科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道spoolsv.exe病毒清除方法

spoolsv.exe病毒清除方法

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

清除病毒spoolsv.exe之前,先认识一下病毒的原型,下面是关于病毒的一些资料

作者:论坛整理 2007年11月5日

关键字: spoolsv.exe SPOOLSV.EXE病毒 spoolsv.exe专杀 spoolsv.exe进程

  • 评论
  • 分享微博
  • 分享邮件
清除病毒spoolsv.exe之前,先认识一下病毒的原型,下面是关于病毒的一些资料: 
启动项 c:/windows/system32/spoolsv/spoolsv.exe -printer 
cfs2…… 相关文件、目录: 
%System%\wmpdrm.dll 
%System%\1116\ 
%System%\msicn\msibm.dll 
%System%\msicn\ube.exe 
%System%\msicn\plugins\ 
%System%\spoolsv\spoolsv.exe 
%System%\spoolsv\spoolsv.exe,有一个启动项: 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer" 
运行后会调用%System%\msicn\msibm.dll,创建%System%\1116\目录,备份用。 
%System%\1116\目录是备份目录,里面是%System%\wmpdrm.dll、%System%\msicn\和%System%\spoolsv\spoolsv.exe的备份。 
%System%\msicn\msibm.dll,会插入多个指定进程,大约每4秒钟监视恢复文件(从%System%\1116\目录)和注册表信息(启动项、BHO): 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"spoolsv" 
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}\InprocServer32] 
@="%System%\wmpdrm.dll" 
注:"spoolsv"的数据不会被监视,所以修改它的数据也不会被恢复,只有删除"spoolsv"才会被恢复。 
还可能会从远程服务器下载文件: 
http: //liveupdate.ourxin.com/secp.exe 
secp.exe是个安装程序,安装以下文件: 
%System%\wmpdrm.dll 
%System%\msicn\ube.exe 
%System%\msicn\plugins\(目录里4个dll文件) 
%System%\wmpdrm.dll是一个BHO,%System%\msicn\ube.exe像是卸载程序。 
另外,在%System%\和%System%\msicn\目录里还有有一些从远程下载来的cpz、vxd文件,比如: 
ava.vxd 
guid.vxd 
plgset.vxd 
safep.vxd 
%System%\wmpdrm.dll作为BHO被调用后,会尝试调用%System%\spoolsv\spoolsv.exe和%System%\msicn\msibm.dll。 
注:如果%System%\spoolsv\spoolsv.exe没有被运行或被调用,也就不会备份还原,好像它就是用来备份的。 
另外…… 
在“开始菜单”>>“程序”里 可能 会有一项“NavAngel”,里面有个快捷方式NavAngel.lnk,指向: 
%System%\spoolsv\spoolsv.exe -ctrlfun:4,3 
“添加/删除程序”里有一项“NavAngel”,对应命令是: 
%System%\spoolsv\spoolsv.exe -ctrlfun:4,2 
还有一项“WinDirected 2.0”,对应命令是: 
%System%\spoolsv\spoolsv.exe -uninst 
还可能会有mscache\目录,从名字看像是存放临时缓存文件的。 
BHO相关注册表信息: 
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}] 
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho] 
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1] 
[HKEY_CLASSES_ROOT\TypeLib\{8B200623-3FC5-4493-8B49-DC2AD4830AF4}] 
[HKEY_CLASSES_ROOT\Interface\{4A775183-9517-420E-9A13-D3DA47BB8A84}]. 
spoolsv.exe和windows的打印服务spoolsv.exe很类似,不要被它迷惑了,打印服务spoolsv.exe的目录是系统文件夹(以XP为例)system32\spoolsv.exe而此病毒的路径为system32\spoolsv\sploosv.exe
根据病毒信息提供偶得查杀方法:
1。进入系统目录system32删除文件夹spoolsv和miscn以及1116
2。开始菜单运行regedit打开注册表编辑器,找到
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer" 删除该项
3。在注册表编辑器中打开下面的分支并使用组合键ctrl+f进行查找如下内容:
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1
[HKEY_CLASSES_ROOT\TypeLib\{8B200623-3FC5-4493-8B49-DC2AD4830AF4}
[HKEY_CLASSES_ROOT\Interface\{4A775183-9517-420E-9A13-D3DA47BB8A84}
找到以后进行删除
4。运行注册表清里软件清理注册表,比如超级兔子,优化大师,恶意软件清理助手等都可以,此步骤也可以不执行
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章