spoolsvee木马变种手动删除方案

《spoolsvee木马变种手动删除方案》由会员分享，可在线阅读，更多相关《spoolsvee木马变种手动删除方案（4页珍藏版）》请在金锄头文库上搜索。

1、spoolsv.exe 木马变种手动删除方案 2006-11-04 13:36 spoolsv.exe 是一种延缓打印木马程序，和 windows 的打印服务 spoolsv.exe 很 类似，它使计算机 CPU 使用率达到 100%，从而使风扇保持高速嘈杂运转；该木 马允许攻击者访问你的计算机，窃取密码和个人数据。一、病毒运作原理一、病毒运作原理利用将 msicnmsibm.dll 插入多个进程的方法对系统进行监控在 system32 下创建如下文件wmpdrm.dll 1116 msicnmsibm.dll msicnube.exe msicnplugins spoolsvspoolsv.

2、exe注册表加入如下垃圾HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun “spoolsv“=“%System%spoolsvspoolsv.exe -printer“ HKEY_CLASSES_ROOTCLSID0E674588-66B7-4E19-9D0E- 2053B800F69FInprocServer32 =“%System%wmpdrm.dll“ HKEY_CLASSES_ROOTwmpdrm.cfsbho HKEY_CLASSES_ROOTwmpdrm.cfsbho.1 HKEY_CLASSES_ROOTTyp

3、eLib8B200623-3FC5-4493-8B49-DC2AD4830AF4 HKEY_CLASSES_ROOTInterface4A775183-9517-420E-9A13-D3DA47BB8A84然后每隔 4 秒左右对以上东西进行监控，前后互相照应，让你无从下手启动项c:/windows/system32/spoolsv/spoolsv.exe -printer cfs2 相关文件、目录： %System%wmpdrm.dll %System%1116 %System%msicnmsibm.dll %System%msicnube.exe %System%msicnplugins %

4、System%spoolsvspoolsv.exe %System%spoolsvspoolsv.exe HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun“spoolsv“=“%System%spoolsvspoolsv.exe -printer“。运行后会调用%System%msicnmsibm.dll，创建%System%1116目录，备份用。%System%1116目录是备份目录，里面是% System%wmpdrm.dll、%System%msicn和%System%spoolsvspoolsv.exe 的备 份。%

5、System%msicnmsibm.dll，会插入多个指定进程，大约每 4 秒钟监视恢复文 件（从%System%1116目录）和注册表信息（启动项、BHO）： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun “spoolsv“ HKEY_CLASSES_ROOTCLSID0E674588-66B7-4E19-9D0E- 2053B800F69FInprocServer32 =“%System%wmpdrm.dll“注：“spoolsv“的数据不会被监视，所以修改它的数据也不会被恢复，只有删除 “spoolsv“才会被恢复

6、，还可能会从远程服务器下载文件： hxxp:/ 是个安装程序，安装以下文件：%System%wmpdrm.dll %System%msicnube.exe %System%msicnplugins（目录里 4 个 dll 文件） %System%wmpdrm.dll 是一个 BHO，%System%msicnube.exe 像是卸载程序。另外，在%System%和%System%msicn目录里还有有一些从远程下载来的 cpz、vxd 文件，比如：ava.vxd guid.vxd plgset.vxd safep.vxd%System%wmpdrm.dll 作为 BHO 被调用后，会尝试调用%

7、 System%spoolsvspoolsv.exe 和%System%msicnmsibm.dll。注：如果%System%spoolsvspoolsv.exe 没有被运行或被调用，也就不会备份 还原，好像它就是用来备份的。另外，在“开始菜单”“程序”里 可能 会有一项“NavAngel”，里面有个 快捷方式 NavAngel.lnk，指向：%System%spoolsvspoolsv.exe -ctrlfun:4,3“添加/删除程序”里有一项“NavAngel”，对应命令是： %System%spoolsvspoolsv.exe -ctrlfun:4,2还有一项“WinDirected 2

8、.0”，对应命令是：%System%spoolsvspoolsv.exe -uninst还可能会有 mscache目录，从名字看像是存放临时缓存文件的。二、判别自己是否中毒二、判别自己是否中毒1、点开始运行，输入 msconfig，回车，打开实用配置程序，选择“启动”， 感染以后会在启动项里面发现运行 Spoolsv.exe 的启动项， 每次进入 windows 会有 NTservice 的对话框。2、打开系统盘，假设 C 盘，看是否存在 C:WINDOWSsystem32spoolsv 文件夹， 里面有个 spoolsv.exe 文件，有“傲讯浏览器辅助工具”的字样说明，正常的 spools

9、v.exe 打印机缓冲池文件应该在 C:WINDOWSsystem32 目录下。3、打开任务管理器，会发现 spoolsv.exe 进程，而且 CPU 占用率很高三、解决方案三、解决方案1、Ctrl+Alt+Delete 停止 spoolsv.exe 运行进程.2、重起进入安全模式,在系统目录 system32 下删除文件夹 spoolsv、miscn、1116 以及 wmpdrm.dll.3、开始菜单运行 regedit 打开注册表编辑器，找到 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun “spoolsv“=“%Sy

10、stem%spoolsvspoolsv.exe -printer“ 删除该项，查找含有 System32spoolsvspoolsv.exe(切记)的注册表项目，删除。可用 F3 继续查找， 将含有 System32spoolsvspoolsv.exe 的注册表项目全部删除。4、删除HKEY_CLASSES_ROOTCLSID0E674588-66B7-4E19-9D0E- 2053B800F69FInprocServer32 =“%System%wmpdrm.dll“ HKEY_CLASSES_ROOTCLSID0E674588-66B7-4E19-9D0E-2053B800F69F HKE

11、Y_CLASSES_ROOTwmpdrm.cfsbho HKEY_CLASSES_ROOTwmpdrm.cfsbho.1 HKEY_CLASSES_ROOTTypeLib8B200623-3FC5-4493-8B49-DC2AD4830AF4 HKEY_CLASSES_ROOTInterface4A775183-9517-420E-9A13-D3DA47BB8A845、如果目前你没有自己的打印机而且不想用这台计算机打印资料，打开控制面板-管理工具-服务，禁用 print spooler 和 NTservice 服务.6、运行注册表清里软件清理注册表，比如超级兔子，优化大师，恶意软件清理 助手等

12、都可以。重启电脑进入系统常规模式，若发现电脑还是处于高速运转，但在搜索中已找 不到任何 spoolsv 相关文件,请按 Ctrl+Alt+Delete，在进程中找到一个名为 inter 的后台运行程序，将其关闭。7、建议在应用以上步骤解决问题之后，运行反木马程序扫描并删除感染文件.附附 spoolsv.exespoolsv.exe 分析分析进程文件： spoolsv or spoolsv.exe 进程名称： Microsoft Printer Spooler Service 进程类别：其他进程 英文描述： spoolsv.exe is a Microsoft Windows system ex

13、ecutable which handles the printing process to your local printers. Note: spoolsv.exe is also a process which is registered as the Backdoor.Ciadoor.B Trojan. This Trojan allows attackers to access your computer。中文参考中文参考spoolsv.exe 用于将 Windows 打印机任务发送给本地打印机。注意 spoolsv.exe 也有可能是 Backdoor.Ciadoor.B 木马。该木马允许攻击者访问你的计算机，窃 取密码和个人数据。 出品者：Microsoft Corp. 属于：Microsoft Windows 2000 and later 系统进程：Yes 后台程序：Yes 网络相关：No 常见错误：N/A 内存使用：N/A 安全等级 (0-5): 0 间谍软件：No 广告软件：No