spoclsv

spoclsv是一種進程病毒,俗稱“可樂蟲子”。它可以感染大部分的擴展名為。exe的檔案,當你點擊這些檔案時就會中招。

病毒特徵

1、極耗 CPU;
2、自動更改一些exe檔案的圖示;
3、spoclsv.exe進程被結束後,過一會此進程還會自動重啟。

常見症狀

1.桌面上程式圖示全都變成"鯊魚"圖案
2.無法雙擊打開exe執行檔

詳細行為

1.複製自身到系統目錄下
%System%/drivers/spoclsv.exe(“%System%”代表Windows所在目錄,比如:C:/Windows)
不同的spoclsv.exe變種,此目錄可不同。比如12月爆發的變種目錄是:C:/WINDOWS/System32/Drivers/spoclsv.exe。
2.創建啟動項
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]
"svcshare"="%System%/drivers/spoclsv.exe"
3.在各分區根目錄生成病毒副本
X:/setup.exe
X:/autorun.inf
autorun.inf內容:
[AutoRun]
OPEN=setup.exe
ShellExecute=setup.exe
shell/Auto/command=setup.exe
4.使用net?share命令關閉管理共享
cmd.exe?/c?net?share?X$?/del?/y
cmd.exe?/c?net?share?admin$?/del?/y
5.修改“顯示所有檔案和資料夾”設定
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL]
"CheckedValue"=dword:00000000
6.病毒嘗試關閉安全軟體相關視窗
天網 防火牆 進程 VirusScan NOD32 網鏢 防毒 毒霸
瑞星 江民 黃山IE 超級兔子 最佳化大師 木馬清道夫 木馬清道夫
QQ病毒 註冊表編輯器 系統配置實用程式 卡巴斯基反病毒 Symantec AntiVirus
Duba Windows任務管理器 esteem procs 綠鷹PC 密碼防盜 噬菌體
木馬輔助查找器 System Safety Monitor Wrapped gift Killer Winsock Expert
遊戲木馬檢測大師 超級巡警 msctls_statusbar32 pjf(ustc) IceSword
7.嘗試結束安全軟體相關進程以及Viking病毒(威金病毒)進程
mcshield.exe vstskmgr.exe naprdmgr.exe updaterui.exe TBMon.exe scan32.exe Ravmond.exe CCenter.exe RavTask.exe rav.exe RavMon.exe RavmonD.exe RavStub.exe KVXP.kxp kvmonxp.kxp KVCenter.kxp kvsrvxp.exe kregex.exe uihost.exe TrojDie.kxp FrogAgent.exe logo1_.exe Logo_1.exe Rundl132.exe
8.禁用安全軟體相關服務
Schedule sharedaccess RsCCenter RsRavMon KVWSC kvsrvxp kavsvc
AVP McAfeeFramework mcshield McTaskManager navapsvc wscsvc kpfwsvc
SNDSrvc ccProxy ccEvtMgr CCSETMGR SPBBCSvc Symantec?Core?LC
NPFMntor MskService FireSvc
9.刪除安全軟體相關啟動項
SOFTWARE/Microsoft/Windows/CurrentVersion/Run/RavTask
SOFTWARE/Microsoft/Windows/CurrentVersion/Run/KvMonXP
SOFTWARE/Microsoft/Windows/CurrentVersion/Run/kav
SOFTWARE/Microsoft/Windows/CurrentVersion/Run/KAVPersonal50
SOFTWARE/Microsoft/Windows/CurrentVersion/Run/McAfeeUpdaterUI
SOFTWARE/Microsoft/Windows/CurrentVersion/Run/Network?Associates?Error?Reporting?Service
SOFTWARE/Microsoft/Windows/CurrentVersion/Run/ShStatEXE
SOFTWARE/Microsoft/Windows/CurrentVersion/Run/ylive.exe
SOFTWARE/Microsoft/Windows/CurrentVersion/Run/yassistse
10.遍歷目錄修改htm/html/asp/php/jsp/aspx等網頁檔案,在這些檔案尾部追加信息
<iframe?src="hxxp/wuhan/down.htm"?width="0"?height="0"?frameborder="0">?</iframe>
但不修改以下目錄中的網頁檔案:
C:/WINDOWS
C:/WINNT
C:/system32
C:/Documents?and?Settings
C:/System?Volume?Information
C:/Recycled
Program?Files/Windows?NT
Program?Files/WindowsUpdate
Program?Files/Windows?Media?Player
Program?Files/Outlook?Express
Program?Files/Internet?Explorer
Program?Files/NetMeeting
Program?Files/Common?Files
Program?Files/ComPlus?Applications
Program?Files/Messenger
Program?Files/InstallShield?Installation?Information
Program?Files/MSN
Program?Files/Microsoft?Frontpage
Program?Files/Movie?Maker
Program?Files/MSN?gamin?Zone
11.在訪問過的目錄下生成Desktop_.ini檔案,內容為當前日期
12.此外,病毒還會嘗試刪除gho檔案
病毒還嘗試使用弱密碼將副本以GameSetup.exe的檔案名稱複製到區域網路內其它計算機中:
password harley golf pussy mustang shadow fish qwerty
baseball letmein ccc admin abc pass passwd database
abcd abc123 sybase 123qwe server computer super 123asd
ihavenopass godblessyou enable alpha 1234qwer 123abc aaa
patrick pat administrator root *** god fuckyou fuck
test test123 temp temp123 win asdf pwd qwer yxcv
zxcv home xxx owner login Login love mypc mypc123
admin123 mypass mypass123 Administrator Guest admin Root

解決方法

方法1

首先把進程中的spoclsv.exe結束掉(記得還有一個叫rmincon.exe的)
然後在搜尋spoclsv.exe把它刪了,如有rmincon.exe也一起刪了.
最後顯示所有的檔案的擴展名為.exe 的,如有被感染的檔案它的圖示都會邊得很怪,把它門全刪了。
最後在"開始""運行"中輸入msconfig選擇裡面的啟動,把裡面的spoclsv.exe給鉤掉就,重啟動下就可以了。

方法2

1. 結束病毒進程
%System%/drivers/spoclsv.exe
不同的spoclsv.exe變種,此目錄可不同。比如12月爆發的變種目錄是:C:/WINDOWS/System32/Drivers/spoclsv.exe。但可用此方法清除。
“%System%/system32/spoclsv.exe”是系統檔案。(目前看來沒有出現插入該系統進程的變種,不排除變種的手法變化。)
查看當前運行spoclsv.exe的路徑,可使用超級兔子魔法設定。
2. 刪除病毒檔案
%System%/drivers/spoclsv.exe
請注意區分病毒和系統檔案。詳見步驟1。
3. 刪除病毒啟動項
&#91;HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run&#93;
"svcshare"="%System%/drivers/spoclsv.exe"
4. 通過分區盤符右鍵選單中的“打開”進入分區根目錄,刪除根目錄下的病毒檔案:
X:/setup.exe
X:/autorun.inf
5. 恢復被修改的“顯示所有檔案和資料夾”設定
&#91;HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL&#93;
"CheckedValue"=dword:00000001
6. 修復或重新安裝被破壞的安全軟體
7.修復被感染的程式。可用專殺工具進行修復,收集了四個供讀者使用。金山熊貓燒香病毒專殺工具、安天熊貓燒香病毒專殺工具、江民熊貓燒香病毒專殺工具和瑞星熊貓燒香病毒專殺工具。也可用手動方法(見本文末)。
8. 恢復被修改的網頁檔案,可以使用某些編輯網頁的工具替換被添加文字為空。機器上有htm/html/asp/php/jsp/aspx等網頁檔案,一定要刪除此段代碼。有危險代碼的網頁一但發布到網頁可能會感染其他用戶。

方法3

以下是數據安全實驗室提供的信息與方法。
病毒描述:
含有病毒體的檔案被運行後,病毒將自身拷貝至系統目錄,同時修改註冊表將自身設定為開機啟動項,並遍歷各個驅動器,將自身寫入磁碟根目錄下,增加一個 Autorun.inf檔案,使得用戶打開該盤時激活病毒體。隨後病毒體開一個執行緒進行本地檔案感染,同時開另外一個執行緒連線某網站下載ddos程式進行發動惡意攻擊。是熊貓病毒的變種,可以去下載幾個熊貓病毒的專殺來殺殺看看能否殺掉。
手動清除步驟
==========
1. 斷開網路
2. 結束病毒進程
%System%\drivers\spoclsv.exe
3. 刪除病毒檔案:
%System%\drivers\spoclsv.exe
4. 右鍵點擊分區盤符,點擊右鍵選單中的“打開”進入分區根目錄,刪除根目錄下的檔案:
X:\setup.exe
X:\autorun.inf
5. 刪除病毒創建的啟動項:
&#91;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run&#93;
"svcshare"="%System%\drivers\spoclsv.exe"
6. 修改註冊表設定,恢復“顯示所有檔案和資料夾”選項功能:
&#91;HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL&#93;
"CheckedValue"=dword:00000001
7. 修復或重新安裝反病毒軟體
8. 使用反病毒軟體或專殺工具進行全盤掃描,清除恢復被感染的exe檔案

相關詞條

相關搜尋

熱門詞條

聯絡我們