spoclsv病毒清除 “可乐虫子病毒”又叫“熊猫烧香”

这几天频繁中毒,昨天刚ghost的,今天又特慢,查了查发现是spoclsv.exe,停止了卡巴司机和天网,竟然还把我的ghost.exe和ghost文件全感染了,图标变成了熊猫,只好重装。结果装好没多久双击c盘时又中了,试了好多方法都没用,只能通过资源管理器打开盘符。
病毒的特征:
1、在各盘目录下生成隐藏的autorun.inf和setup.exe文件,内容为:
          [AutoRun]
          OPEN=setup.exe
          shellexecute=setup.exe
          shell/Auto/command=setup.exe
     双击盘符打不开,并自动运行setup.exe。
2、自动更改一些exe文件的图标;
3、spoclsv.exe进程被结束后,过一会此进程还会自动重起;
俗称“可乐虫子”,可以感染大部分的扩展名为.exe的文件,当点击这些文件时就会中招.
解决方法:
1.首先把进程中的spoclsv.exe结束掉,然后在搜索spoclsv.exe把它删了,如有rmincon.exe也一起删了。
    ,regedit中删掉所有spoclsv项,msconfig删除spoclsv.
2.删除两个文件:
         attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性
         del autorun.inf
3.这时仍然打不开盘符,依次打开“工具-文件夹选项-文件类型”在“已注册文件类型”中找到“驱动器”,再   点击下方的“高级”,然后再单击“新建”按钮,在“操作”里填 “open”,“用于执行操作的应用程序”里填写“explorer.exe %1”,返回到“编辑文件类型”窗口,选中“open”再单击“设为默认值”即可.这种办法修复后的缺点就是双击驱动器会打开一个新的“资料管理器”窗口。为了防止这样的事情发生请运行regedit将注册表中[HKEY_LOCAL_MACHINE/SOFTWARE/Classes/Drive/shell]的键值设为1或open2或none。 

===================================资料二==========================================

熊猫烧香变种 spoclsv.exe 解决方案

档案编号:CISRT2006081
病毒名称:Worm.Win32.Delf.bf(Kaspersky)
病毒别名:Worm.Nimaya.d(瑞星)
Win32.Trojan.QQRobber.nw.22835(毒霸)
病毒大小:22,886 字节
加壳方式:UPack
样本MD5:9749216a37d57cf4b2e528c027252062
样本SHA1:5d3222d8ab6fc11f899eff32c2c8d3cd50cbd755
发现时间:2006.11
更新时间:2006.11
关联病毒:
传播方式:通过恶意网页传播,其它木马下载,可通过局域网、移动存储设备等传播

技术分析
==========
又是“熊猫烧香”FuckJacks.exe的变种,和之前的变种一样使用白底熊猫烧香图标,病毒运行后复制自身到系统目录下:
%System%/drivers/ spoclsv.exe
创建启动项:

[Copy to clipboard]CODE:
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]
"svcshare"="%System%/drivers/ spoclsv.exe"
修改注册表信息干扰“显示所有文件和文件夹”设置:

[Copy to clipboard]CODE:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL]
"CheckedValue"=dword:00000000
在各分区根目录生成副本:
X:/setup.exe
X:/autorun.inf
autorun.inf内容:

[Copy to clipboard]CODE:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell/Auto/command=setup.exe
尝试关闭下列窗口:
QQKav
QQAV
VirusScan
Symantec AntiVirus
Duba
Windows
esteem procs
System Safety Monitor
Wrapped gift Killer
Winsock Expert
msctls_statusbar32
pjf(ustc)
IceSword
结束一些对头的进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
禁用一系列服务:
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
删除若干安全软件启动项信息:
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStatEXE
YLive.exe
yassistse
使用net share命令删除管理共享:

[Copy to clipboard]CODE:
net share X$ /del /y
net share admin$ /del /y
net share IPC$ /del /y
遍历目录,感染除以下系统目录外其它目录中的exe、com、scr、pif文件:
X:/WINDOWS
X:/Winnt
X:/System Volume Information
X:/Recycled
%ProgramFiles%/Windows NT
%ProgramFiles%/WindowsUpdate
%ProgramFiles%/Windows Media Player
%ProgramFiles%/Outlook Express
%ProgramFiles%/Internet Explorer
%ProgramFiles%/NetMeeting
%ProgramFiles%/Common Files
%ProgramFiles%/ComPlus Applications
%ProgramFiles%/Messenger
%ProgramFiles%/InstallShield Installation Information
%ProgramFiles%/MSN
%ProgramFiles%/Microsoft Frontpage
%ProgramFiles%/Movie Maker
%ProgramFiles%/MSN Gamin Zone
将自身捆绑在被感染文件前端,并在尾部添加标记信息:

QUOTE:
.WhBoy{原文件名}.exe.{原文件大小}.
与之前变种不同的是,这个病毒体虽然是22886字节,但是捆绑在文件前段的只有22838字节,被感染文件运行后会出错,而不会像之前变种那样释放出{原文件名}.exe的原始正常文件。
另外还发现病毒会覆盖少量exe,删除.gho文件。
病毒还尝试使用弱密码访问局域网内其它计算机:
password
harley
golf
pussy
mustang
shadow
fish
qwerty
baseball
letmein
ccc
admin
abc
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
super
123asd
ihavenopass
godblessyou
enable
alpha
1234qwer
123abc
aaa
patrick
pat
administrator
root
sex
god
foobar
secret
test
test123
temp
temp123
win
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
love
mypc
mypc123
admin123
mypass
mypass123
Administrator
Guest
admin
Root

清除步骤
==========
1. 断开网络
2. 结束病毒进程
%System%/drivers/ spoclsv.exe
3. 删除病毒文件:
%System%/drivers/ spoclsv.exe
4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
X:/setup.exe
X:/autorun.inf
5. 删除病毒创建的启动项:

[Copy to clipboard]CODE:
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]
"svcshare"="%System%/drivers/ spoclsv.exe"
6. 修改注册表设置,恢复“显示所有文件和文件夹”选项功能:

[Copy to clipboard]CODE:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL]
"CheckedValue"=dword:00000001
7. 修复或重新安装反病毒软件
8. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件


 

Python网络爬虫与推荐算法新闻推荐平台:网络爬虫:通过Python实现新浪新闻的爬取,可爬取新闻页面上的标题、文本、图片、视频链接(保留排版) 推荐算法:权重衰减+标签推荐+区域推荐+热点推荐.zip项目工程资源经过严格测试可直接运行成功且功能正常的情况才上传,可轻松复刻,拿到资料包后可轻松复现出一样的项目,本人系统开发经验充足(全领域),有任何使用问题欢迎随时与我联系,我会及时为您解惑,提供帮助。 【资源内容】:包含完整源码+工程文件+说明(如有)等。答辩评审平均分达到96分,放心下载使用!可轻松复现,设计报告也可借鉴此项目,该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的。 【提供帮助】:有任何使用问题欢迎随时与我联系,我会及时解答解惑,提供帮助 【附带帮助】:若还需要相关开发工具、学习资料等,我会提供帮助,提供资料,鼓励学习进步 【项目价值】:可用在相关项目设计中,皆可应用在项目、毕业设计、课程设计、期末/期中/大作业、工程实训、大创等学科竞赛比赛、初期项目立项、学习/练手等方面,可借鉴此优质项目实现复刻,设计报告也可借鉴此项目,也可基于此项目来扩展开发出更多功能 下载后请首先打开README文件(如有),项目工程可直接复现复刻,如果基础还行,也可在此程序基础上进行修改,以实现其它功能。供开源学习/技术交流/学习参考,勿用于商业用途。质量优质,放心下载使用。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值