木馬名稱：setup.exe

木馬大小：91,648字節

所在位置：由C至Z盤的根目錄下

附帶文件：autorun.inf

文件內容：

[AutoRun]

OPEN=setup.exe

shellexecute=setup.exe

shell\Auto\command=setup.exe

所在位置：由C至Z盤的根目錄下

木馬名稱：spoclsv.exe

木馬大小：91,648字節

所在位置：C:\windows\system32\drivers\

木馬特征：該木馬病毒利用微軟IE漏洞（IE7.0也未被幸免）通過網站傳播，中了此木馬的電腦，會有以下特征：

1、在任務管理器里有spoclsv.exe文件進程。

2、在每個盤符的根目錄下面生成以上的setup.exe和autorun.inf兩個文件，當用戶打開電腦的任意一個盤，即執行該木馬病毒。

3、該木馬會強制關閉用戶打開的“任務管理器”。

4、該木馬會強制關閉用戶打開的“注冊表編輯器(regedit)”、“系統配置實用程序(msconfig)”、IceSword等程序文件。

5、該木馬會強制關閉用戶電腦上安裝的防病毒及網絡監控軟件，其中包括Symantec的norton企業版。

6、該木馬修改注冊表文件，在[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]下生成"svcshare=C:\WINDOWS\system32\drivers\spoclsv.exe”的字符串值，修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"=dword:00000000。

7、該木馬會刪除電腦默認的共享目錄。

另外該木馬還會刪除并感染.com、.pif、.scr、.exe文件，并生成一個以原文件名.exe.exe文件或.exe的燒香熊貓圖標文件，并會尋找并刪除.gho備份文件。

解決辦法：

1、拔掉網線斷開網絡，打開Windows任務管理器，迅速找到spoclsv.exe，結束進程，找到explorer.exe，結束進程，再點擊文件，新建任務，輸入c:\WINDOWS\explorer.exe，確定。

2、點擊開始，運行，輸入cmd回車，輸入以下命令：

del c:\setup.exe /f /q

del c:\autorun.inf /f /q

如果你的硬盤有多個分區，請逐次將c:改為你實際擁有的盤符（C盤-->Z盤）。上述兩個木馬文件為只讀隱藏，會修改Windows屬性，使用戶無法通過設置文件夾選項顯示所有文件及文件夾的功能看到。

3、進入注冊表，刪除HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下svcshare值。

4、刪除C:\windows\system32\drivers\spoclsv.exe

5、修復或重新安裝防病毒軟件并升級病毒庫，徹底全面殺毒，清除恢復被感染的.exe文件。

6、屏蔽熊貓燒香病毒網站pkdown.3322.org和ddos2.sz45.com，具體方法如下：

打開C:\WINDOWS\system32\drivers\etc\host文件，添加修改如下格式：

# Copyright (c) 1993-1999 Microsoft Corp.

#

# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.

#

# This file contains the mappings of IP addresses to host names. Each

# entry should be kept on an individual line. The IP address should

# be placed in the first column followed by the corresponding host name.

# The IP address and the host name should be separated by at least one

# space.

#

# Additionally, comments (such as these) may be inserted on individual

# lines or following the machine name denoted by a '#' symbol.

#

# For example:

#

#     102.54.94.97   rhino.acme.com       # source server

#     38.25.63.10   x.acme.com         # x client host

127.0.0.1     localhost

127.0.0.1     *.3322.org

127.0.0.1     *.sz45.com

7、修復文件夾選項的“顯示所有文件及文件夾”的方法：

A、找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL分支，在右邊的窗口中雙擊CheckedValue鍵值項，該鍵值應為1.如果值不為1,改為1即可。

如果你設置仍起不了作用，那么接下來看。

有些木馬把自己的屬性設置成隱藏、系統屬性，并且把注冊表中“文件夾選項中的隱藏受保護的操作系統文件”項和“顯示所有文件和文件夾”選項刪除，致使通過procexp可以在進程中看到，但去文件所在目錄又找不到源文件，無法進行刪除。(正常如圖，被修復后看不見圖中標注的項)

針對這種情況可以把下面內容存儲成ShowALl.reg文件,雙擊該文件導入注冊表即可

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"

"Text"="@shell32.dll,-30501"

"Type"="radio"

"CheckedValue"=dword:00000002

"ValueName"="Hidden"

"DefaultValue"=dword:00000002

"HKeyRoot"=dword:80000001

"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"

"Text"="@shell32.dll,-30500"

"Type"="radio"

"CheckedValue"=dword:00000001

"ValueName"="Hidden"

"DefaultValue"=dword:00000002

"HKeyRoot"=dword:80000001

"HelpID"="shell.hlp#51105"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]

"Type"="checkbox"

"Text"="@shell32.dll,-30508"

"WarningIfNotDefault"="@shell32.dll,-28964"

"HKeyRoot"=dword:80000001

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"

"ValueName"="ShowSuperHidden"

"CheckedValue"=dword:00000000

"UncheckedValue"=dword:00000001

"DefaultValue"=dword:00000000

"HelpID"="shell.hlp#51103"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]

@=""

具體操作方法：

1）通過記事本新建一個文件

2）將以上內容復制到新建的記事本文件中

3）通過記事本文件菜單另存為show.reg

4）雙擊存儲的showall.reg文件，點擊彈出的對話框是按鈕即可。

注意：以上方法對win2000和XP有效

B、HKEY_LOCAL_MACHINE | Software |Microsoft | windows | CurrentVersion | explorer | Advanced | Folder | Hidden | SHOWALL，將CheckedValue鍵值修改為1

但可能依然沒有用，隱藏文件還是沒有顯示，這是因為病毒在修改注冊表達到隱藏文件目的之后，把本來有效的DWORD值CheckedValue刪除掉，新建了一個無效的字符串值CheckedValue，并且把鍵值改為0！

方法：刪除此CheckedValue鍵值，單擊右鍵 新建Dword值，命名為CheckedValue，然后修改它的鍵值為1，這樣就可以選擇“顯示所有隱藏文件”和“顯示系統文件”。