2、在每个盘符的根目录下面生成以上的setup.exe和autorun.inf两个文件,当用户打开电脑的任意一个盘,即执行该木马病毒。
3、该木马会强制关闭用户打开的“任务管理器”。
4、该木马会强制关闭用户打开的“注册表编辑器(regedit)”、“系统配置实用程序(msconfig)”、IceSword等程序文件。
5、该木马会强制关闭用户电脑上安装的防病毒及网络监控软件,其中包括Symantec的norton企业版。
6、该木马修改注册表文件,在[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]下生成"svcshare=C:\WINDOWS\system32\drivers\spoclsv.exe”的字符串值,修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000。
7、该木马会删除电脑默认的共享目录。
另外该木马还会删除并感染.com、.pif、.scr、.exe文件,并生成一个以原文件名.exe.exe文件或.exe的烧香熊猫图标文件,并会寻找并删除.gho备份文件。
解决办法:
1、拔掉网线断开网络,打开Windows任务管理器,迅速找到spoclsv.exe,结束进程,找到explorer.exe,结束进程,再点击文件,新建任务,输入c:\WINDOWS\explorer.exe,确定。
2、点击开始,运行,输入cmd回车,输入以下命令:
del c:\setup.exe /f /q
del c:\autorun.inf /f /q
更多内容请看PCdog.com--QQ病毒 病毒/木马/蠕虫 手机病毒揭密专题
