spoclsv是一种进程病毒，俗称“可乐虫子”。它可以感染大部分的扩展名为。exe的文件，当你点击这些文件时就会中招。

病毒特征(常见症状 详细行为)

解决方法(方法1 方法2 方法3)

病毒特征

1、极耗 CPU；

2、自动更改一些exe文件的图标；

3、spoclsv.exe进程被结束后，过一会此进程还会自动重启。

常见症状

1.桌面上程序图标全都变成"鲨鱼"图案

2.无法双击打开exe可执行文件

详细行为

1.复制自身到系统目录下：

%System%/drivers/spoclsv.exe（“%System%”代表Windows所在目录，比如：C:/Windows）

不同的spoclsv.exe变种，此目录可不同。比如12月爆发的变种目录是：C:/WINDOWS/System32/Drivers/spoclsv.exe。

2.创建启动项：

[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]

"svcshare"="%System%/drivers/spoclsv.exe"

3.在各分区根目录生成病毒副本：

X:/setup.exe

X:/autorun.inf

autorun.inf内容：

[AutoRun]

OPEN=setup.exe

shellexecute=setup.exe

shell/Auto/command=setup.exe

4.使用net?share命令关闭管理共享：

cmd.exe?/c?net?share?X$?/del?/y

cmd.exe?/c?net?share?admin$?/del?/y

5.修改“显示所有文件和文件夹”设置：

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL]

"CheckedValue"=dword:00000000

6.病毒尝试关闭安全软件相关窗口：

天网 防火墙 进程 VirusScan NOD32 网镖 杀毒 毒霸

瑞星 江民 黄山IE 超级兔子 优化大师 木马清道夫 木马清道夫

QQ病毒 注册表编辑器 系统配置实用程序 卡巴斯基反病毒 Symantec AntiVirus

Duba Windows任务管理器 esteem procs 绿鹰PC 密码防盗 噬菌体

木马辅助查找器 System Safety Monitor Wrapped gift Killer Winsock Expert

游戏木马检测大师 超级巡警 msctls_statusbar32 pjf(ustc) IceSword

7.尝试结束安全软件相关进程以及Viking病毒（威金病毒）进程：

Mcshield.exe VsTskMgr.exe naPrdMgr.exe UpdaterUI.exe TBMon.exe scan32.exe Ravmond.exe CCenter.exe RavTask.exe Rav.exe Ravmon.exe RavmonD.exe RavStub.exe KVXP.kxp KvMonXP.kxp KVCenter.kxp KVSrvXP.exe KRegEx.exe UIHost.exe TrojDie.kxp FrogAgent.exe Logo1_.exe Logo_1.exe Rundl132.exe

8.禁用安全软件相关服务：

Schedule sharedaccess RsCCenter RsRavMon KVWSC KVSrvXP kavsvc

AVP McAfeeFramework McShield McTaskManager navapsvc wscsvc KPfwSvc

SNDSrvc ccProxy ccEvtMgr ccSetMgr SPBBCSvc Symantec?Core?LC

NPFMntor MskService FireSvc

9.删除安全软件相关启动项：

SOFTWARE/Microsoft/Windows/CurrentVersion/Run/RavTask

SOFTWARE/Microsoft/Windows/CurrentVersion/Run/KvMonXP

SOFTWARE/Microsoft/Windows/CurrentVersion/Run/kav

SOFTWARE/Microsoft/Windows/CurrentVersion/Run/KAVPersonal50

SOFTWARE/Microsoft/Windows/CurrentVersion/Run/McAfeeUpdaterUI

SOFTWARE/Microsoft/Windows/CurrentVersion/Run/Network?Associates?Error?Reporting?Service

SOFTWARE/Microsoft/Windows/CurrentVersion/Run/ShStatEXE

SOFTWARE/Microsoft/Windows/CurrentVersion/Run/YLive.exe

SOFTWARE/Microsoft/Windows/CurrentVersion/Run/yassistse

10.遍历目录修改htm/html/asp/php/jsp/aspx等网页文件，在这些文件尾部追加信息：

<iframe?src="hxxp/wuhan/down.htm"?width="0"?height="0"?frameborder="0">?</iframe>

但不修改以下目录中的网页文件：

C:/WINDOWS

C:/WINNT

C:/system32

C:/Documents?and?Settings

C:/System?Volume?Information

C:/Recycled

Program?Files/Windows?NT

Program?Files/WindowsUpdate

Program?Files/Windows?Media?Player

Program?Files/Outlook?Express

Program?Files/Internet?Explorer

Program?Files/NetMeeting

Program?Files/Common?Files

Program?Files/ComPlus?Applications

Program?Files/Messenger

Program?Files/InstallShield?Installation?Information

Program?Files/MSN

Program?Files/Microsoft?Frontpage

Program?Files/Movie?Maker

Program?Files/MSN?Gamin?Zone

11.在访问过的目录下生成Desktop_.ini文件，内容为当前日期。

12.此外，病毒还会尝试删除GHO文件。

病毒还尝试使用弱密码将副本以GameSetup.exe的文件名复制到局域网内其它计算机中：

password harley golf pussy mustang shadow fish qwerty

baseball letmein ccc admin abc pass passwd database

abcd abc123 sybase 123qwe server computer super 123asd

ihavenopass godblessyou enable alpha 1234qwer 123abc aaa

patrick pat administrator root *** god fuckyou fuck

test test123 temp temp123 win asdf pwd qwer yxcv

zxcv home xxx owner login Login love mypc mypc123

admin123 mypass mypass123 Administrator Guest admin Root

解决方法

方法1

首先把进程中的spoclsv.exe结束掉(记得还有一个叫rmincon.exe的)

然后在搜索spoclsv.exe把它删了，如有rmincon.exe也一起删了.

最后显示所有的文件的扩展名为.exe 的，如有被感染的文件它的图标都会边得很怪，把它门全删了。

最后在"开始""运行"中输入msconfig选择里面的启动，把里面的spoclsv.exe给钩掉就，重启动下就可以了。

方法2

1. 结束病毒进程：

%System%/drivers/spoclsv.exe

不同的spoclsv.exe变种，此目录可不同。比如12月爆发的变种目录是：C:/WINDOWS/System32/Drivers/spoclsv.exe。但可用此方法清除。

“%System%/system32/spoclsv.exe”是系统文件。（目前看来没有出现插入该系统进程的变种，不排除变种的手法变化。）

查看当前运行spoclsv.exe的路径，可使用超级兔子魔法设置。

2. 删除病毒文件：

%System%/drivers/spoclsv.exe

请注意区分病毒和系统文件。详见步骤1。

3. 删除病毒启动项：

[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]

"svcshare"="%System%/drivers/spoclsv.exe"

4. 通过分区盘符右键菜单中的“打开”进入分区根目录，删除根目录下的病毒文件：

X:/setup.exe

X:/autorun.inf

5. 恢复被修改的“显示所有文件和文件夹”设置：

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL]

"CheckedValue"=dword:00000001

6. 修复或重新安装被破坏的安全软件。

7.修复被感染的程序。可用专杀工具进行修复，收集了四个供读者使用。金山熊猫烧香病毒专杀工具、安天熊猫烧香病毒专杀工具、江民熊猫烧香病毒专杀工具和瑞星熊猫烧香病毒专杀工具。也可用手动方法（见本文末）。

8. 恢复被修改的网页文件，可以使用某些编辑网页的工具替换被添加文字为空。机器上有htm/html/asp/php/jsp/aspx等网页文件，一定要删除此段代码。有危险代码的网页一但发布到网页可能会感染其他用户。

方法3

以下是数据安全实验室提供的信息与方法。

病毒描述：

含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个 Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。是熊猫病毒的变种，可以去下载几个熊猫病毒的专杀来杀杀看看能否杀掉。

手动清除步骤

==========

1. 断开网络

2. 结束病毒进程

%System%\\drivers\\spoclsv.exe

3. 删除病毒文件：

%System%\\drivers\\spoclsv.exe

4. 右键点击分区盘符，点击右键菜单中的“打开”进入分区根目录，删除根目录下的文件：

X:\\setup.exe

X:\\autorun.inf

5. 删除病毒创建的启动项：

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]

"svcshare"="%System%\\drivers\\spoclsv.exe"

6. 修改注册表设置，恢复“显示所有文件和文件夹”选项功能：

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL]

"CheckedValue"=dword:00000001

7. 修复或重新安装反病毒软件

8. 使用反病毒软件或专杀工具进行全盘扫描，清除恢复被感染的exe文件