[分享]木马spoolsv删除

杰拉特 · 发表于 2006-8-9 21:50:18

第一种：
1、在安全模式下进入系统目录system32删除文件夹spoolsv和miscn以及1116
2、开始菜单运行regedit打开注册表编辑器，找到
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer" 删除该项
3、在注册表中搜索spoolsv文件夹（注意是文件夹不是文件），删除
4、在注册表编辑器中打开下面的分支并使用组合键ctrl+f进行查找如下内容：
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1
[HKEY_CLASSES_ROOT\TypeLib\{8B200623-3FC5-4493-8B49-DC2AD4830AF4}
[HKEY_CLASSES_ROOT\Interface\{4A775183-9517-420E-9A13-D3DA47BB8A84}找到以后进行删除
5、运行注册表清里软件清理注册表，比如超级兔子，优化大师，恶意软件清理助手等都可以，此步骤也可以不执行。

杀这个木马只能这么做或者，重装，它一开机就占100%的内存空间，只要你上线他就下载各种流氓插件啊，伪木马，酷桌等东东，中了他你直接能发现的就是开我的电脑需要10分钟才能有放映 [s:5]

心语 · 发表于 2006-8-9 22:43:37

中木马了再试试看灵不灵...

USERCHILD · 发表于 2006-8-9 22:59:07

原来这只是木马…… [s:5]

杰拉特 · 发表于 2006-8-9 23:26:25

是啊，不信你去系统目录system32里找到spoolsv和miscn以及1116，随便删他一个，很快这个文件又“复活”了

奈铃薇儿 · 发表于 2006-8-10 01:48:05

我这里还没有

霜之哀伤 · 发表于 2006-8-10 09:51:06

好像打印机的程序阿，典型的障眼法 [s:8]

最爱白色 · 发表于 2006-8-10 10:13:30

原来如此................... [s:5]
我想咋老开机死慢的|||||||||||
上次那个被我TF的酷桌面原来也是这么来的|||||||||

库伊 · 发表于 2006-8-10 12:10:03

什么不教教人家3系统文件= =|||
大家不要信

霜之哀伤 · 发表于 2006-8-10 12:13:43

引用第7楼PeterleeQ于2006-08-10 12:10发表的“”:
什么不教教人家3系统文件= =|||
大家不要信

这是个木马，谢谢
伪装成系统文件

这个网上查来的步骤，大家和他的对照一下
1。进入系统目录system32删除文件夹spoolsv和miscn以及1116
2。开始菜单运行regedit打开注册表编辑器，找到
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]
"spoolsv"="%System%\\spoolsv\\spoolsv.exe -printer" 删除该项
3。在注册表编辑器中打开下面的分支并使用组合键ctrl+f进行查找如下内容：
[HKEY_CLASSES_ROOT\\CLSID\\{0E674588-66B7-4E19-9D0E-2053B800F69F}
[HKEY_CLASSES_ROOT\\wmpdrm.cfsbho
[HKEY_CLASSES_ROOT\\wmpdrm.cfsbho.1
[HKEY_CLASSES_ROOT\\TypeLib\\{8B200623-3FC5-4493-8B49-DC2AD4830AF4}
[HKEY_CLASSES_ROOT\\Interface\\{4A775183-9517-420E-9A13-D3DA47BB8A84}
找到以后进行删除
4。运行注册表清里软件清理注册表，比如超级兔子，优化大师，恶意软件清理助手等都可以，此步骤也可以不执行

库伊 · 发表于 2006-8-10 12:57:15

露看个\\spoolsv\\ = =||||

		自动登录	找回密码
密码			立即注册

[分享]木马spoolsv删除

地图奨银赏