spoclsv

王朝百科·作者佚名 2010-03-03

宽屏版字体: 小|中|大|超大

这种病毒的特征：

1、极耗 CPU;

2、自动更改一些exe文件的图标；

3、spoclsv.exe进程北结束后，过一会此进程还会自动重起；

我在网上找了它的资料，俗称“可乐虫子”。

它可以感染大部分的扩展名为.exe的文件,当你点击这些文件时就会中招.

首先把进程中的spoclsv.exe结束掉(记得还有一个叫rmincon.exe的)

然后在搜索spoclsv.exe把它删了,如有rmincon.exe也一起删了.

最后显示所有的文件的扩展名为.exe 的,如有被感染的文件它的图标都会边得很怪,把它门全删了.

最后在"开始""运行"中输入msconfig选择里面的启动,把里面的spoclsv.exe给钩掉就,重启动下就可以了.

病毒的症状是:

1.桌面上程序图标全都变成"鲨鱼"图案

2.无法双击打开exe可执行文件

病毒详细行为：

1.复制自身到系统目录下：

%System%/drivers/spoclsv.exe（“%System%”代表Windows所在目录，比如：C:/Windows）

不同的spoclsv.exe变种，此目录可不同。比如12月爆发的变种目录是：C:/WINDOWS/System32/Drivers/spoclsv.exe。

2.创建启动项：

[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]

"svcshare"="%System%/drivers/spoclsv.exe"

3.在各分区根目录生成病毒副本：

X:/setup.exe

X:/autorun.inf

autorun.inf内容：

[AutoRun]

OPEN=setup.exe

shellexecute=setup.exe

shell/Auto/command=setup.exe

4.使用net?share命令关闭管理共享：

cmd.exe?/c?net?share?X$?/del?/y

cmd.exe?/c?net?share?admin$?/del?/y

5.修改“显示所有文件和文件夹”设置：

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL]

"CheckedValue"=dword:00000000

6.病毒尝试关闭安全软件相关窗口：

天网

防火墙

进程

VirusScan

NOD32

网镖

杀毒

毒霸

瑞星

江民

黄山IE

超级兔子

优化大师

木马清道夫

QQ病毒

注册表编辑器

系统配置实用程序

卡巴斯基反病毒

Symantec?AntiVirus

Duba

Windows?任务管理器

esteem?procs

绿鹰PC

密码防盗

噬菌体

木马辅助查找器

System?Safety?Monitor

Wrapped?gift?Killer

Winsock?Expert

游戏木马检测大师

超级巡警

msctls_statusbar32

pjf(ustc)

IceSword

7.尝试结束安全软件相关进程以及Viking病毒（威金病毒）进程：

Mcshield.exe

VsTskMgr.exe

naPrdMgr.exe

UpdaterUI.exe

TBMon.exe

scan32.exe

Ravmond.exe

CCenter.exe

RavTask.exe

Rav.exe

Ravmon.exe

RavmonD.exe

RavStub.exe

KVXP.kxp

KvMonXP.kxp

KVCenter.kxp

KVSrvXP.exe

KRegEx.exe

UIHost.exe

TrojDie.kxp

FrogAgent.exe

Logo1_.exe

Logo_1.exe

Rundl132.exe

8.禁用安全软件相关服务：

Schedule

sharedaccess

RsCCenter

RsRavMon

KVWSC

KVSrvXP

kavsvc

AVP

McAfeeFramework

McShield

McTaskManager

navapsvc

wscsvc

KPfwSvc

SNDSrvc

ccProxy

ccEvtMgr

ccSetMgr

SPBBCSvc

Symantec?Core?LC

NPFMntor

MskService

FireSvc

9.删除安全软件相关启动项：

SOFTWARE/Microsoft/Windows/CurrentVersion/Run/RavTask

SOFTWARE/Microsoft/Windows/CurrentVersion/Run/KvMonXP

SOFTWARE/Microsoft/Windows/CurrentVersion/Run/kav

SOFTWARE/Microsoft/Windows/CurrentVersion/Run/KAVPersonal50

SOFTWARE/Microsoft/Windows/CurrentVersion/Run/McAfeeUpdaterUI

SOFTWARE/Microsoft/Windows/CurrentVersion/Run/Network?Associates?Error?Reporting?Service

SOFTWARE/Microsoft/Windows/CurrentVersion/Run/ShStatEXE

SOFTWARE/Microsoft/Windows/CurrentVersion/Run/YLive.exe

SOFTWARE/Microsoft/Windows/CurrentVersion/Run/yassistse

10.遍历目录修改htm/html/asp/php/jsp/aspx等网页文件，在这些文件尾部追加信息：

但不修改以下目录中的网页文件：

C:/WINDOWS

C:/WINNT

C:/system32

C:/Documents?and?Settings

C:/System?Volume?Information

C:/Recycled

Program?Files/Windows?NT

Program?Files/WindowsUpdate

Program?Files/Windows?Media?Player

Program?Files/Outlook?Express

Program?Files/Internet?Explorer

Program?Files/NetMeeting

Program?Files/Common?Files

Program?Files/ComPlus?Applications

Program?Files/Messenger

Program?Files/InstallShield?Installation?Information

Program?Files/MSN

Program?Files/Microsoft?Frontpage

Program?Files/Movie?Maker

Program?Files/MSN?Gamin?Zone

11.在访问过的目录下生成Desktop_.ini文件，内容为当前日期。

12.此外，病毒还会尝试删除GHO文件。

病毒还尝试使用弱密码将副本以GameSetup.exe的文件名复制到局域网内其它计算机中：

password

harley

golf

pussy

mustang

shadow

fish

qwerty

baseball

letmein

ccc

admin

abc

pass

passwd

database

abcd

abc123

sybase

123qwe

server

computer

super

123asd

ihavenopass

godblessyou

enable

alpha

1234qwer

123abc

aaa

patrick

pat

administrator

root

***

god

fuckyou

fuck

test

test123

temp

temp123

win

asdf

pwd

qwer

yxcv

zxcv

home

xxx

owner

love

mypc

mypc123

admin123

mypass

mypass123

Administrator

Guest

admin

Root

解决方案：

1.?结束病毒进程：

%System%/drivers/spoclsv.exe

不同的spoclsv.exe变种，此目录可不同。比如12月爆发的变种目录是：C:/WINDOWS/System32/Drivers/spoclsv.exe。但可用此方法清除。

“%System%/system32/spoclsv.exe”是系统文件。（目前看来没有出现插入该系统进程的变种，不排除变种的手法变化。）

查看当前运行spoclsv.exe的路径，可使用超级兔子魔法设置。

2.?删除病毒文件：

%System%/drivers/spoclsv.exe

请注意区分病毒和系统文件。详见步骤1。

3.?删除病毒启动项：

[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]

"svcshare"="%System%/drivers/spoclsv.exe"

4.?通过分区盘符右键菜单中的“打开”进入分区根目录，删除根目录下的病毒文件：

X:/setup.exe

X:/autorun.inf

5.?恢复被修改的“显示所有文件和文件夹”设置：

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL]

"CheckedValue"=dword:00000001

6.?修复或重新安装被破坏的安全软件。

7.修复被感染的程序。可用专杀工具进行修复，收集了四个供读者使用。金山熊猫烧香病毒专杀工具、安天熊猫烧香病毒专杀工具、江民熊猫烧香病毒专杀工具和瑞星熊猫烧香病毒专杀工具。也可用手动方法（见本文末）。

8.?恢复被修改的网页文件，可以使用某些编辑网页的工具替换被添加文字为空。机器上有htm/html/asp/php/jsp/aspx等网页文件，一定要删除此段代码。有危险代码的网页一但发布到网页可能会感染其他用户。

以下是数据安全实验室提供的信息与方法。

病毒描述：

含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个 Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。

是熊猫病毒的变种

你去下载几个熊猫病毒的专杀来杀杀看看能否杀掉

专杀工具

http://www.joy666.com/thread-71727-1-1.html

手动清除步骤

==========

1. 断开网络

2. 结束病毒进程

%System%driversspoclsv.exe

3. 删除病毒文件：

%System%driversspoclsv.exe

4. 右键点击分区盘符，点击右键菜单中的“打开”进入分区根目录，删除根目录下的文件：

X:setup.exe

X:autorun.inf

5. 删除病毒创建的启动项：

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

"svcshare"="%System%driversspoclsv.exe"

6. 修改注册表设置，恢复“显示所有文件和文件夹”选项功能：

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]

"CheckedValue"=dword:00000001

7. 修复或重新安装反病毒软件

8. 使用反病毒软件或专杀工具进行全盘扫描，清除恢复被感染的exe文件