| jiajia80 |
2010-01-07 21:16 |
Spoolsv.exe及Spoolsv.exe木马详解
Spoolsv.exe是一个系统进程,用于把系统的打印任务发送到打印机执行,是电脑中控制打印工作的进程。但值得注意的是,Spoolsv.exe也有可能是Backdoor.Ciadoor.B木马,一种延缓打印的木马程序,该木马能够使用户的电脑CPU占用率达到100%,从而导致CPU风扇高速嘈闹地运转,并且允许攻击者访问你的电脑,盗取个人资料及密码。 GvBHd�%O�t
~6�p[El#tS
一、判断Spoolsv.exe是否木马 ��:0h�_K�
oc���s+d�\
要判断Spoolsv.exe是否木马的方法很简单,只要判断该进程的路径就可以知道了。 |P%Jw,}]�9
��G;YrF�)\
正常系统进程Spoolsv.exe其路径为C:windowssystems32spoolsv.exe。 R=�j�I�?p�
~ ��0M'7q'
木马Spoolsv.exe进程的路径为C:WINDOWSsystem32spoolsvspoolsv.exe I'�L�n�I*�
MdW]M�W�{
1.打开系统盘,查看是否存在“C:/Windowssystem32spoolsv”的文件夹,里面还有一个Spoolsv.exe的文件,并且显示“傲讯浏览器辅助工具”的说明字样。 A{�A\R�SZ0
<�u2��}i<#
2.按下Ctrl+Alt+Delete键,打开任务管理器,查看Spoolsv.exe进程的CPU占用率是否很高。符合以上两点的话,那么用户的电脑很可能已经受到Spoolsv.exe木马的入侵了。 �rW=Z��>�1
0=?<y'���=
二、清除Spoolsv.exe木马的方法 j:VbrR��
13>0OKg`#�
1.首先重新启动电脑,按F8进入安全模式。 �5��k.�oW=
^0� -�:G6H
2.单击“开始—运行”命令,输入CMD,打开DOS窗口 J@u�;H$@/y
9E6_]8rl��
3.输入cd,按下Enter键,退回C:根目录。 o,)�?!{k�}
%�
y�w?s�0
4.使用rd命令,删除以下目录。rd命令使用方法:如输入“rd c:windowssystem32spoolsv/s”按Enter键出现提示,按Y确认删除即可,如图所示。 P�}��4QQw�
Q637N|�0�1
C:WINDOWSsystem32msibm �;X�B�I{CW
�T
\_�]^]>
C:WINDOWSsystem32spoolsv B�\XKw�' �
�O�Oo3G~2r
C:WINDOWSsystem32akcfs �s�r{a(4*\
/#��)/���;
C:WINDOWSsystem32msicn �h%uZY�sK�
`9�BR�OZnq
5.使用del命令删除以下文件。del命令使用方法:如输入“del c:windowssystem32spoolsv.exe”按下Enter键即可删除受感染的spoolsv.exe文件。 ~G��ZY�5HF
T:�=l�z:}I
C:windowssystem32spoolsv.exe \h�x��1�o\
�� A|<j�X}
C:WINDOWSsystem32wmpdrm.dll s*��-n^o-
?k(�7 LX0j
6.重新启动电脑进入安全模式。右键单击”我的电脑“,选择“管理”打开“计算机管理”对话框,选择“服务和应用程序—服务”,在右边找到“NTservice”设置其属性中的启动类型为“禁用”。 ��6�V7B;tB
q-}Fv�el u
7.单击“开始—运行”命令,输入regedit,开注册表。选择“编辑—选择查找”,查找含有spoolsv.exe的注册表项目并删除。可以利用F3继续查找,将含有spoolsv.exe的注册表项目全部删除。 73/P&�h�T
~=uWD&5B�4
8.如果执行以上操作后,电脑仍然有spoolsv.exe进程运行,右键单击“我的电脑”,选择“管理”,点击“服务和应用程序—服务”,右键单击print spooler,选择“属性”,单击“停止”按钮,然后修改启动类型为“手动”或“禁用”。然后重复以上操作。
|
|