手刃病毒
首先是关于病毒的一些资料:
启动项 c:/windows/system32/spoolsv/spoolsv.exe -printer
cfs2…… 相关文件、目录:
%System%wmpdrm.dll
%System%1116
%System%msicnmsibm.dll
%System%msicnube.exe
%System%msicnplugins
%System%spoolsvspoolsv.exe
%System%spoolsvspoolsv.exe,有一个启动项:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"spoolsv"="%System%spoolsvspoolsv.exe -printer"
运行后会调用%System%msicnmsibm.dll,创建%System%1116目录,备份用。
%System%1116目录是备份目录,里面是%System%wmpdrm.dll、%System%msicn和%System%spoolsvspoolsv.exe的备份。
%System%msicnmsibm.dll,会插入多个指定进程,大约每4秒钟监视恢复文件(从%System%1116目录)和注册表信息(启动项、BHO):
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"spoolsv"
[HKEY_CLASSES_ROOTCLSID{0E674588-66B7-4E19-9D0E-2053B800F69F}InprocServer32]
@="%System%wmpdrm.dll"
注:"spoolsv"的数据不会被监视,所以修改它的数据也不会被恢复,只有删除"spoolsv"才会被恢复。
还可能会从远程服务器下载文件:
http://liveupdate.ourxin.com/secp.exe
secp.exe是个安装程序,安装以下文件:
%System%wmpdrm.dll
%System%msicnube.exe
%System%msicnplugins(目录里4个dll文件)
%System%wmpdrm.dll是一个BHO,%System%msicnube.exe像是卸载程序。
另外,在%System%和%System%msicn目录里还有有一些从远程下载来的cpz、vxd文件,比如:
ava.vxd
guid.vxd
plgset.vxd
safep.vxd
%System%wmpdrm.dll作为BHO被调用后,会尝试调用%System%spoolsvspoolsv.exe和%System%msicnmsibm.dll。
注:如果%System%spoolsvspoolsv.exe没有被运行或被调用,也就不会备份还原,好像它就是用来备份的。
另外……
在“开始菜单”>>“程序”里 可能 会有一项“NavAngel”,里面有个快捷方式NavAngel.lnk,指向:
%System%spoolsvspoolsv.exe -ctrlfun:4,3
“添加/删除程序”里有一项“NavAngel”,对应命令是:
%System%spoolsvspoolsv.exe -ctrlfun:4,2
还有一项“WinDirected 2.0”,对应命令是:
%System%spoolsvspoolsv.exe -uninst
还可能会有mscache目录,从名字看像是存放临时缓存文件的。
BHO相关注册表信息:
[HKEY_CLASSES_ROOTCLSID{0E674588-66B7-4E19-9D0E-2053B800F69F}]
[HKEY_CLASSES_ROOTwmpdrm.cfsbho]
[HKEY_CLASSES_ROOTwmpdrm.cfsbho.1]
[HKEY_CLASSES_ROOTTypeLib{8B200623-3FC5-4493-8B49-DC2AD4830AF4}]
[HKEY_CLASSES_ROOTInterface{4A775183-9517-420E-9A13-D3DA47BB8A84}].
这个东西是不知不觉就中了的,我感觉是使用过了腾讯TT浏览器后出现的问题,不知道是不是里面捆绑了这个垃圾东西,使用TT的同志们注意一下喽,spoolsv.exe和windows的打印服务spoolsv.exe很类似,不要被它迷惑了,打印服务spoolsv.exe的目录是系统文件夹(以XP为例)system32spoolsv.exe而此病毒的路径为system32spoolsvsploosv.exe
根据病毒信息提供偶得查杀方法:
1。ctrl+alt+del调出任务管理器,结束进程spoolsv.exe,可能有两个一个是病毒,一个是打印服务,没关系把它们都结束
2。进入系统目录system32删除文件夹spoolsv和miscn以及1116
3。开始菜单运行regedit打开注册表编辑器,找到
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"spoolsv"="%System%spoolsvspoolsv.exe -printer" 删除该项
4。在注册表中搜索spoolsv文件夹(注意是文件夹不是文件),删除
5。在注册表编辑器中打开下面的分支并使用组合键ctrl+f进行查找如下内容:
[HKEY_CLASSES_ROOTCLSID{0E674588-66B7-4E19-9D0E-2053B800F69F}
[HKEY_CLASSES_ROOTwmpdrm.cfsbho
[HKEY_CLASSES_ROOTwmpdrm.cfsbho.1
[HKEY_CLASSES_ROOTTypeLib{8B200623-3FC5-4493-8B49-DC2AD4830AF4}
[HKEY_CLASSES_ROOTInterface{4A775183-9517-420E-9A13-D3DA47BB8A84}
找到以后进行删除
6。运行注册表清里软件清理注册表,比如超级兔子,优化大师,恶意软件清理助手等都可以,此步骤也可以不执行(不过适时地清理一下注册表也是很好的呵呵)
如果照上述方法不能清除病毒的用户,可以下载使用“木马杀客”,进入安全模式查杀病毒,查杀后再回一般模式,按上诉方法查缺补漏,肯定就好了!
启动项 c:/windows/system32/spoolsv/spoolsv.exe -printer
cfs2…… 相关文件、目录:
%System%wmpdrm.dll
%System%1116
%System%msicnmsibm.dll
%System%msicnube.exe
%System%msicnplugins
%System%spoolsvspoolsv.exe
%System%spoolsvspoolsv.exe,有一个启动项:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"spoolsv"="%System%spoolsvspoolsv.exe -printer"
运行后会调用%System%msicnmsibm.dll,创建%System%1116目录,备份用。
%System%1116目录是备份目录,里面是%System%wmpdrm.dll、%System%msicn和%System%spoolsvspoolsv.exe的备份。
%System%msicnmsibm.dll,会插入多个指定进程,大约每4秒钟监视恢复文件(从%System%1116目录)和注册表信息(启动项、BHO):
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"spoolsv"
[HKEY_CLASSES_ROOTCLSID{0E674588-66B7-4E19-9D0E-2053B800F69F}InprocServer32]
@="%System%wmpdrm.dll"
注:"spoolsv"的数据不会被监视,所以修改它的数据也不会被恢复,只有删除"spoolsv"才会被恢复。
还可能会从远程服务器下载文件:
http://liveupdate.ourxin.com/secp.exe
secp.exe是个安装程序,安装以下文件:
%System%wmpdrm.dll
%System%msicnube.exe
%System%msicnplugins(目录里4个dll文件)
%System%wmpdrm.dll是一个BHO,%System%msicnube.exe像是卸载程序。
另外,在%System%和%System%msicn目录里还有有一些从远程下载来的cpz、vxd文件,比如:
ava.vxd
guid.vxd
plgset.vxd
safep.vxd
%System%wmpdrm.dll作为BHO被调用后,会尝试调用%System%spoolsvspoolsv.exe和%System%msicnmsibm.dll。
注:如果%System%spoolsvspoolsv.exe没有被运行或被调用,也就不会备份还原,好像它就是用来备份的。
另外……
在“开始菜单”>>“程序”里 可能 会有一项“NavAngel”,里面有个快捷方式NavAngel.lnk,指向:
%System%spoolsvspoolsv.exe -ctrlfun:4,3
“添加/删除程序”里有一项“NavAngel”,对应命令是:
%System%spoolsvspoolsv.exe -ctrlfun:4,2
还有一项“WinDirected 2.0”,对应命令是:
%System%spoolsvspoolsv.exe -uninst
还可能会有mscache目录,从名字看像是存放临时缓存文件的。
BHO相关注册表信息:
[HKEY_CLASSES_ROOTCLSID{0E674588-66B7-4E19-9D0E-2053B800F69F}]
[HKEY_CLASSES_ROOTwmpdrm.cfsbho]
[HKEY_CLASSES_ROOTwmpdrm.cfsbho.1]
[HKEY_CLASSES_ROOTTypeLib{8B200623-3FC5-4493-8B49-DC2AD4830AF4}]
[HKEY_CLASSES_ROOTInterface{4A775183-9517-420E-9A13-D3DA47BB8A84}].
这个东西是不知不觉就中了的,我感觉是使用过了腾讯TT浏览器后出现的问题,不知道是不是里面捆绑了这个垃圾东西,使用TT的同志们注意一下喽,spoolsv.exe和windows的打印服务spoolsv.exe很类似,不要被它迷惑了,打印服务spoolsv.exe的目录是系统文件夹(以XP为例)system32spoolsv.exe而此病毒的路径为system32spoolsvsploosv.exe
根据病毒信息提供偶得查杀方法:
1。ctrl+alt+del调出任务管理器,结束进程spoolsv.exe,可能有两个一个是病毒,一个是打印服务,没关系把它们都结束
2。进入系统目录system32删除文件夹spoolsv和miscn以及1116
3。开始菜单运行regedit打开注册表编辑器,找到
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"spoolsv"="%System%spoolsvspoolsv.exe -printer" 删除该项
4。在注册表中搜索spoolsv文件夹(注意是文件夹不是文件),删除
5。在注册表编辑器中打开下面的分支并使用组合键ctrl+f进行查找如下内容:
[HKEY_CLASSES_ROOTCLSID{0E674588-66B7-4E19-9D0E-2053B800F69F}
[HKEY_CLASSES_ROOTwmpdrm.cfsbho
[HKEY_CLASSES_ROOTwmpdrm.cfsbho.1
[HKEY_CLASSES_ROOTTypeLib{8B200623-3FC5-4493-8B49-DC2AD4830AF4}
[HKEY_CLASSES_ROOTInterface{4A775183-9517-420E-9A13-D3DA47BB8A84}
找到以后进行删除
6。运行注册表清里软件清理注册表,比如超级兔子,优化大师,恶意软件清理助手等都可以,此步骤也可以不执行(不过适时地清理一下注册表也是很好的呵呵)
如果照上述方法不能清除病毒的用户,可以下载使用“木马杀客”,进入安全模式查杀病毒,查杀后再回一般模式,按上诉方法查缺补漏,肯定就好了!
- 上一篇:C#网络编程——实现Web代理功能
- 下一篇:一起反击黑客!密码与键盘间的对抗
相关文章
图文推荐
- 文章
- 推荐
- 热门新闻