spoolsv.exe木马变种手动删除方案

《spoolsv.exe木马变种手动删除方案》由会员分享，可在线阅读，更多相关《spoolsv.exe木马变种手动删除方案（4页珍藏版）》请在装配图网上搜索。

1、spoolsv.exe木马变种手动删除方案2006-11-04 13:36spoolsv.exe是一种延缓打印木马程序，和windows的打印服务spoolsv.exe很类似，它使计算机CPU使用率达到100%，从而使风扇保持高速嘈杂运转；该木马允许攻击者访问你的计算机，窃取密码和个人数据。一、病毒运作原理利用将msicnmsibm.dll插入多个进程的方法对系统进行监控在system32下创建如下文件wmpdrm.dll1116msicnmsibm.dllmsicnube.exemsicnpluginsspoolsvspoolsv.exe注册表加入如下垃圾HKEY_LOCAL_MACHINE

2、SOFTWAREMicrosoftWindowsCurrentVersionRunspoolsv=%System%spoolsvspoolsv.exe -printerHKEY_CLASSES_ROOTCLSID0E674588-66B7-4E19-9D0E-2053B800F69FInprocServer32=%System%wmpdrm.dllHKEY_CLASSES_ROOTwmpdrm.cfsbhoHKEY_CLASSES_ROOTwmpdrm.cfsbho.1HKEY_CLASSES_ROOTTypeLib8B200623-3FC5-4493-8B49-DC2AD4830AF4HKE

3、Y_CLASSES_ROOTInterface4A775183-9517-420E-9A13-D3DA47BB8A84然后每隔4秒左右对以上东西进行监控，前后互相照应，让你无从下手启动项c:/windows/system32/spoolsv/spoolsv.exe -printercfs2 相关文件、目录：%System%wmpdrm.dll%System%1116%System%msicnmsibm.dll%System%msicnube.exe%System%msicnplugins%System%spoolsvspoolsv.exe%System%spoolsvspoolsv.exeHK

4、EY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunspoolsv=%System%spoolsvspoolsv.exe -printer。运行后会调用%System%msicnmsibm.dll，创建%System%1116目录，备份用。%System%1116目录是备份目录，里面是%System%wmpdrm.dll、%System%msicn和%System%spoolsvspoolsv.exe的备份。%System%msicnmsibm.dll，会插入多个指定进程，大约每4秒钟监视恢复文件（从%System%1116目录）和

5、注册表信息（启动项、BHO）：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunspoolsvHKEY_CLASSES_ROOTCLSID0E674588-66B7-4E19-9D0E-2053B800F69FInprocServer32=%System%wmpdrm.dll注：spoolsv的数据不会被监视，所以修改它的数据也不会被恢复，只有删除spoolsv才会被恢复，还可能会从远程服务器下载文件：hxxp:/secp.exe是个安装程序，安装以下文件：%System%wmpdrm.dll%System%msicnube.

6、exe%System%msicnplugins（目录里4个dll文件）%System%wmpdrm.dll是一个BHO，%System%msicnube.exe像是卸载程序。另外，在%System%和%System%msicn目录里还有有一些从远程下载来的cpz、vxd文件，比如：ava.vxdguid.vxdplgset.vxdsafep.vxd%System%wmpdrm.dll作为BHO被调用后，会尝试调用%System%spoolsvspoolsv.exe和%System%msicnmsibm.dll。注：如果%System%spoolsvspoolsv.exe没有被运行或被调用，也就

7、不会备份还原，好像它就是用来备份的。另外，在“开始菜单”“程序”里 可能 会有一项“NavAngel”，里面有个快捷方式NavAngel.lnk，指向：%System%spoolsvspoolsv.exe -ctrlfun:4,3“添加/删除程序”里有一项“NavAngel”，对应命令是：%System%spoolsvspoolsv.exe -ctrlfun:4,2还有一项“WinDirected 2.0”，对应命令是：%System%spoolsvspoolsv.exe -uninst还可能会有mscache目录，从名字看像是存放临时缓存文件的。二、判别自己是否中毒1、点开始运行，输入msc

8、onfig，回车，打开实用配置程序，选择“启动”， 感染以后会在启动项里面发现运行Spoolsv.exe的启动项， 每次进入windows会有NTservice的对话框。2、打开系统盘，假设C盘，看是否存在C:WINDOWSsystem32spoolsv文件夹，里面有个spoolsv.exe文件，有“傲讯浏览器辅助工具”的字样说明，正常的spoolsv.exe打印机缓冲池文件应该在C:WINDOWSsystem32目录下。3、打开任务管理器，会发现spoolsv.exe进程，而且CPU占用率很高三、解决方案1、Ctrl+Alt+Delete停止spoolsv.exe运行进程.2、重起进入安全模

9、式,在系统目录system32下删除文件夹spoolsv、miscn、1116以及wmpdrm.dll.3、开始菜单运行regedit打开注册表编辑器，找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunspoolsv=%System%spoolsvspoolsv.exe -printer 删除该项，查找含有System32spoolsvspoolsv.exe(切记)的注册表项目，删除。可用F3继续查找，将含有System32spoolsvspoolsv.exe的注册表项目全部删除。4、删除HKEY_CLASSES_ROOT

10、CLSID0E674588-66B7-4E19-9D0E-2053B800F69FInprocServer32=%System%wmpdrm.dllHKEY_CLASSES_ROOTCLSID0E674588-66B7-4E19-9D0E-2053B800F69FHKEY_CLASSES_ROOTwmpdrm.cfsbhoHKEY_CLASSES_ROOTwmpdrm.cfsbho.1HKEY_CLASSES_ROOTTypeLib8B200623-3FC5-4493-8B49-DC2AD4830AF4HKEY_CLASSES_ROOTInterface4A775183-9517-420E-9

11、A13-D3DA47BB8A845、如果目前你没有自己的打印机而且不想用这台计算机打印资料，打开控制面板-管理工具-服务，禁用print spooler和NTservice服务.6、运行注册表清里软件清理注册表，比如超级兔子，优化大师，恶意软件清理助手等都可以。重启电脑进入系统常规模式，若发现电脑还是处于高速运转，但在搜索中已找不到任何spoolsv相关文件,请按Ctrl+Alt+Delete，在进程中找到一个名为inter的后台运行程序，将其关闭。7、建议在应用以上步骤解决问题之后，运行反木马程序扫描并删除感染文件.附spoolsv.exe分析进程文件： spoolsv or spoolsv

12、.exe 进程名称： Microsoft Printer Spooler Service 进程类别：其他进程英文描述：spoolsv.exe is a Microsoft Windows system executable which handles the printing process to your local printers. Note: spoolsv.exe is also a process which is registered as the Backdoor.Ciadoor.B Trojan. This Trojan allows attackers to access your computer。中文参考spoolsv.exe用于将Windows打印机任务发送给本地打印机。注意spoolsv.exe也有可能是Backdoor.Ciadoor.B木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。出品者：Microsoft Corp. 属于：Microsoft Windows 2000 and later 系统进程：Yes 后台程序：Yes 网络相关：No 常见错误：N/A 内存使用：N/A 安全等级 (0-5): 0 间谍软件：No 广告软件：No4 / 4