弹出窗口病毒spoolsv.exe的查杀
来源:互联网 发布:android中json解析 编辑:程序博客网 时间:2024/05/03 11:11
正常的spoolsv.exe大小是57k,用于将Windows打印机任务发送给本地打印机。如果spoolsv.exe大小为44k则是Backdoor.Ciadoor.B木马,藏于c:/windows/system32/spoolsv文件夹,为防被删还设置有备份程序tqppmtw.fyf藏于windows32文件夹。该木马允许攻击者访问你的计算机,窃取密码和个人数据。
【关于病毒:】
启动项 c:/windows/system32/spoolsv/spoolsv.exe -printer
相关文件、目录:
%System%/wmpdrm.dll
%System%/1116/
%System%/msicn/msibm.dll
%System%/msicn/ube.exe
%System%/msicn/plugins/
%System%/spoolsv/spoolsv.exe
%System%/spoolsv/spoolsv.exe
启动运行后会调用%System%/msicn/msibm.dll,创建%System%/1116/目录,备份用。%System%/1116/目录是备份目录,里面是%System%/wmpdrm.dll、%System%/msicn/和%System%/spoolsv/spoolsv.exe的备份。 %System%/msicn/msibm.dll会插入多个指定进程,大约每4秒钟监视恢复文件(从%System%/1116/目录)和注册表信息(启动项、BHO): [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]"spoolsv" [HKEY_CLASSES_ROOT/CLSID/{0E674588-66B7-4E19-9D0E-2053B 800F 69F}/InprocServer32] @="%System%/wmpdrm.dll" 注:"spoolsv"的数据不会被监视,所以修改它的数据也不会被恢复,只有删除"spoolsv"才会被恢复。
【关于病毒:】
启动项 c:/windows/system32/spoolsv/spoolsv.exe -printer
相关文件、目录:
%System%/wmpdrm.dll
%System%/1116/
%System%/msicn/msibm.dll
%System%/msicn/ube.exe
%System%/msicn/plugins/
%System%/spoolsv/spoolsv.exe
%System%/spoolsv/spoolsv.exe
启动运行后会调用%System%/msicn/msibm.dll,创建%System%/1116/目录,备份用。%System%/1116/目录是备份目录,里面是%System%/wmpdrm.dll、%System%/msicn/和%System%/spoolsv/spoolsv.exe的备份。 %System%/msicn/msibm.dll会插入多个指定进程,大约每4秒钟监视恢复文件(从%System%/1116/目录)和注册表信息(启动项、BHO): [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]"spoolsv" [HKEY_CLASSES_ROOT/CLSID/{0E674588-66B7-4E19-9D0E-2053B
还可能会从远程服务器下载文件:h ttp://liveupdate.ourxin.com/secp.exe
secp.exe是个安装程序,安装以下文件:
%System%/wmpdrm.dll
%System%/msicn/ube.exe
%System%/msicn/plugins/(目录里4个dll文件)
%System%/wmpdrm.dll是一个BHO,%System%/msicn/ube.exe像是卸载程序。
另外,在%System%/和%System%/msicn/目录里还有有一些从远程下载来的cpz、vxd文件,比如: ava.vxd guid.vxd plgset.vxd safep.vxd
secp.exe是个安装程序,安装以下文件:
%System%/wmpdrm.dll
%System%/msicn/ube.exe
%System%/msicn/plugins/(目录里4个dll文件)
%System%/wmpdrm.dll是一个BHO,%System%/msicn/ube.exe像是卸载程序。
另外,在%System%/和%System%/msicn/目录里还有有一些从远程下载来的cpz、vxd文件,比如: ava.vxd guid.vxd plgset.vxd safep.vxd
%System%/wmpdrm.dll作为BHO被调用后,会尝试调用%System%/spoolsv/spoolsv.exe和%System%/msicn/msibm.dll。 注:如果%System%/spoolsv/spoolsv.exe没有被运行或被调用,也就不会备份还原,好像它就是用来备份的。
另外在“开始菜单”->“程序”里可能会有一项“NavAngel”,里面有个快捷方式NavAngel.lnk,指向:%System%/spoolsv/spoolsv.exe -ctrlfun:4,3 “添加/删除程序”里有一项“NavAngel”,对应命令是:%System%/spoolsv/spoolsv.exe -ctrlfun:4,2 还有一项“WinDirected 2.0”,对应命令是:%System%/spoolsv/spoolsv.exe -uninst
还可能会有mscache/目录,从名字看像是存放临时缓存文件的。
要注意:spoolsv.exe和windows的打印服务spoolsv.exe很类似,不要被它迷惑了,打印服务spoolsv.exe的目录是系统文件夹(以XP为例)system32/spoolsv.exe而此病毒的路径为system32/spoolsv/sploosv.exe
【查杀方法:】
第一种:
1、在安全模式下进入系统目录system32删除文件夹spoolsv和miscn以及1116
2、开始菜单运行regedit打开注册表编辑器,找到
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"spoolsv"="%System%/spoolsv/spoolsv.exe -printer" 删除该项
3、在注册表中搜索spoolsv文件夹(注意是文件夹不是文件),删除
4、在注册表编辑器中打开下面的分支并使用组合键ctrl+f进行查找如下内容:
[HKEY_CLASSES_ROOT/CLSID/{0E674588-66B7-4E19-9D0E-2053B 800F 69F}
[HKEY_CLASSES_ROOT/wmpdrm.cfsbho
[HKEY_CLASSES_ROOT/wmpdrm.cfsbho.1
[HKEY_CLASSES_ROOT/TypeLib/{8B200623-3FC5-4493-8B49-DC2AD4830AF4}
[HKEY_CLASSES_ROOT/Interface/{ 4A775183-9517-420E -9A13-D3DA47BB 8A84}找到以后进行删除
5、运行注册表清里软件清理注册表,比如超级兔子,优化大师,恶意软件清理助手等都可以,此步骤也可以不执行。
1、在安全模式下进入系统目录system32删除文件夹spoolsv和miscn以及1116
2、开始菜单运行regedit打开注册表编辑器,找到
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"spoolsv"="%System%/spoolsv/spoolsv.exe -printer" 删除该项
3、在注册表中搜索spoolsv文件夹(注意是文件夹不是文件),删除
4、在注册表编辑器中打开下面的分支并使用组合键ctrl+f进行查找如下内容:
[HKEY_CLASSES_ROOT/CLSID/{0E674588-66B7-4E19-9D0E-2053B
[HKEY_CLASSES_ROOT/wmpdrm.cfsbho
[HKEY_CLASSES_ROOT/wmpdrm.cfsbho.1
[HKEY_CLASSES_ROOT/TypeLib/{8B200623-3FC5-4493-8B49-DC2AD4830AF4}
[HKEY_CLASSES_ROOT/Interface/{
5、运行注册表清里软件清理注册表,比如超级兔子,优化大师,恶意软件清理助手等都可以,此步骤也可以不执行。
第二种:
在桌面建一个TXT文件并显示扩展名,改名为spools.exe后将文件属性改为只读,将这个假的病毒覆盖c:/winnt/system32/spoolsv/的44K真病毒.。这种虽然方便但是遗留隐患。
第三种:
首先删除c:/windows/system32/spoolsv文件夹,而非单独删除c:/windows/system32/spoolsv下的spoolsv.exe(44k)文件,然后打开任务管理器,将spoolsv进程优先级调为最低;最后迅速删除其备份文件tqppmtw.fyf并关闭spoolsv进程即可。
第三种:
首先删除c:/windows/system32/spoolsv文件夹,而非单独删除c:/windows/system32/spoolsv下的spoolsv.exe(44k)文件,然后打开任务管理器,将spoolsv进程优先级调为最低;最后迅速删除其备份文件tqppmtw.fyf并关闭spoolsv进程即可。
- 弹出窗口病毒spoolsv.exe的查杀
- 中病毒spoolsv.exe
- SPOOLSV.EXE的解决方法
- Svchost.exe病毒的查杀方法
- 关于recycle.exe病毒的查杀
- 简单方法删除spoolsv.exe病毒
- wkebsr0.exe,wkebsr.exe病毒的查杀
- 查杀wincfg.exe病毒
- (源)恶意的comrepl32.exe病毒查杀
- 查杀运行状态下的EXE、DLL病毒
- SysAnti.exe和autorun.inf病毒的查杀
- Spoolsv.exe
- spoolsv.exe
- 查杀ntsd.exe病毒 另类说法
- u盘exe病毒查杀
- MyDocument.exe病毒查杀方法
- 用[记事本]查杀EXE病毒
- sos.exe病毒的手动查杀方法(AUTO病毒)
- 今天开始,点滴积累,开始我的代码人生!
- 常用日期控件(修改版)
- Apache的配置
- BREW、JAVA、.NET三大平台之比较
- 让WebEditor使用px或pt控制字体大小
- 弹出窗口病毒spoolsv.exe的查杀
- execCommand的用法
- 如何把win2003当xp来使用
- 短文件名(经常用到)
- 小结SQL Server连接失败错误及解决
- 终于离开了公司
- 认识JSP基本标签
- 第一次发表
- linux命令——文件操作