金猪报喜变种主程序sppoolsv.exe被查杀，图标基本恢复正常，若此时你认为没有问题了，可以放心使用了，就错了，因为你的各种帐号密码正在受到别人窥探，高危木马借熊猫的力量，已植入你的电脑，仍在活动之中，专杀之后重启电脑，似乎一切正常，打开任务管理器，如图3所示，就会发现不速之客还在里面。

图三　专杀之后木马仍在

如何彻底解除熊猫烧香金猪报喜变种sppoolsv版病毒

手工解除：首先tasklist查看出不正常的进程，然后记录下它们的PID，taskkill /pid xxxx /f /t　（这里的xxx,是代表你刚才用tasklist查出的不正常的进程PID，下载一个最新的熊猫烧香专杀扫描全盘，将所有金猪清除。然后手工将木马文件删除：
C:\WINDOWS\system32\jiang.exe
C:\WINDOWS\system32\rhlamt.exe
C:\WINDOWS\system32\rhlamt.dll

手工清除注册表自启动中的：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ejgewl"="C:\\WINDOWS\\system32\\rhlamt.exe"

如何彻底预防熊猫烧香病毒及其未来变种

　　由于熊猫烧香原作者加编程水平和加密手段均不象高手所为（至少本人这样认为，举个例子，如为了不让人结束它的进程，将任务管理器踢出，说明作者编程能力有限，作程序的朋友就明白，作一个在任务管理器看不到的进程并非难事，本站制作的方舟ARP高级补丁，为防止人为恶意ARP攻击，就使用了进程隐藏，另外壳用的是最简单的UPack，几分钟就能脱掉），作者利用网民安全意识太差使这个病毒广流传，烧遍了大江南北，而木马的主人得到此病毒样本后，轻意解壳得到相关的源代码，他们研究病毒样本的目的最有一个：盗号。所以未来一段时间内网民被盗的号的情况会更加严重。

　　专杀工具和相关的补丁一般都滞后于变种的变化，所以被动的防缷，不如主动地出击，除了网上介绍的常规方法（密码加长、禁止自动运行、加防火墙等）外，我们认为可以使NTFS文件格式的高安全权限来限制病毒的传播和发作。也就是通过合理的设置相关的文件夹的安全权限来抵抗下一轮病毒洪水般的进攻。安全权限方面可以作以下两个工作，一是禁止临时目录的运行权限，堵住从网页下载到临时目录的病毒发作途径（据不完全综计，当前90％的病毒是对通过TEMP生成可执行文件，并获得控制权），二是对已知高发病毒作疫苗，这个有点象医学的疫苗，我们可以将建立一个已病毒主文件名相同的文件（例如本文的主角C:\WINDOWS\System32\Drivers\sppoolsv.exe），然后将它的所有权限都删除，这样当进入带熊猫烧香金猪报喜变种sppoolsv版病毒网站时，系统无法生成真正的病毒文件sppoolsv.exe，所以毒也就自行消失了。对于作系统的高手来说，去运行权限、作已知病毒的疫苗易如翻掌，但对于广大面向应用的一般网民来说，要他们作以上操作，似乎是有些为难他们了。本次方舟系统站制作的熊猫烧香预防补丁（方舟广谱病毒疫苗v1.1）便可以轻松解决这一问题。

方舟广谱病毒疫苗的原理：

　　设置注册表权限及系统目录为只读,使病毒无法感染系统， 达到疫苗的效果，对未知的变种有着主动防御能力。且本疫苗并 不占用任何系统资源，丝毫不会象有些防毒软件那样占用大量系统资源。
本疫苗由方舟系统站制作 QQ：346644
本疫苗为内部测试版，功能强大、可在线升级正式版将于近期发布。
版本号 　修订日期　　　 修订人 　　修订内容
1.1 　　2007-02-02　　 fz49.com 　创建本脚本

方舟广谱病毒疫苗下载地址：/html/ruanjianxiazai/shadufangdu/20070203/390.html

方舟广谱病毒疫苗注意事项：
　某些安装程序也会用到一些限制安全性注册表键，请在安装前运行本程序,然后选择2，恢复默认设置。安装完成后，重新运行本程序， 若已实施方舟广谱病毒疫苗，则第4、5项同时也已实施。 如何验证病毒疫苗生效：例如打“熊猎烧香”疫苗后，再一次选择4，出现了拒绝访问等字样，说明已生效。 然后选择1，实施方舟广谱病毒疫苗。
　　 在无盘系统或带有还原的系统中，注册表及相关目录可以还原，可以只安装“熊猎烧香”疫苗＋禁止临时文件夹运行权限。