进程文件: spoolsv or spoolsv.exe 进程名称: Microsoft Printer Spooler Service 描述: spoolsv.exe用于将Windows打印机任务发送给本地打印机。注意spoolsv.exe也有可能是 Backdoor.Ciadoor.B木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全级 别是建议立即删除。 关于spoolsv.exe xp下的正常程序大小是57k 而大小为44k的是 木马(隐身大盗)程序,一般藏于c:\windows\system32\spoolsv文件夹,另外该木 马为防被删还设置有备份程序tqppmtw.fyf藏于windows32文件夹 该木马手工清除办法:首先删除c:\windows\system32\spoolsv文件夹,而非单独删除 c:\windows\system32\spoolsv下的spoolsv.exe(44k)文件,然后打开任务管理器,将spoolsv进程优 先级调为最低;最后迅速删除其备份文件tqppmtw.fyf并关闭spoolsv进程即可。 介 绍:缓冲(spooler)服务是管理缓冲池中的打印和传真作业。 Spoolsv.exe→打印任务控制程序,一般会先加载以供列表机打印前的准备工作 Spoolsv.exe,如果常增高,有可能是病毒感染所致 目前常见的是: Backdoor/Byshell(又叫隐形大盗、隐形杀手、西门庆病毒) 危害程度:中 受影响的系统: Windows 2000, Windows XP, Windows Server 2003 未受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 3.x, Macintosh, Unix, Linux 病毒危害: 1. 生成病毒文件 2. 插入正常系统文件中 3. 修改系统注册表 4. 可被黑客远程控制 5. 躲避反病毒软件的查杀 简单的后门木马,发作会删除自身程序,但将自身程序套入可执行程序内(如:exe),并与计算机的 通口(TCP端口138)挂钩,监控计算机的信息、密码,甚至是键盘操作,作为回传的信息,并不时驱动端 口,以等候传进的命令,由于该木马不能判别何者是正确的端口,所以负责输出的列表机也是其驱动对 象,以致Spoolsv.exe的使用异常频繁...... Backdoor.Win32.Plutor 破坏方法:感染PE文件的后门程序 病毒采用VC编写。 病毒运行后有以下行为: 1、将病毒文件复制到%WINDIR%目录下,文件名为";Spoolsv.exe";,并该病毒文件运行。"; Spoolsv.exe";文件运行后释放文件名为";mscheck.exe";的文件到%SYSDIR%目录下,该文件的主要 功能是每次激活时运行";Spoolsv.exe";文件。如果所运行的文件是感染了正常文件的病毒文件,病 毒将会把该文件恢复并将其运行。 2、修改注册表以下键值: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run 增加数据项:";Microsoft Script Checker"; 数据为:";MSCHECK.EXE /START"; 修改该项注册表使";MSCHECK.EXE";文件每次系统激活时都将被运行,而";MSCHECK.EXE";用于 运行";Spoolsv.exe";文件,从而达到病毒自激活的目的。 3、创建一个线程用于感染C盘下的PE文件,但是文件路径中包含";winnt";、";Windows";字符 串的文件不感染。另外,该病毒还会枚举局域网中的共享目录并试图对这些目录下的文件进行感染。该 病毒感染文件方法比较简单,将正常文件的前0x16000个字节替换为病毒文件中的数据,并将原来 0x16000个字节的数据插入所感染的文件尾部。 4、试图与局域网内名为";admin";的邮槽联系,创建名为";client";的邮槽用于接收其控制端 所发送的命令,为其控制端提供以下远程控制服务: 显示或隐藏指定窗口、屏幕截取、控制CDROM、关闭计算器、注销、破坏硬盘数据。 用软件检查了一下进程,位置正确,是位于%windir%\system32下的,用norton查了下,正常......直 接删除文件,过了一会又继续出现。于是搜索windows文件夹下所有名为spoolsv.exe的文件,全部删除 后,仍然在原来的位置上生成相同的文件。 建议杀毒方式: 在安全模式下使用木马杀客,即可删除;同时在注册表里面删除所有相关的spoolsv.exe键值。本 机win2000高级服务器版本,使用以上方式杀毒后,使用正常。
评论