msicn\\ msicn\\ spoolsv\\
基本信息
spoolsv.exe是Print Spooler的進程,管理所有本地和網絡打印隊列及控制所有打印工作。如果此服務被停用,本地計算機上的打印將不可用。該進程屬 Windows 系統服務。
正常spoolsv進程信息
進程文件: spoolsv or spoolsv.exe
進程名稱: 微軟 Printer Spooler Service
描述:
spoolsv.exe用于將Windows打印機任務發送給本地打印機。注意spoolsv.exe也有可能是Backdoor.Ciadoor.B木馬。該木馬允許攻擊者訪問你的計算機,竊取密碼和個人數據。該進程的安全級別是建議立即刪除。
出品者: Microsoft Corp.
屬于:Microsoft Windows 2000 and later
系統進程:是
后臺程序:是
使用網絡:否
硬件相關:否
常見錯誤:未知N/A
內存使用:未知N/A
安全等級 (0-5): 0
間諜軟件:否
Adware: 否
病毒:否
木馬: 否
木馬信息
木馬spoolsv進程信息:
描述:
這個垃圾軟件利用將msicn\msibm.dll插入多個進程的方法對系統進行監控,在system32下創建如下該死的東西:
wmpdrm.dll
1116\
msicn\msibm.dll
msicn\ube.exe
msicn\plugins\
spoolsv\spoolsv.exe(這個還長得像微軟打印服務,shit!!)
注冊表加入如下垃圾:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer"
[HKEY_CLASSES_ROOT\CLSID\\InprocServer32]
@="%System%\wmpdrm.dll"
[HKEY_CLASSES_ROOT\wmpdrm.CFS世界總決賽bho]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]
[HKEY_CLASSES_ROOT\TypeLib\]
[HKEY_CLASSES_ROOT\Interface\]
然后每隔4秒左右對以上東西進行監控,前后互相照應,讓你無從下手
啟動項 c:/windows/system32/spoolsv/spoolsv.exe -printer
cfs2…… 相關文件、目錄:
%System%\wmpdrm.dll
%System%\1116\
%System%\msicn\msibm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\
%System%\spoolsv\spoolsv.exe
%System%\spoolsv\spoolsv.exe,有一個啟動項:
[HKEY_LOCAL_MACHINE\SOFTWARE\微軟\Windows\CurrentVersion\Run]
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer"
運行后會調用%System%\msicn\msibm.dll,創建%System%\1116\目錄,備份用。
%System%\1116\目錄是備份目錄,里面是%System%\wmpdrm.dll、%System%\msicn\和%System%\spoolsv\spoolsv.exe的備份。
%System%\msicn\msibm.dll,會插入多個指定進程,大約每4秒鐘監視恢復文件(從%System%\1116\目錄)和注冊表信息(啟動項、BHO):
[HKEY_LOCAL_MACHINE\SOFTWARE\微軟\Windows\CurrentVersion\Run]
"spoolsv"
[HKEY_CLASSES_ROOT\CLSID\\InprocServer32]
@="%System%\wmpdrm.dll"
注:"spoolsv"的數據不會被監視,所以修改它的數據也不會被恢復,只有刪除"spoolsv"才會被恢復。
還可能會從遠程服務器下載文件:
http://liveupdate.ourxin.com/secp.exe
secp.exe是個安裝程序,安裝以下文件:
%System%\wmpdrm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\(目錄里4個dll文件)
%System%\wmpdrm.dll是一個BHO,%System%\msicn\ube.exe像是卸載程序。
另外,在%System%\和%System%\msicn\目錄里還有有一些從遠程下載來的cpz、vxd文件,比如:
戰地之王vxd
guid.vxd
plg矢野獎吾vxd
safep.vxd
%System%\wmpdrm.dll作為BHO被調用后,會嘗試調用%System%\spoolsv\spoolsv.exe和%System%\msicn\msibm.dll。
注:如果%System%\spoolsv\spoolsv.exe沒有被運行或被調用,也就不會備份還原,好像它就是用來備份的。
另外……
在“開始菜單”>>“程序”里 可能 會有一項“NavAngel”,里面有個快捷方式NavAngel.lnk,指向:%System%\spoolsv\spoolsv.exe -ctrlfun:4,3
“添加/刪除程序”里有一項“NavAngel”,對應命令是:%System%\spoolsv\spoolsv.exe -ctrlfun:4,2
還有一項“WinDirected 2.0”,對應命令是:%System%\spoolsv\spoolsv.exe -uninst
還可能會有mscache\目錄,從名字看像是存放臨時緩存文件的。
BHO相關注冊表信息:
[HKEY_CLASSES_ROOT\CLSID\]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]
[HKEY_CLASSES_ROOT\TypeLib\]
[HKEY_CLASSES_ROOT\Interface\]
判別方法
判別自己是否中毒:
1、點開始-運行,輸入msconfig,回車,打開實用配置程序,選擇“啟動”,感染以后會在啟動項里面發現運行Spoolsv.exe的啟動項,每次進入windows會有NTservice的對話框。
2、打開系統盤,假設C盤,看是否存在C:\WINDOWS\system32\spoolsv文件夾,里面有個spoolsv.exe文件,有“傲訊瀏覽器輔助工具”的字樣說明,正常的spoolsv.exe打印機緩沖池文件應該在C:\WINDOWS\system32目錄下。
3,打開任務管理器,會發現spoolsv.exe進程,而且CPU占用率很高。
清除方法:
1、重新啟動,開機按F8進入安全模式。
利用rd命令刪除以下目錄(如果存在)(在dos窗口下輸入:rd(空格)C:\WINDOWS\system32\spoolsv/s,回車,出現提示,輸入y回車,即可刪除整個目錄。):
C:\WINDOWS\system32\msibm
C:\WINDOWS\system32\spoolsv
C:\WINDOWS\system32\bakcfs
C:\WINDOWS\system32\msicn
利用del命令刪除下面的文件(如果存在)(比如在dos窗口下輸入:del(空格)C:\windows\system32\spoolsv.exe,回車,即可刪除被感染的spoolsv.exe,這個文件可以在殺毒結束后在別的正常的機器上復制正常的spoolsv.exe粘貼到
C:\windows\system32文件夾。):
C:\windows\system32\spoolsv.exe
C:\WINDOWS\system32\wmpdrm.dll
3、重啟按F8再次進入安全模式。
(1)桌面右鍵點擊我的電腦,選擇“管理”,點擊“服務和應用程序”-“服務”,右鍵點擊
NTservice,選擇“屬性”,修改啟動類型為“禁用”。
、
(2)點開始,運行,輸入regedit,回車打開注冊表,點菜單上的編輯,選擇查找,查找含有spoolsv.exe的注冊表項目,刪除。可以利用F3繼續查找,將含有spoolsv.exe的注冊表項目全部刪除。
4、若以上操作完成后,仍然有該進程。請桌面右鍵點擊我的電腦,選擇“管理”,點擊“服務和應用程序”-“服務”,右鍵點擊print spooler,選擇“屬性”,先點“停止”然后修改啟動類型為手動或“禁用”。隨后重復以上步驟。
spoolsv.exe占100%CPU資源的最簡單有效處理方法:
只要清空C:\WINDOWS\system32\spool\PRINTERS 目錄下所有的文件即可。很有效。
參考資料 >