《spoolsv.exe木马变种手动删除方案》由会员分享,可在线阅读,更多相关《spoolsv.exe木马变种手动删除方案(4页珍藏版)》请在金锄头文库上搜索。
1、spoolsv.exe木马变种手动删除方案2006-11-04 13:36spoolsv.exe是一种延缓打印木马程序,和windows的打印服务spoolsv.exe很类似,它使计算机CPU使用率达到100%,从而使风扇保持高速嘈杂运转;该木马允许攻击者访问你的计算机,窃取密码和个人数据。一、病毒运作原理利用将msicnmsibm.dll插入多个进程的方法对系统进行监控在system32下创建如下文件wmpdrm.dll1116msicnmsibm.dllmsicnube.exemsicnpluginsspoolsvspoolsv.exe注册表加入如下垃圾HKEY_LOCAL_MACHINE
2、SOFTWAREMicrosoftWindowsCurrentVersionRunspoolsv=%System%spoolsvspoolsv.exe -printerHKEY_CLASSES_ROOTCLSID0E674588-66B7-4E19-9D0E-2053B800F69FInprocServer32=%System%wmpdrm.dllHKEY_CLASSES_ROOTwmpdrm.cfsbhoHKEY_CLASSES_ROOTwmpdrm.cfsbho.1HKEY_CLASSES_ROOTTypeLib8B200623-3FC5-4493-8B49-DC2AD4830AF4HKE
3、Y_CLASSES_ROOTInterface4A775183-9517-420E-9A13-D3DA47BB8A84然后每隔4秒左右对以上东西进行监控,前后互相照应,让你无从下手启动项c:/windows/system32/spoolsv/spoolsv.exe -printercfs2 相关文件、目录:%System%wmpdrm.dll%System%1116%System%msicnmsibm.dll%System%msicnube.exe%System%msicnplugins%System%spoolsvspoolsv.exe%System%spoolsvspoolsv.exeHK
4、EY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunspoolsv=%System%spoolsvspoolsv.exe -printer。运行后会调用%System%msicnmsibm.dll,创建%System%1116目录,备份用。%System%1116目录是备份目录,里面是%System%wmpdrm.dll、%System%msicn和%System%spoolsvspoolsv.exe的备份。%System%msicnmsibm.dll,会插入多个指定进程,大约每4秒钟监视恢复文件(从%System%1116目录)和
5、注册表信息(启动项、BHO):HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunspoolsvHKEY_CLASSES_ROOTCLSID0E674588-66B7-4E19-9D0E-2053B800F69FInprocServer32=%System%wmpdrm.dll注:spoolsv的数据不会被监视,所以修改它的数据也不会被恢复,只有删除spoolsv才会被恢复,还可能会从远程服务器下载文件:hxxp:/ 可能 会有一项“NavAngel”,里面有个快捷方式NavAngel.lnk,指向:%System%spools
6、vspoolsv.exe -ctrlfun:4,3“添加/删除程序”里有一项“NavAngel”,对应命令是:%System%spoolsvspoolsv.exe -ctrlfun:4,2还有一项“WinDirected 2.0”,对应命令是:%System%spoolsvspoolsv.exe -uninst还可能会有mscache目录,从名字看像是存放临时缓存文件的。二、判别自己是否中毒1、点开始运行,输入msconfig,回车,打开实用配置程序,选择“启动”, 感染以后会在启动项里面发现运行Spoolsv.exe的启动项, 每次进入windows会有NTservice的对话框。2、打开系
7、统盘,假设C盘,看是否存在C:WINDOWSsystem32spoolsv文件夹,里面有个spoolsv.exe文件,有“傲讯浏览器辅助工具”的字样说明,正常的spoolsv.exe打印机缓冲池文件应该在C:WINDOWSsystem32目录下。3、打开任务管理器,会发现spoolsv.exe进程,而且CPU占用率很高三、解决方案1、Ctrl+Alt+Delete停止spoolsv.exe运行进程.2、重起进入安全模式,在系统目录system32下删除文件夹spoolsv、miscn、1116以及wmpdrm.dll.3、开始菜单运行regedit打开注册表编辑器,找到HKEY_LOCAL_M
8、ACHINESOFTWAREMicrosoftWindowsCurrentVersionRunspoolsv=%System%spoolsvspoolsv.exe -printer 删除该项,查找含有System32spoolsvspoolsv.exe(切记)的注册表项目,删除。可用F3继续查找,将含有System32spoolsvspoolsv.exe的注册表项目全部删除。4、删除HKEY_CLASSES_ROOTCLSID0E674588-66B7-4E19-9D0E-2053B800F69FInprocServer32=%System%wmpdrm.dllHKEY_CLASSES_ROO
9、TCLSID0E674588-66B7-4E19-9D0E-2053B800F69FHKEY_CLASSES_ROOTwmpdrm.cfsbhoHKEY_CLASSES_ROOTwmpdrm.cfsbho.1HKEY_CLASSES_ROOTTypeLib8B200623-3FC5-4493-8B49-DC2AD4830AF4HKEY_CLASSES_ROOTInterface4A775183-9517-420E-9A13-D3DA47BB8A845、如果目前你没有自己的打印机而且不想用这台计算机打印资料,打开控制面板-管理工具-服务,禁用print spooler和NTservice服务.6
10、、运行注册表清里软件清理注册表,比如超级兔子,优化大师,恶意软件清理助手等都可以。重启电脑进入系统常规模式,若发现电脑还是处于高速运转,但在搜索中已找不到任何spoolsv相关文件,请按Ctrl+Alt+Delete,在进程中找到一个名为inter的后台运行程序,将其关闭。7、建议在应用以上步骤解决问题之后,运行反木马程序扫描并删除感染文件.附spoolsv.exe分析进程文件: spoolsv or spoolsv.exe 进程名称: Microsoft Printer Spooler Service 进程类别:其他进程英文描述:spoolsv.exe is a Microsoft Wind
11、ows system executable which handles the printing process to your local printers. Note: spoolsv.exe is also a process which is registered as the Backdoor.Ciadoor.B Trojan. This Trojan allows attackers to access your computer。中文参考spoolsv.exe用于将Windows打印机任务发送给本地打印机。注意spoolsv.exe也有可能是Backdoor.Ciadoor.B木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。出品者:Microsoft Corp. 属于:Microsoft Windows 2000 and later 系统进程:Yes 后台程序:Yes 网络相关:No 常见错误:N/A 内存使用:N/A 安全等级 (0-5): 0 间谍软件:No 广告软件:No