熊猫烧香变种spoclsv.exe专杀及手动删除指南_天下无毒

查看文章

熊猫烧香变种spoclsv.exe专杀及手动删除指南

2006年12月29日星期五 17:10

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
teYqiu【天下无毒】原创文章，转载请标明。http://hi.baidu.com/teyqiu
百度知道反病毒知识专家崔衍渠授权。『转载请保留此申明！』
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

本文的眼：U盘感染型蠕虫病毒spoclsv.exe （熊猫烧香变种）
手动删除指南仅供参考。

问题的提出：http://zhidao.baidu.com/question/17482543.html
症状：在正常启动情况下，任务管理器打不开（自动关闭），杀毒软件自动关闭，regedit、msconfig 等均无法运行。有SRENG日志（略）
分析：

1. 杀毒前关闭系统还原(Win2000系统可以忽略）：右键我的电脑，属性，系统还原，在所有驱动器上关闭系统还原打勾即可。
清除IE的临时文件：打开IE 点工具-->Internet选项 : Internet临时文件，点“删除文件”按钮，将删除所有脱机内容打勾，点确定删除。

进行如下操作前请不要进行任何双击磁盘打开的操作。下载的工具直接放到桌面上，切记切记！！！！

2.用强制删除工具 PowerRMV 下载地址: http://post.baidu.com/f?kz=158203765
分别填入下面的文件（包括完整的路径），勾选“抑止杀灭对象再次生成”，点杀灭
C:\WINDOWS\system32\drivers\spoclsv.exe
C:\WINDOWS\3.exe
C:\setup.exe
C:\AutoRun.inf
D:\setup.exe
D:\AutoRun.inf
E:\setup.exe
E:\AutoRun.inf
F:\setup.exe
F:\AutoRun.inf
（如果有G盘继续输入这两个文件，盘符改一下。依次类推）
重启计算机然后再进入安全模式执行如下的操作
--------------------------------------------------------------
以下的操作都要求安全模式下进行。
[安全模式？重启电脑时按住F8 选择进入安全模式]
--------------------------------------------------------------
3. 用工具 SREng 删除如下各项
下载及其使用方法看下面的链接，看懂再下手操作！
http://hi.baidu.com/teyqiu/blog/item/f706213fc52346ec54e72351.html
【如下操作有风险，必须看懂上面的方法再操作。】

启动项目 -->注册表的如下项
<svcshare><C:\WINDOWS\system32\drivers\spoclsv.exe> [N/A]
启动项目 -->服务-->Win32服务应用程序的如下项
[3 / 321]
<C:\WINDOWS\3.exe><N/A>

4 SREng 修复Windows Shell
位置：系统修复--->Windows Shell 点全选，点"修复" 参考附图
http://hi.baidu.com/teyqiu/blog/item/f706213fc52346ec54e72351.html

5 最后，被病毒感染的EXE文件用Nimaya（熊猫烧香)专杀专杀下载: http:\\hzqedison.mm9mm.com\mopery\nimuya.zip 这个是目前最有效的。

也可以试试，瑞星22日更新过的专杀： http://it.rising.com.cn/Channels/Service/2006-11/1163505486d38734.shtml

如下转载：CISRT的详细分析资料再就是，最近出现的变种很多很多。。注意系统异常时找安全专家（论坛）求助。

From 【CISRT2007003】熊猫烧香变种修改网页文件spoclsv.exe 解决方案

CISRT可疑文件、病毒样本上报信箱：cisrt@163.com（备用）
cisrt@126.com（备用）
newvirus@cisrt.com

发送文件样本时请使用RAR或ZIP格式，并请给压缩文档添加密码virus

档案编号：CISRT2007003
病毒名称：N/A（Kaspersky）
病毒别名：Worm.WhBoy.y.35328（毒霸）
病毒大小：35,328 字节
加壳方式：nPack
样本MD5：3204b209e9199b644ca76d352fbf84ec
样本SHA1：83dcd1a7f487d160d51b59782efc4c916c3255ac
发现时间：2007.1
更新时间：2007.1
关联病毒：
传播方式：恶意网页、其它病毒下载，还可通过移动磁盘（如U盘）、局域网传播

技术分析
==========

又是一个熊猫烧香变种，运行后复制自身到系统目录下：
%System%\drivers\spoclsv.exe

创建启动项：

[Copy to clipboard]

CODE:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"

在各分区根目录生成病毒副本：
X:\setup.exe
X:\autorun.inf
autorun.inf内容：

[Copy to clipboard]

CODE:

[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe

使用net share命令关闭管理共享：

[Copy to clipboard]

CODE:

cmd.exe /c net share X$ /del /y
cmd.exe /c net share admin$ /del /y

修改“显示所有文件和文件夹”设置：

[Copy to clipboard]

CODE:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000

病毒尝试关闭安全软件相关窗口：
天网
防火墙
进程
VirusScan
NOD32
网镖
杀毒
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马清道夫
木馬清道夫
QQ病毒
注册表编辑器
系统配置实用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
Windows 任务管理器
esteem procs
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戏木马检测大师
超级巡警
msctls_statusbar32
pjf(ustc)
IceSword

尝试结束安全软件相关进程以及Viking病毒进程：
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe

禁用安全软件相关服务：
Schedule
sharedaccess
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc

删除安全软件相关启动项：
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting Service
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse

遍历目录修改htm/html/asp/php/jsp/aspx等网页文件，在这些文件尾部追加信息：

[Copy to clipboard]

CODE:

但不修改以下目录中的网页文件：
C:\WINDOWS
C:\WINNT
C:\system32
C:\Documents and Settings
C:\System Volume Information
C:\Recycled
Program Files\Windows NT
Program Files\WindowsUpdate
Program Files\Windows Media Player
Program Files\Outlook Express
Program Files\Internet Explorer
Program Files\NetMeeting
Program Files\Common Files
Program Files\ComPlus Applications
Program Files\Messenger
Program Files\InstallShield Installation Information
Program Files\MSN
Program Files\Microsoft Frontpage
Program Files\Movie Maker
Program Files\MSN Gamin Zone

在访问过的目录下生成Desktop_.ini文件，内容为当前日期，如：2007-1-5

此外，病毒还会尝试删除GHO文件。

病毒还尝试使用弱密码将副本以GameSetup.exe的文件名复制到局域网内其它计算机中：
password
harley
golf
pussy
mustang
shadow
fish
qwerty
baseball
letmein
ccc
admin
abc
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
super
123asd
ihavenopass
godblessyou
enable
alpha
1234qwer
123abc
aaa
patrick
pat
administrator
root
sex
god
fuckyou
fuck
test
test123
temp
temp123
win
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
love
mypc
mypc123
admin123
mypass
mypass123
Administrator
Guest
admin
Root

病毒文件内含有这些信息：

[Copy to clipboard]

CODE:

whboy
***武*汉*男*生*感*染*下*载*者***
感谢艾玛,mopery对此木马的关注!~

清除步骤
==========

1. 结束病毒进程：
%System%\drivers\spoclsv.exe

2. 删除病毒文件：
%System%\drivers\spoclsv.exe

3. 删除病毒启动项：

[Copy to clipboard]

CODE:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"

4. 通过分区盘符右键菜单中的“打开”进入分区根目录，删除根目录下的病毒文件：
X:\setup.exe
X:\autorun.inf

5. 恢复被修改的“显示所有文件和文件夹”设置：

[Copy to clipboard]

CODE:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

6. 修复或重新安装被破坏的安全软件

7. 恢复被修改的网页文件，可以使用某些编辑网页的工具替换被添加文字为空

发布时间：2007-01-05 17:10
更新时间：2007-01-06 14:15

类别：『反病毒笔记』 | 添加到搜藏 | 浏览() | 评论 (15)