spooslv.exe的被病毒利用
目前常见的是:
Backdoor.Win32.Plutor,感染PE文件的后门程序,病毒采用VC编写。
Backdoor/Byshell,又叫隐形大盗、隐形杀手、西门庆病毒。
危害程度:中
受影响的系统: Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 3.x, Macintosh, Unix, Linux
简单的后门木马,发作会删除自身程序,但将自身程序套入可执行程序内(如:exe),并与计算机的通口(TCP端口138)挂钩,监控计算机的信息、密码,甚至是键盘操作,作为回传的信息,并不时驱动端口,以等候传进的命令,由于该木马不能判别何者是正确的端口,所以负责输出的列表机也是其驱动对象,以致Spoolsv.exe的使用异常频繁...... 1、将病毒文件复制到%WINDIR%目录下,文件名为;Spoolsv.exe;,并该病毒文件运行。;Spoolsv.exe;文件运行后释放文件名为;mscheck.exe;的文件到%SYSDIR%目录下,该文件的主要功能是每次激活时运行;Spoolsv.exe;文件。如果所运行的文件是感染了正常文件的病毒文件,病毒将会把该文件恢复并将其运行。
2、修改注册表以下键值: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun
增加数据项:;Microsoft Script Checker; 数据为:;MSCHECK.EXE /START;
修改该项注册表使;MSCHECK.EXE;文件每次系统激活时都将被运行,而;MSCHECK.EXE;用于运行;Spoolsv.exe;文件,从而达到病毒自激活的目的。
3、创建一个线程用于感染C盘下的PE文件,但是文件路径中包含;winnt;、;Windows;字符串的文件不感染。另外,该病毒还会枚举局域网中的共享目录并试图对这些目录下的文件进行感染。该病毒感染文件方法比较简单,将正常文件的前0x16000个字节替换为病毒文件中的数据,并将原来0x16000个字节的数据插入所感染的文件尾部。
4、试图与局域网内名为;admin;的邮槽联系,创建名为;client;的邮槽用于接收其控制端所发送的命令,为其控制端提供以下远程控制服务:
显示或隐藏指定窗口、屏幕截取、控制CDROM、关闭计算器、注销、破坏硬盘数据。那些病毒会造成CPU占有率过高 1. 生成病毒文件
2. 插入正常系统文件中
3. 修改系统注册表
4. 可被黑客远程控制
5. 躲避反病毒软件的查杀 建议使用防病毒软件对电脑进行查杀。或是重装、恢复。
开始菜单-->运行-->输入:C:\windows\system32\spoolsv\spoolsv.exe -uninst(-uninst前是空格)弹出一对话窗口,点击卸载。如果还不行执行如下操作:
1、断开所有的网络链接
2、重启计算机进入安全模式
3、在安全模式下删除C:\Windows\System32\mscache这个文件夹
4、在安全模式下,打开IE浏览器,工具——Internet选项——删除文件(所有脱机内容)
5、在控制面板的添加删除程序中找到windirected2.0(傲迅公司软件),卸载
6、重启回到正常模式,全盘查杀
