frees - 2006-1-29 2:24:00
\WINDOWS\system32\ 中spoolsv目录有个spoolsv.exe。 删除后仍然会自动生成。傲讯浏览器辅助工具?
请问如何消除
shawtian - 2006-1-30 9:06:00
打印机后台打印程序,xp的看看print spooler服务,2000的加载在启动组。删除自生成是正常的,xp的system32文件都有备份,删除马上就恢复。
地区性 - 2006-1-30 21:12:00
| 引用: |
【shawtian的贴子】打印机后台打印程序,xp的看看print spooler服务,2000的加载在启动组。删除自生成是正常的,xp的system32文件都有备份,删除马上就恢复。
........................... |
那个是C:\Windows\system32的文件,是正常的打印机服务
而这个C:\Windows\system32\spoolsv下的spoolsv.exe可能是木马
我是大虾 - 2006-2-7 12:12:00
恭喜你了,这个是典型的木马程序,删除相当复杂,我已经被弄过一回了,头都是大的,
系统目录中确实有spoolsv.exe,但是spoolsv目录中的spoolsv.exe就是木马了,以下是清除方法
相关文件、目录:(注意要在安全模式下清除)
%System%\wmpdrm.dll
%System%\1116\
%System%\msicn\msibm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\
%System%\spoolsv\spoolsv.exe
%System%\spoolsv\spoolsv.exe,有一个启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer"
运行后会调用%System%\msicn\msibm.dll,创建%System%\1116\目录,备份用。
%System%\1116\目录是备份目录,里面是%System%\wmpdrm.dll、%System%\msicn\和%System%\spoolsv\spoolsv.exe的备份。
%System%\msicn\msibm.dll,会插入多个指定进程,大约每4秒钟监视恢复文件(从%System%\1116\目录)和注册表信息(启动项、BHO):
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}\InprocServer32]
@="%System%\wmpdrm.dll"
注:"spoolsv"的数据不会被监视,所以修改它的数据也不会被恢复,只有删除"spoolsv"才会被恢复。
还可能会从远程服务器下载文件:
http://liveupdate.ourxin.com/secp.exe
secp.exe是个安装程序,安装以下文件:
%System%\wmpdrm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\(目录里4个dll文件)
%System%\wmpdrm.dll是一个BHO,%System%\msicn\ube.exe像是卸载程序。
另外,在%System%\和%System%\msicn\目录里还有有一些从远程下载来的cpz、vxd文件,比如:
ava.vxd
guid.vxd
plgset.vxd
safep.vxd
%System%\wmpdrm.dll作为BHO被调用后,会尝试调用%System%\spoolsv\spoolsv.exe和%System%\msicn\msibm.dll。
注:如果%System%\spoolsv\spoolsv.exe没有被运行或被调用,也就不会备份还原,好像它就是用来备份的。
另外……
在“开始菜单”>>“程序”里会有一项“NavAngel”,里面有个快捷方式NavAngel.lnk,指向:
%System%\spoolsv\spoolsv.exe -ctrlfun:4,3
“添加/删除程序”里有一项“NavAngel”,对应命令是:
%System%\spoolsv\spoolsv.exe -ctrlfun:4,2
还有一项“WinDirected 2.0”,对应命令是:
%System%\spoolsv\spoolsv.exe -uninst
还可能会有mscache\目录,从名字看像是存放临时缓存文件的。
BHO相关注册表信息:
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]
[HKEY_CLASSES_ROOT\TypeLib\{8B200623-3FC5-4493-8B49-DC2AD4830AF4}]
[HKEY_CLASSES_ROOT\Interface\{4A775183-9517-420E-9A13-D3DA47BB8A84}]
无晴也无雨 - 2006-2-13 0:39:00
按照楼上的大虾的方法照做了,至少现在没有广告窗口弹出来,但是还不确定卸载干净没有,总之谢谢楼上的高手!!!!
我叫金四顺 - 2006-2-13 0:59:00
干脆重装系统了
© 2000 - 2026 Rising Corp. Ltd.