木马名称：setup.exe

木马大小：91,648字节

所在位置：由C至Z盘的根目录下

附带文件：autorun.inf

文件内容：

[AutoRun]

OPEN=setup.exe

shellexecute=setup.exe

shell\Auto\command=setup.exe

所在位置：由C至Z盘的根目录下

木马名称：spoclsv.exe

木马大小：91,648字节

所在位置：C:\windows\system32\drivers\

木马特征：该木马病毒利用微软IE漏洞（IE7.0也未被幸免）通过网站传播，中了此木马的电脑，会有以下特征：

1、在任务管理器里有spoclsv.exe文件进程。

2、在每个盘符的根目录下面生成以上的setup.exe和autorun.inf两个文件，当用户打开电脑的任意一个盘，即执行该木马病毒。

3、该木马会强制关闭用户打开的“任务管理器”。

4、该木马会强制关闭用户打开的“注册表编辑器(regedit)”、“系统配置实用程序(msconfig)”、IceSword等程序文件。

5、该木马会强制关闭用户电脑上安装的防病毒及网络监控软件，其中包括Symantec的norton企业版。

6、该木马修改注册表文件，在[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]下生成"svcshare=C:\WINDOWS\system32\drivers\spoclsv.exe”的字符串值，修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"=dword:00000000。

7、该木马会删除电脑默认的共享目录。

另外该木马还会删除并感染.com、.pif、.scr、.exe文件，并生成一个以原文件名.exe.exe文件或.exe的烧香熊猫图标文件，并会寻找并删除.gho备份文件。

解决办法：

1、拔掉网线断开网络，打开Windows任务管理器，迅速找到spoclsv.exe，结束进程，找到explorer.exe，结束进程，再点击文件，新建任务，输入c:\WINDOWS\explorer.exe，确定。

2、点击开始，运行，输入cmd回车，输入以下命令：

del c:\setup.exe /f /q

del c:\autorun.inf /f /q

如果你的硬盘有多个分区，请逐次将c:改为你实际拥有的盘符（C盘-->Z盘）。上述两个木马文件为只读隐藏，会修改Windows属性，使用户无法通过设置文件夹选项显示所有文件及文件夹的功能看到。

3、进入注册表，删除HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下svcshare值。

4、删除C:\windows\system32\drivers\spoclsv.exe

5、修复或重新安装防病毒软件并升级病毒库，彻底全面杀毒，清除恢复被感染的.exe文件。

6、屏蔽熊猫烧香病毒网站pkdown.3322.org和ddos2.sz45.com，具体方法如下：

打开C:\WINDOWS\system32\drivers\etc\host文件，添加修改如下格式：

# Copyright (c) 1993-1999 Microsoft Corp.

#

# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.

#

# This file contains the mappings of IP addresses to host names. Each

# entry should be kept on an individual line. The IP address should

# be placed in the first column followed by the corresponding host name.

# The IP address and the host name should be separated by at least one

# space.

#

# Additionally, comments (such as these) may be inserted on individual

# lines or following the machine name denoted by a '#' symbol.

#

# For example:

#

#     102.54.94.97   rhino.acme.com       # source server

#     38.25.63.10   x.acme.com         # x client host

127.0.0.1     localhost

127.0.0.1     *.3322.org

127.0.0.1     *.sz45.com

7、修复文件夹选项的“显示所有文件及文件夹”的方法：

A、找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL分支，在右边的窗口中双击CheckedValue键值项，该键值应为1.如果值不为1,改为1即可。

如果你设置仍起不了作用，那么接下来看。

有些木马把自己的属性设置成隐藏、系统属性，并且把注册表中“文件夹选项中的隐藏受保护的操作系统文件”项和“显示所有文件和文件夹”选项删除，致使通过procexp可以在进程中看到，但去文件所在目录又找不到源文件，无法进行删除。(正常如图，被修复后看不见图中标注的项)

针对这种情况可以把下面内容存储成ShowALl.reg文件,双击该文件导入注册表即可

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"

"Text"="@shell32.dll,-30501"

"Type"="radio"

"CheckedValue"=dword:00000002

"ValueName"="Hidden"

"DefaultValue"=dword:00000002

"HKeyRoot"=dword:80000001

"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"

"Text"="@shell32.dll,-30500"

"Type"="radio"

"CheckedValue"=dword:00000001

"ValueName"="Hidden"

"DefaultValue"=dword:00000002

"HKeyRoot"=dword:80000001

"HelpID"="shell.hlp#51105"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]

"Type"="checkbox"

"Text"="@shell32.dll,-30508"

"WarningIfNotDefault"="@shell32.dll,-28964"

"HKeyRoot"=dword:80000001

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"

"ValueName"="ShowSuperHidden"

"CheckedValue"=dword:00000000

"UncheckedValue"=dword:00000001

"DefaultValue"=dword:00000000

"HelpID"="shell.hlp#51103"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]

@=""

具体操作方法：

1）通过记事本新建一个文件

2）将以上内容复制到新建的记事本文件中

3）通过记事本文件菜单另存为show.reg

4）双击存储的showall.reg文件，点击弹出的对话框是按钮即可。

注意：以上方法对win2000和XP有效

B、HKEY_LOCAL_MACHINE | Software |Microsoft | windows | CurrentVersion | explorer | Advanced | Folder | Hidden | SHOWALL，将CheckedValue键值修改为1

但可能依然没有用，隐藏文件还是没有显示，这是因为病毒在修改注册表达到隐藏文件目的之后，把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0！

方法：删除此CheckedValue键值，单击右键 新建Dword值，命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。

原文地址：http://netsecurity.51cto.com/art/200701/38103.htm