLock v1.09.rar
华军下载页面：copylock 1.09 简体中文汉化版 下载页面

四、由于之前使用专杀和结束了其中的“自我保护程序”（专杀结束一个SVCH0ST，手动结束一个uaoybx）此时系统暂时平静，如果杀毒软件被破坏，立即重装，并更新，暂时不要重启。不放心的朋友可以不用自己的序列号或通行证，江民的KV2007提供免费版。

***此时断网***，拔网线、断Modem都可以、pppoe不要链接就行。

五、打开copylock，如果一打开出现删除列表，请点否，并清除，当前任务列表，Ctrl+A，del，即可清除任务列表。

使用文件删除加载如下文件：

*:\documents and settings\用户名\local settings\temp\zt2\svch0st.exe
*:\WINDOWS\system32\windhcp.ocx
*:\WINDOWS\system32\uaoybx.exe
*:\WINDOWS\system32\uaoybx.dll

应用，重启电脑。

六、启动后，使用之前安装并更新好的KV，杀毒QQ安装盘。以防万一随后也可以查杀一下系统盘。

七、如果有优化大师，兔子等等注册表搜索软件，就使用他们的注册表指定搜索。如果没有手动，在开始菜单->运行->regedit，回车，或者Win+r，输入regedit回车即可。搜索所有与svch0st.exe、windhcp.ocx、uaoybx.exe、uaoybx.dll有关的键值，其中有部分键值为操作记录，如果不清除的朋友，可以见一个删一个，并不多，不会很累。

八、由于它会替换所有的网页文件，内嵌网页加载蠕虫，所以必须替换，量根据感染时间和网页文件决定，我测试的时候在几分钟内，被修改3万多个网页文件。

　　安装之前下好的Dreamweaver，已经安装或选择其他软件的朋友跳过。
序列号：WPD800-55337-94632-05188

　　打开Dreamweaver后，安Ctrl+F，在“查找范围”选择“文件夹”，“搜索”选择“源代码”如下图所示：

　　注意，此处一定要选择，源代码。默认的内容是搜不到的。

　　在搜索范围的后面，的路径中，依次将你的所有分区都填写上，除了光驱与软驱外。例如C：、D：一次一个分区进行。

在“查找”中分别输入如下的代码： （会有两种）

[coolcode]