木馬名稱：setup.exe
木馬大小：91,648字節(jié)
所在位置：由C至Z盤的根目錄下

附帶文件：autorun.inf
文件內容：
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
所在位置：由C至Z盤的根目錄下

木馬名稱：spoclsv.exe
木馬大小：91,648字節(jié)
所在位置：C:\windows\system32\drivers\

木馬特征：該木馬病毒利用微軟IE漏洞（IE7.0也未被幸免）通過網站傳播，中了此木馬的電腦，會有以下特征：
1、在任務管理器里有spoclsv.exe文件進程。
2、在每個盤符的根目錄下面生成以上的setup.exe和autorun.inf兩個文件，當用戶打開電腦的任意一個盤，即執(zhí)行該木馬病毒。
3、該木馬會強制關閉用戶打開的“任務管理器”。
4、該木馬會強制關閉用戶打開的“注冊表編輯器(regedit)”、“系統(tǒng)配置實用程序(msconfig)”、IceSword等程序文件。
5、該木馬會強制關閉用戶電腦上安裝的防病毒及網絡監(jiān)控軟件，其中包括Symantec的norton企業(yè)版。
6、該木馬修改注冊表文件，在[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]下生成"svcshare=C:\WINDOWS\system32\drivers\spoclsv.exe”的字符串值，修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000。
7、該木馬會刪除電腦默認的共享目錄。
另外該木馬還會刪除并感染.com、.pif、.scr、.exe文件，并生成一個以原文件名.exe.exe文件或.exe的燒香熊貓圖標文件，并會尋找并刪除.gho備份文件。

解決辦法：
1、拔掉網線斷開網絡，打開Windows任務管理器，迅速找到spoclsv.exe，結束進程，找到explorer.exe，結束進程，再點擊文件，新建任務，輸入c:\WINDOWS\explorer.exe，確定。
2、點擊開始，運行，輸入cmd回車，輸入以下命令：
del c:\setup.exe /f /q
del c:\autorun.inf /f /q
如果你的硬盤有多個分區(qū)，請逐次將c:改為你實際擁有的盤符（C盤-->Z盤）。上述兩個木馬文件為只讀隱藏，會修改Windows屬性，使用戶無法通過設置文件夾選項顯示所有文件及文件夾的功能看到。
3、進入注冊表，刪除HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下svcshare值。
4、刪除C:\windows\system32\drivers\spoclsv.exe
5、修復或重新安裝防病毒軟件并升級病毒庫，徹底全面殺毒，清除恢復被感染的.exe文件。
6、屏蔽熊貓燒香病毒網站pkdown.3322.org和ddos2.sz45.com，具體方法如下：
打開C:\WINDOWS\system32\drivers\etc\host文件，添加修改如下格式：

# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#     102.54.94.97   rhino.acme.com       # source server
#     38.25.63.10   x.acme.com         # x client host
127.0.0.1     localhost
127.0.0.1     *.3322.org
127.0.0.1     *.sz45.com

7、修復文件夾選項的“顯示所有文件及文件夾”的方法：

A、找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL分支，在右邊的窗口中雙擊CheckedValue鍵值項，該鍵值應為1.如果值不為1,改為1即可。

如果你設置仍起不了作用，那么接下來看。
有些木馬把自己的屬性設置成隱藏、系統(tǒng)屬性，并且把注冊表中“文件夾選項中的隱藏受保護的操作系統(tǒng)文件”項和“顯示所有文件和文件夾”選項刪除，致使通過procexp可以在進程中看到，但去文件所在目錄又找不到源文件，無法進行刪除。(正常如圖，被修復后看不見圖中標注的項)

針對這種情況可以把下面內容存儲成ShowALl.reg文件,雙擊該文件導入注冊表即可

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

具體操作方法：
1）通過記事本新建一個文件
2）將以上內容復制到新建的記事本文件中
3）通過記事本文件菜單另存為show.reg
4）雙擊存儲的showall.reg文件，點擊彈出的對話框是按鈕即可。

注意：以上方法對win2000和XP有效

B、HKEY_LOCAL_MACHINE | Software |Microsoft | windows | CurrentVersion | explorer | Advanced | Folder | Hidden | SHOWALL，將CheckedValue鍵值修改為1

但可能依然沒有用，隱藏文件還是沒有顯示，這是因為病毒在修改注冊表達到隱藏文件目的之后，把本來有效的DWORD值CheckedValue刪除掉，新建了一個無效的字符串值CheckedValue，并且把鍵值改為0！

方法：刪除此CheckedValue鍵值，單擊右鍵 新建Dword值，命名為CheckedValue，然后修改它的鍵值為1，這樣就可以選擇“顯示所有隱藏文件”和“顯示系統(tǒng)文件”。