正常的spoolsv.exe大小是57k,用於將Windows打印機任務發送給本地打印機。如果spoolsv.exe大小爲44k則是Backdoor.Ciadoor.B木馬,藏於c:/windows/system32/spoolsv文件夾,爲防被刪還設置有備份程序tqppmtw.fyf藏於windows32文件夾。該木馬允許攻擊者訪問你的計算機,竊取密碼和個人數據。
【關於病毒:】
啓動項 c:/windows/system32/spoolsv/spoolsv.exe -printer
相關文件、目錄:
%System%/wmpdrm.dll
%System%/1116/
%System%/msicn/msibm.dll
%System%/msicn/ube.exe
%System%/msicn/plugins/
%System%/spoolsv/spoolsv.exe
%System%/spoolsv/spoolsv.exe
啓動運行後會調用%System%/msicn/msibm.dll,創建%System%/1116/目錄,備份用。%System%/1116/目錄是備份目錄,裏面是%System%/wmpdrm.dll、%System%/msicn/和%System%/spoolsv/spoolsv.exe的備份。 %System%/msicn/msibm.dll會插入多個指定進程,大約每4秒鐘監視恢復文件(從%System%/1116/目錄)和註冊表信息(啓動項、BHO): [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]"spoolsv" [HKEY_CLASSES_ROOT/CLSID/{0E674588-66B7-4E19-9D0E-2053B800F69F}/InprocServer32] @="%System%/wmpdrm.dll" 注:"spoolsv"的數據不會被監視,所以修改它的數據也不會被恢復,只有刪除"spoolsv"纔會被恢復。
【關於病毒:】
啓動項 c:/windows/system32/spoolsv/spoolsv.exe -printer
相關文件、目錄:
%System%/wmpdrm.dll
%System%/1116/
%System%/msicn/msibm.dll
%System%/msicn/ube.exe
%System%/msicn/plugins/
%System%/spoolsv/spoolsv.exe
%System%/spoolsv/spoolsv.exe
啓動運行後會調用%System%/msicn/msibm.dll,創建%System%/1116/目錄,備份用。%System%/1116/目錄是備份目錄,裏面是%System%/wmpdrm.dll、%System%/msicn/和%System%/spoolsv/spoolsv.exe的備份。 %System%/msicn/msibm.dll會插入多個指定進程,大約每4秒鐘監視恢復文件(從%System%/1116/目錄)和註冊表信息(啓動項、BHO): [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]"spoolsv" [HKEY_CLASSES_ROOT/CLSID/{0E674588-66B7-4E19-9D0E-2053B800F69F}/InprocServer32] @="%System%/wmpdrm.dll" 注:"spoolsv"的數據不會被監視,所以修改它的數據也不會被恢復,只有刪除"spoolsv"纔會被恢復。
還可能會從遠程服務器下載文件:h ttp://liveupdate.ourxin.com/secp.exe
secp.exe是個安裝程序,安裝以下文件:
%System%/wmpdrm.dll
%System%/msicn/ube.exe
%System%/msicn/plugins/(目錄裏4個dll文件)
%System%/wmpdrm.dll是一個BHO,%System%/msicn/ube.exe像是卸載程序。
另外,在%System%/和%System%/msicn/目錄裏還有有一些從遠程下載來的cpz、vxd文件,比如: ava.vxd guid.vxd plgset.vxd safep.vxd
secp.exe是個安裝程序,安裝以下文件:
%System%/wmpdrm.dll
%System%/msicn/ube.exe
%System%/msicn/plugins/(目錄裏4個dll文件)
%System%/wmpdrm.dll是一個BHO,%System%/msicn/ube.exe像是卸載程序。
另外,在%System%/和%System%/msicn/目錄裏還有有一些從遠程下載來的cpz、vxd文件,比如: ava.vxd guid.vxd plgset.vxd safep.vxd
%System%/wmpdrm.dll作爲BHO被調用後,會嘗試調用%System%/spoolsv/spoolsv.exe和%System%/msicn/msibm.dll。 注:如果%System%/spoolsv/spoolsv.exe沒有被運行或被調用,也就不會備份還原,好像它就是用來備份的。
另外在“開始菜單”->“程序”裏可能會有一項“NavAngel”,裏面有個快捷方式NavAngel.lnk,指向:%System%/spoolsv/spoolsv.exe -ctrlfun:4,3 “添加/刪除程序”裏有一項“NavAngel”,對應命令是:%System%/spoolsv/spoolsv.exe -ctrlfun:4,2 還有一項“WinDirected 2.0”,對應命令是:%System%/spoolsv/spoolsv.exe -uninst
還可能會有mscache/目錄,從名字看像是存放臨時緩存文件的。
要注意:spoolsv.exe和windows的打印服務spoolsv.exe很類似,不要被它迷惑了,打印服務spoolsv.exe的目錄是系統文件夾(以XP爲例)system32/spoolsv.exe而此病毒的路徑爲system32/spoolsv/sploosv.exe
【查殺方法:】
第一種:
1、在安全模式下進入系統目錄system32刪除文件夾spoolsv和miscn以及1116
2、開始菜單運行regedit打開註冊表編輯器,找到
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"spoolsv"="%System%/spoolsv/spoolsv.exe -printer" 刪除該項
3、在註冊表中搜索spoolsv文件夾(注意是文件夾不是文件),刪除
4、在註冊表編輯器中打開下面的分支並使用組合鍵ctrl+f進行查找如下內容:
[HKEY_CLASSES_ROOT/CLSID/{0E674588-66B7-4E19-9D0E-2053B800F69F}
[HKEY_CLASSES_ROOT/wmpdrm.cfsbho
[HKEY_CLASSES_ROOT/wmpdrm.cfsbho.1
[HKEY_CLASSES_ROOT/TypeLib/{8B200623-3FC5-4493-8B49-DC2AD4830AF4}
[HKEY_CLASSES_ROOT/Interface/{4A775183-9517-420E-9A13-D3DA47BB8A84}找到以後進行刪除
5、運行註冊表清裏軟件清理註冊表,比如超級兔子,優化大師,惡意軟件清理助手等都可以,此步驟也可以不執行。
1、在安全模式下進入系統目錄system32刪除文件夾spoolsv和miscn以及1116
2、開始菜單運行regedit打開註冊表編輯器,找到
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"spoolsv"="%System%/spoolsv/spoolsv.exe -printer" 刪除該項
3、在註冊表中搜索spoolsv文件夾(注意是文件夾不是文件),刪除
4、在註冊表編輯器中打開下面的分支並使用組合鍵ctrl+f進行查找如下內容:
[HKEY_CLASSES_ROOT/CLSID/{0E674588-66B7-4E19-9D0E-2053B800F69F}
[HKEY_CLASSES_ROOT/wmpdrm.cfsbho
[HKEY_CLASSES_ROOT/wmpdrm.cfsbho.1
[HKEY_CLASSES_ROOT/TypeLib/{8B200623-3FC5-4493-8B49-DC2AD4830AF4}
[HKEY_CLASSES_ROOT/Interface/{4A775183-9517-420E-9A13-D3DA47BB8A84}找到以後進行刪除
5、運行註冊表清裏軟件清理註冊表,比如超級兔子,優化大師,惡意軟件清理助手等都可以,此步驟也可以不執行。
第二種:
在桌面建一個TXT文件並顯示擴展名,改名爲spools.exe後將文件屬性改爲只讀,將這個假的病毒覆蓋c:/winnt/system32/spoolsv/的44K真病毒.。這種雖然方便但是遺留隱患。
第三種:
首先刪除c:/windows/system32/spoolsv文件夾,而非單獨刪除c:/windows/system32/spoolsv下的spoolsv.exe(44k)文件,然後打開任務管理器,將spoolsv進程優先級調爲最低;最後迅速刪除其備份文件tqppmtw.fyf並關閉spoolsv進程即可。
第三種:
首先刪除c:/windows/system32/spoolsv文件夾,而非單獨刪除c:/windows/system32/spoolsv下的spoolsv.exe(44k)文件,然後打開任務管理器,將spoolsv進程優先級調爲最低;最後迅速刪除其備份文件tqppmtw.fyf並關閉spoolsv進程即可。