fanqi1234 - 2006-3-25 9:31:00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="C:\WINDOWS\system32\spoolsv\spoolsv.exe -printer"
spoolsv.exe
傲讯浏览器辅助工具
广州傲讯信息科技有限公司
2, 0, 0, 3
注册表run里的spoolsv删除后会自动恢复。
经注册表监视器发现:
恢复此注册表的程序是任意运行的.exe程序。一开始是ctfmon.exe,杀死后再检测,发现是ccapp.exe(居然是Norton的主进程)
怀疑是不是什么什么插入?(忘了“什么”~)
spoolsv.exe删除后也会恢复。但我无法确定是谁做的
不过既然注册表都能从杀毒软件的进程恢复,那么恢复个文件也应该很容易...
-*-
目前采用打乱注册表信息并设置everyone禁止权限临时处理。
-*-
注意:与Symantec资料库中的Backdoor.Ciadoor.B症状不同(文件位置不一样。)
© 2000 - 2025 Rising Corp. Ltd.