概述
1.是一種印表機的驅動程式
病毒查殺方法
spooslv.exe進程,spooslv病毒查殺方法
前兩天電腦中病毒了,這個病毒可是令人鬱悶得很,系統啟動後它什麼都不乾,先占CPU95%以上的記憶體,導致電腦作任何工作都特別卡,關機都會很慢很慢!請注意這個病毒用普通的防毒軟體查不到,而且用進程查看器也找不到它的路徑!我當時也沒有經驗,頭腦一熱就恢復了系統,現在知道了一些搞定它的方法,和大家共享一下,希望以後大家不要因為中了這個病毒而鬱悶!
進程檔案: spoolsv or spoolsv.exe
進程名稱: Printer Spooler Service
描 述: Windows列印任務控制程式,用以印表機就緒。
介 紹:緩衝(spooler)服務是管理緩衝池中的列印和傳真作業。
Spoolsv.exe→列印任務控制程式,一般會先載入以供列表機列印前的準備工作Spoolsv.exe,如果常增高,有可能是病毒感染所致
目前常見的是:
Backdoor/Byshell
危害程度:中
受影響的系統: Windows 2000, Windows XP, Windows Server 2003
未受影響的系統: Windows 95, Windows 98, Windows Me, Windows NT, Windows 3.x, Macintosh, Unix, Linux
病毒危害:
1. 生成病毒檔案
2. 插入正常系統檔案中
3. 修改系統註冊表
4. 可被黑客遠程控制
5. 躲避反病毒軟體的查殺
簡單的後門木馬,發作會刪除自身程式,但將自身程式套入可執行程式內(如:exe),並與計算機的通口(TCP連線埠138)掛鈎,監控計算機的信息、密碼,甚至是鍵盤操作,作為回傳的信息,並不時驅動連線埠,以等候傳進的命令,由於該木馬不能判別何者是正確的連線埠,所以負責輸出的列表機也是其驅動對象,以致Spoolsv.exe的使用異常頻繁......
Backdoor.Win32.Plutor
破壞方法:感染PE檔案的後門程式
病毒採用VC編寫。
病毒運行後有以下行為:
1、將病毒檔案複製到%WINDIR%目錄下,檔案名稱為";Spoolsv.exe";,並該病毒檔案運行。";Spoolsv.exe";檔案運行後釋放檔案名稱為";mscheck.exe";的檔案到%SYSDIR%目錄下,該檔案的主要功能是每次激活時運行";Spoolsv.exe";檔案。如果所運行的檔案是感染了正常檔案的病毒檔案,病毒將會把該檔案恢復並將其運行。
2、修改註冊表以下鍵值: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun
增加數據項:";Microsoft Script Checker"; 數據為:";MSCHECK.EXE /START";
修改該項註冊表使";MSCHECK.EXE";檔案每次系統激活時都將被運行,而";MSCHECK.EXE";用於運行";Spoolsv.exe";檔案,從而達到病毒自激活的目的。
3、創建一個執行緒用於感染C糟下的PE檔案,但是檔案路徑中包含";winnt";、";Windows";字元串的檔案不感染。另外,該病毒還會枚舉區域網路中的已分享資料夾並試圖對這些目錄下的檔案進行感染。該病毒感染檔案方法比較簡單,將正常檔案的前0x16000個位元組替換為病毒檔案中的數據,並將原來0x16000個位元組的數據插入所感染的檔案尾部。
4、試圖與區域網路內名為";admin";的郵槽聯繫,創建名為";client";的郵槽用於接收其控制端所傳送的命令,為其控制端提供以下遠程控制服務:
顯示或隱藏指定視窗、螢幕截取、控制CDROM、關閉計算器、註銷、破壞硬碟數據。那些病毒會造成CPU占有率過高
解決辦法:
它一般是傲迅瀏覽器的一個外掛程式,是木馬,一般情況下不會發作,但是只要傲訊瀏覽器輔助工具運行,就會帶來大量的PE或IE的木馬程式,這個程式只要安裝了就會在啟動項裡面出現,防毒軟體只會防毒不會殺傲訊瀏覽器輔助工具,所以一般情況下查殺不了,也不能從開機運行程式里刪除。樓上他們說的印表機程式的指向應該是system32/spoolsv.exe。這個是system32/spoolsv/spoolsv.exe,你的情況和印表機沒有任何關係.刪除方法:開始選單-->運行-->輸入:C:\windows\system32\spoolsv\spoolsv.exe -uninst(-uninst前是空格)彈出一對話視窗,點擊卸載。如果還不行執行如下操作:
1、斷開所有的網路連結
2、重啟計算機進入安全模式
3、在安全模式下刪除C:\Windows\System32\mscache這個資料夾
4、在安全模式下,打開IE瀏覽器,工具——Internet選項——刪除檔案(所有脫機內容)
5、在控制臺的添加刪除程式中找到windirected2.0(傲迅公司軟體),卸載
6、重啟回到正常模式,全盤查殺
