随心芸芸 @ JPeanut(旧版)

搬迁至 http://www.17m.net.cn/

BlogJava 首页 新随笔 联系 聚合 管理
  43 Posts :: 0 Stories :: 54 Comments :: 0 Trackbacks

终于把垃圾清理掉了,草,就因为从天空下载下载了一个免费软件,结果给我装了一堆堆的流氓软件,差点被郁闷s了。
早上,打开电脑,发现可疑进程c:\winnt\system32\spoolsv\spoolsv.exe上网上一查才知道是中了木马,估计是广告木马把
症状:
1.杀毒软件经常查杀到lup.dll,as.dll等病毒
2.qq,ie,firefox等进程中都调用了%System%\msicn\msibm.dll
3.msconfig中的启动项中有%System%\spoolsv\spoolsv.exe -printer启动程序,删除后又自动生成
4.系统中发现一下文件和文件夹
%System%\wmpdrm.dll
%System%\1116\
%System%\msicn\msibm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\
%System%\spoolsv\spoolsv.exe
5.注册表中发现一下内容
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]
[HKEY_CLASSES_ROOT\TypeLib\{8B200623-3FC5-4493-8B49-DC2AD4830AF4}]
[HKEY_CLASSES_ROOT\Interface\{4A775183-9517-420E-9A13-D3DA47BB8A84}]

病毒运作方式:
该软件是用过spoolsv.exe启动的,通过msibm.dll每隔4秒重新生成所有文件和注册表内容

查杀方式:
1.到安全模式
2.到dos下运行以下命令:
del /s c:\windows\system32\spoolsv
del c:\winnt\system32\wmpdrm.dll
del c:\winnt\system32\msicn\msibm.dll
del c:\winnt\system32\msicn\ube.exe
del c:\winnt\system32\spoolsv\spoolsv.exe
del /s c:\winnt\system32\1116\
del /s c:\winnt\system32\msicn\plugins\
3.手动删除注册表的内容:
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]
[HKEY_CLASSES_ROOT\TypeLib\{8B200623-3FC5-4493-8B49-DC2AD4830AF4}]
[HKEY_CLASSES_ROOT\Interface\{4A775183-9517-420E-9A13-D3DA47BB8A84}]
4.到msconfig的启动项中,把c:\winnt\system32\spoolsv\spoolsv.exe进程前的勾去掉
5.回到系统就好了

诶,本来一直以为天空下载是国内数一数二的下载软件的好地方,这样的大网站会对病毒检查十分严密,看来也不过如此,但是也不能排除软

件作者自己把该病毒绑在软件上。听网上的朋友说,他们在华军软件下载也同样碰到该问题。以后还是小心为妙
posted on 2006-06-06 20:37 陈市明 阅读(940) 评论(0)  编辑  收藏 所属分类: 心情

只有注册用户登录后才能发表评论。


网站导航: