spoolsv.exe是一种延缓打印木马程序,它使计算机CPU使用率达到100%,从而使风扇保持高速嘈杂运转;该木马允许攻击者访问你的计算机,窃取密码和个人数据。
一、判别自己是否中毒
1、点开始-运行,输入msconfig,回车,打开实用配置程序,选择“启动”, 感染以后会在启动项里面发现运行Spoolsv.exe的启动项, 每次进入Windows会有NTservice的对话框。
2、打开系统盘,假设C盘,看是否存在C:Windowssystem32spoolsv文件夹,里面有个spoolsv.exe文件,有“傲讯浏览器辅助工具”的字样说明,正常的spoolsv.exe打印机缓冲池文件应该在C:Windowssystem32目录下。
3,打开任务管理器,会发现spoolsv.exe进程,而且CPU占用率很高
二、清除方法
1、重新启动,开机按F8进入安全模式。
2、点开始-运行,输入cmd,进入dos,利用rd命令删除一下目录(如果存在)
C:Windowssystem32msibm
C:Windowssystem32spoolsv
C:Windowssystem32�akcfs
C:Windowssystem32msicn
比如在dos窗口下输入:rd(空格)C:Windowssystem32spoolsv/s,回车,出现提示,输入y回车,即可删除整个目录。
利用del命令删除下面的文件(如果存在)
C:Windowssystem32spoolsv.exe
C:Windowssystem32wmpdrm.dll
比如在dos窗口下输入:del(空格)C:Windowssystem32spoolsv.exe,回车,即可删除被感染的spoolsv.exe,这个文件可以在杀毒结束后在别的正常的机器上复制正常的spoolsv.exe粘贴到C:Windowssystem32文件夹。
3、重启按F8再次进入安全模式
(1)桌面右键点击我的电脑,选择“管理”,点击“服务和应用程序”-“服务”,右键点击NTservice,选择“属性”,修改启动类型为“禁用”。
(2)点开始,运行,输入regedit,回车打开注册表,点菜单上的编辑,选择查找,查找含有spoolsv.exe的注册表项目,删除。可以利用F3继续查找,将含有spoolsv.exe的注册表项目全部删除。
三、再次重新正常启动即可
这个垃圾软件利用将msicnmsibm.dll插入多个进程的方法对系统进行监控,在system32下创建如下该死的东西:
wmpdrm.dll
1116
msicnmsibm.dll
msicnube.exe
msicnplugins
spoolsvspoolsv.exe(这个还长得像微软打印服务,shit!!)
注册表加入如下垃圾:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
“spoolsv”=“%System%spoolsvspoolsv.exe -printer”
[HKEY_CLASSES_ROOTCLSIDInprocServer32]
@=“%System%wmpdrm.dll”
[HKEY_CLASSES_ROOTwmpdrm.cfsbho]
[HKEY_CLASSES_ROOTwmpdrm.cfsbho.1]
[HKEY_CLASSES_ROOTTypeLib]
[HKEY_CLASSES_ROOTInterface]
然后每隔4秒左右对以上东西进行监控,前后互相照应,让你无从下手
启动项 c:/Windows/system32/spoolsv/spoolsv.exe -printer
cfs2…… 相关文件、目录:
%System%wmpdrm.dll
%System%1116
%System%msicnmsibm.dll
%System%msicnube.exe
%System%msicnplugins
%System%spoolsvspoolsv.exe
%System%spoolsvspoolsv.exe,有一个启动项:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
“spoolsv”=“%System%spoolsvspoolsv.exe -printer”
运行后会调用%System%msicnmsibm.dll,创建%System%1116目录,备份用。
%System%1116目录是备份目录,里面是%System%wmpdrm.dll、%System%msicn和%System%spoolsvspoolsv.exe的备份。
%System%msicnmsibm.dll,会插入多个指定进程,大约每4秒钟监视恢复文件(从%System%1116目录)和注册表信息(启动项、BHO):
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
“spoolsv”
[HKEY_CLASSES_ROOTCLSIDInprocServer32]
@=“%System%wmpdrm.dll”
注:“spoolsv”的数据不会被监视,所以修改它的数据也不会被恢复,只有删除“spoolsv”才会被恢复。
还可能会从远程服务器下载文件:
secp.exe是个安装程序,安装以下文件:
%System%wmpdrm.dll
%System%msicnube.exe
%System%msicnplugins(目录里4个dll文件)
%System%wmpdrm.dll是一个BHO,%System%msicnube.exe像是卸载程序。
另外,在%System%和%System%msicn目录里还有有一些从远程下载来的cpz、vxd文件,比如:
ava.vxd
guid.vxd
plgset.vxd
safep.vxd
%System%wmpdrm.dll作为BHO被调用后,会尝试调用%System%spoolsvspoolsv.exe和%System%msicnmsibm.dll。
注:如果%System%spoolsvspoolsv.exe没有被运行或被调用,也就不会备份还原,好像它就是用来备份的。
另外……
在“开始菜单”>>“程序”里 可能 会有一项“NavAngel”,里面有个快捷方式NavAngel.lnk,指向:
%System%spoolsvspoolsv.exe -ctrlfun:4,3
“添加/删除程序”里有一项“NavAngel”,对应命令是:
%System%spoolsvspoolsv.exe -ctrlfun:4,2
还有一项“WinDirected 2.0”,对应命令是:
%System%spoolsvspoolsv.exe -uninst
还可能会有mscache目录,从名字看像是存放临时缓存文件的。
BHO相关注册表信息:
[HKEY_CLASSES_ROOTCLSID]
[HKEY_CLASSES_ROOTwmpdrm.cfsbho]
[HKEY_CLASSES_ROOTwmpdrm.cfsbho.1]
[HKEY_CLASSES_ROOTTypeLib]
[HKEY_CLASSES_ROOTInterface]
