PCDVD數位科技討論區 - 瀏覽單個文章 - 電腦三不五時會自動蹦出大陸的網頁...怎麼辦？

我今天也重了, 真機車的木馬, 卡巴斯基都殺不掉

以下是修復方法:

----------------------------------

如何刪除spoolsv.exe病毒

最近論壇上發現很多朋友中了spoolsv.exe 病毒,
這個木馬刪起來很麻煩，關聯很多，進程好像不止一個，或者是跟系統服務相關聯，不進入安全模式根本沒法中止進程或刪除註冊表鍵值。中止或刪掉後馬上就會重建。可能是因為無法同時中止兩個進程，所以一個被中止後，另一個馬上監測到並重建，非常討厭。
網上有介紹一種最簡單的辦法，在運行視窗裏輸入C:\windows\system32\spoolsv\spoolsv.exe -uninst 讓它啟動卸載程式自動卸掉。不過看著病毒這麼頑固，實在不敢相信它會那麼老實自己走乾淨。
刪除過程大致如下：

1、進安全模式刪掉啟動項，最好同時中止spoolsv這項系統服務載入：右擊“我的電腦”－“服務設置”，找到spoolsv後，右擊禁止其載入。
如果不知道註冊表中的啟動項位置，只要在“運行”中輸入regedit打開註冊表編輯器後，點“編輯”功能表下的查找，輸入spoolsv找一下就行，只要左側視窗顯示打開了Run或RunOnce目錄，右擊該鍵值刪掉就行，不止一處，刪掉一個再查找下一個，全刪掉為止。
如果誤刪了某些註冊表鍵值而導致重新啟動後有些功能失效，可以再重啟動一次，按住F5或F8進入啟動選擇介面，選最下面的一項“按最後一次成功啟動時的配置啟動”，就可以恢復。
2、刪掉病毒主程序。這步最重要，因為windows\system32\spoolsv\spoolsv.exe並不是罪魁禍首，只有把主文件找到刪除才可以讓它不再運行。所有病毒檔都在windows\system32下，先刪掉三個文件夾1116，msicn和spoolsv，再找到 wmpdrm.dll刪掉。如果還怕沒刪乾淨，可以在刪之前用“屬性”看看windows\system32\spoolsv\spoolsv.exe是什麼時候建立的，用查找命令把這一天建立在windows\system32下的文件和文件夾都查出來，有問題的就刪掉，怕出問題就先放到回收站，重啟正常再徹底刪除。
3、金山可以自動監測到該病毒建立在C:\Documents and Settings\你的用戶名\Local settings\Temporary Internet Files裏的很多*.scr病毒檔，如果沒有裝殺毒軟體，就手動清空這個檔夾。都是上網的暫存檔案，沒用處，多了還占地方。
4、打開Internet Explorer，在“工具”功能表的“管理載入項”裏禁止wmpdrm插件運行。其他看著不順眼的也可以刪，反正沒壞處，只會讓流覽器啟動更快。不過用得著的flashget或其他工具條等要按需留下。看看插件簡介裏的公司名稱之類，可以確定它的大體用處。
手刃病毒spoolsv.exe
下面是關於病毒的一些資料：
啟動項 c:/windows/system32/spoolsv/spoolsv.exe -printer
cfs2…… 相關檔、目錄：
%System%\wmpdrm.dll
%System%\1116\
%System%\msicn\msibm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\
%System%\spoolsv\spoolsv.exe
%System%\spoolsv\spoolsv.exe，有一個啟動項：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer"
運行後會調用%System%\msicn\msibm.dll，創建%System%\1116\目錄，備份用。
%System%\1116\目錄是備份目錄，裏面是%System%\wmpdrm.dll、%System%\msicn\和%System%\spoolsv\spoolsv.exe的備份。
%System%\msicn\msibm.dll，會插入多個指定進程，大約每4秒鐘監視恢復檔（從%System%\1116\目錄）和註冊表資訊（啟動項、BHO）：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}\InprocServer32]
@="%System%\wmpdrm.dll"
注："spoolsv"的資料不會被監視，所以修改它的資料也不會被恢復，只有刪除"spoolsv"才會被恢復。
還可能會從遠端伺服器下載檔：
http: //liveupdate.ourxin.com/secp.exe
secp.exe是個安裝程式，安裝以下檔：
%System%\wmpdrm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\（目錄裏4個dll檔）
%System%\wmpdrm.dll是一個BHO，%System%\msicn\ube.exe像是卸載程式。
另外，在%System%\和%System%\msicn\目錄裏還有有一些從遠程下載來的cpz、vxd文件，比如：
ava.vxd
guid.vxd
plgset.vxd
safep.vxd
%System%\wmpdrm.dll作為BHO被調用後，會嘗試調用%System%\spoolsv\spoolsv.exe和%System%\msicn\msibm.dll。
注：如果%System%\spoolsv\spoolsv.exe沒有被運行或被調用，也就不會備份還原，好像它就是用來備份的。
另外……
在“開始功能表”>>“程式”裏可能會有一項“NavAngel”，裏面有個快捷方式NavAngel.lnk，指向：
%System%\spoolsv\spoolsv.exe -ctrlfun:4,3
“添加/刪除程式”裏有一項“NavAngel”，對應命令是：
%System%\spoolsv\spoolsv.exe -ctrlfun:4,2
還有一項“WinDirected 2.0”，對應命令是：
%System%\spoolsv\spoolsv.exe -uninst
還可能會有mscache\目錄，從名字看像是存放臨時緩存檔的。
BHO相關註冊表資訊：
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]
[HKEY_CLASSES_ROOT\TypeLib\{8B200623-3FC5-4493-8B49-DC2AD4830AF4}]
[HKEY_CLASSES_ROOT\Interface\{4A775183-9517-420E-9A13-D3DA47BB8A84}]. )
spoolsv.exe 和windows的列印服務spoolsv.exe很類似，不要被它迷惑了，列印服務spoolsv.exe的目錄是系統檔夾（以XP為例） system32\spoolsv.exe而此病毒的路徑為system32\spoolsv\sploosv.exe
根據病毒資訊提供偶得查殺方法:
1。進入系統目錄system32刪除檔夾spoolsv和miscn以及1116
2。開始功能表運行regedit打開註冊表編輯器，找到
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer" 刪除該項
3。在註冊表編輯器中打開下面的分支並使用組合鍵ctrl+f進行查找如下內容：
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1
[HKEY_CLASSES_ROOT\TypeLib\{8B200623-3FC5-4493-8B49-DC2AD4830AF4}
[HKEY_CLASSES_ROOT\Interface\{4A775183-9517-420E-9A13-D3DA47BB8A84}
找到以後進行刪除