Spoolsv.exe 打印木马程序

显示全部楼层 · 发表于 2007-8-26 08:23:01

前几天中了Spoolsv.exe病毒,是一种延缓打印木马程序，它使计算机CPU使用率达到100%，
从而使风扇保持高速嘈杂运转；该木马允许攻击者访问你的计算机，窃取密码和个人数据。
遗憾的是卡巴不能清除,卡巴一直是开的,也监控不了,卡巴还要提升呵.

显示全部楼层 · 发表于 2007-8-26 12:24:46

提取H:\Video\Video.exe 这个文件，上报一下

显示全部楼层 · 发表于 2007-8-26 16:27:32

H:\Video\Video.exe 好像不是这个帖子的问题吧？
发错了？

显示全部楼层 · 发表于 2007-8-26 16:28:52

原帖由 zjlee 于 2007-8-26 08:23 发表
前几天中了Spoolsv.exe病毒,是一种延缓打印木马程序，它使计算机CPU使用率达到100%，
从而使风扇保持高速嘈杂运转；该木马允许攻击者访问你的计算机，窃取密码和个人数据。
遗憾的是卡巴不能清除,卡巴一直是开 ...

感染以后会在启动项里面发现运行Spoolsv.exe的启动项，有“广州傲讯公司”或“傲讯浏览器” 每次进入windows会有NTservice的对话框。
　　
　　以winxp为例，假设系统盘为c:。
　　
　　1 重启进入DOS（可以从winxp安装光盘启动），
　　使用deltree命令删除以下文件夹（如果存在）
　　C:\WINDOWS\system32\msibm
　　C:\WINDOWS\system32\spoolsv
　　C:\WINDOWS\system32\bakcfs
　　C:\WINDOWS\system32\msicn
　　以及文件（如果存在）
　　C:\windows\system32\spoolsv.exe
　　C:\WINDOWS\system32\wmpdrm.dll
　　
　　2 重启按F8进入安全模式
　　桌面右键点击我的电脑，选择“管理”，点击“服务和应用程序”-“服务”，右键点击NTservice，选择“属性”，修改启动类型为“禁用”。运行C:\WINDOWS\regedit.exe，查找含有spoolsv.exe的注册表项目（好象有两项），删除之。
　　
　　再次重启即可。

显示全部楼层 · 发表于 2007-8-27 11:00:30

补充下:
注册表里最好查找wmpdrm.dll,添加到BHO里面了的
后来好像可以自卸载,需要联网,会让你输入一个确认码

SYSTEM32文件夹下还有一个数字文件夹,1121什么的,是他的备份,也要删除

显示全部楼层 · 发表于 2007-8-27 11:14:59

spoolsv.exe 不一定是木马程序，这点楼主要先清楚~~~~我们公司以前也有这种情况，但不是因为病毒。

SUMMARY

当打印队列文件损坏时，Print Spooler 服务的进程 spoolsv.exe 可能会导致很高的 CPU 占有率。

SYMPTOMS

当打印队列文件损坏时，Print Spooler 服务的进程 spoolsv.exe 可能会导致很高的 CPU 占有率，同时无法继续执行打印过程。重新启动 Print Spooler 服务也不能解决上述问题。

CAUSE

当用户尝试打印文件时，如果位于 %SystemRoot%\System32\spool\PRINTERS 目录下的打印队列文件 SHD 或 SPL 的文件内容损坏，导致 Print Spooler 服务无法完成正常的打印操作，可能导致 Print Spooler 服务的进程 spoolsv.exe 进行反复的尝试，进而占用大量的 CPU 占有率，这个现象有可能导致系统挂起。

RESOLUTION

要解决本文描述的问题，请按照下列步骤操作

1. 单击开始，单击运行，键入mmc，然后单击确定。
2. 在文件菜单上，单击添加/删除管理单元。
3. 依次单击添加、计算机管理、添加，然后单击完成。
4. 单击关闭，然后单击确定。
5. 依次展开计算机管理和“服务和应用程序”，然后单击服务。
6. 右键单击 Print Spooler，然后单击停止。
7. 单击开始，单击运行，在打开框中键入 %SystemRoot%\System32\spool\PRINTERS，然后单击确定。
8. 删除 %SystemRoot%\System32\spool\PRINTERS 目录下的所有文件。
9. 选择服务窗口，右键单击 Print Spooler，然后单击启动。
10. 重新执行打印操作。

MORE INFORMATION
• 当 Windows 接收到脱机打印任务时，会在 %SystemRoot%\System32\spool\PRINTERS 目录里面创建打印队列文件，扩展名分别是 SHD 和 SHL。SHD 文件用于描述当前脱机打印的信息，包含了打印任务发起者，打印任务中的队列信息，以及该打印任务目的地等信息。SPL文件为当前脱机文件，包含当前打印任务的内容。
• 当 Print Spooler 服务启动的时候，会在 %SystemRoot%\System32\spool\PRINTERS 目录里面搜索打印队列文件，如果发现有未执行完的打印队列文件，则会继续执行。

上面说的似乎有些罗嗦．方法：进程中终止Spoolsv.exe进程，运行services.msc，禁用Print Spooler，删除　WINDOWS\system32\spool\PRINTERS下所有文件。重新启动Print Spooler服务

更具体的，请参考：http://www.badguy.name/article.asp?id=343

显示全部楼层 · 发表于 2007-8-27 11:18:40

感谢参加讨论，不过的确有spoolsv.exe的伪造木马的存在。

[讨论] Spoolsv.exe 打印木马程序

回复 #2 55564265 的帖子

评分

评分

回复 #6 dgww 的帖子