msicn\msibm.dll\spoolsv.exe一些信息
来源:综艺读书论坛 作者: 出处:综艺读书 2006-09-02
msicn\msibm.dll\spoolsv.exe清除方法
这个垃圾软件利用将msicn\msibm.dll插入多个进程的方法对系统进行监控,在system32下创建如下该死的东西:
wmpdrm.dll
1116\
msicn\msibm.dll
msicn\ube.exe
msicn\plugins\
|
|
|||
注册表加入如下垃圾:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer"
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}\InprocServer32]
@="%System%\wmpdrm.dll"
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]
[HKEY_CLASSES_ROOT\TypeLib\{8B200623-3FC5-4493-8B49-DC2AD4830AF4}]
[HKEY_CLASSES_ROOT\Interface\{4A775183-9517-420E-9A13-D3DA47BB8A84}]
然后每隔4秒左右对以上东西进行监控,前后互相照应,让你无从下手
启动项 c:/windows/system32/spoolsv/spoolsv.exe -printer
cfs2…… 相关文件、目录:
%System%\wmpdrm.dll
%System%\1116\
%System%\msicn\msibm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\
%System%\spoolsv\spoolsv.exe
%System%\spoolsv\spoolsv.exe,有一个启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer"
运行后会调用%System%\msicn\msibm.dll,创建%System%\1116\目录,备份用。
%System%\1116\目录是备份目录,里面是%System%\wmpdrm.dll、%System%\msicn\和%System%\spoolsv\spoolsv.exe的备份。
%System%\msicn\msibm.dll,会插入多个指定进程,大约每4秒钟监视恢复文件(从%System%\1116\目录)和注册表信息(启动项、BHO):
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}\InprocServer32]
@="%System%\wmpdrm.dll"
注:"spoolsv"的数据不会被监视,所以修改它的数据也不会被恢复,只有删除"spoolsv"才会被恢复。
还可能会从远程服务器下载文件:
[url]http://liveupdate.ourxin.com/secp.exe[/url]
secp.exe是个安装程序,安装以下文件:
%System%\wmpdrm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\(目录里4个dll文件)
%System%\wmpdrm.dll是一个BHO,%System%\msicn\ube.exe像是卸载程序。
另外,在%System%\和%System%\msicn\目录里还有有一些从远程下载来的cpz、vxd文件,比如:
ava.vxd
guid.vxd
plgset.vxd
safep.vxd
%System%\wmpdrm.dll作为BHO被调用后,会尝试调用%System%\spoolsv\spoolsv.exe和%System%\msicn\msibm.dll。
注:如果%System%\spoolsv\spoolsv.exe没有被运行或被调用,也就不会备份还原,好像它就是用来备份的。
另外……
在“开始菜单”>>“程序”里 可能 会有一项“NavAngel”,里面有个快捷方式NavAngel.lnk,指向:
%System%\spoolsv\spoolsv.exe -ctrlfun:4,3
“添加/删除程序”里有一项“NavAngel”,对应命令是:
%System%\spoolsv\spoolsv.exe -ctrlfun:4,2
还有一项“WinDirected 2.0”,对应命令是:
%System%\spoolsv\spoolsv.exe -uninst
还可能会有mscache\目录,从名字看像是存放临时缓存文件的。
BHO相关注册表信息:
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]
[HKEY_CLASSES_ROOT\TypeLib\{8B200623-3FC5-4493-8B49-DC2AD4830AF4}]
[HKEY_CLASSES_ROOT\Interface\{4A775183-9517-420E-9A13-D3DA47BB8A84}]进入讨论组讨论。
相关图文阅读
频道图文推荐
相关专题
·密电风云 DLL木马进程内幕大揭密 (0次浏览)
·自己动手删除各种病毒遗留文件 (0次浏览)
·“随机8位数字”病毒手动清除办法及建议 (0次浏览)
·清除使用映象劫持技术的病毒 (0次浏览)
·如何有效防范看不见的网页病毒? (0次浏览)
·经典回忆录:反病毒专家眼里的MSN病毒 (0次浏览)
·映象劫持技术病毒有泛滥趋势请提早预防 (0次浏览)
·完美世界里的窃贼伪装成系统进程盗账号 (0次浏览)
·2345说网解络之“MSN相册”病毒爆发 (0次浏览)
·杀毒软件遭病毒绑架 500变种集体攻击系统 (0次浏览)
·自己动手删除各种病毒遗留文件 (0次浏览)
·“随机8位数字”病毒手动清除办法及建议 (0次浏览)
·清除使用映象劫持技术的病毒 (0次浏览)
·如何有效防范看不见的网页病毒? (0次浏览)
·经典回忆录:反病毒专家眼里的MSN病毒 (0次浏览)
·映象劫持技术病毒有泛滥趋势请提早预防 (0次浏览)
·完美世界里的窃贼伪装成系统进程盗账号 (0次浏览)
·2345说网解络之“MSN相册”病毒爆发 (0次浏览)
·杀毒软件遭病毒绑架 500变种集体攻击系统 (0次浏览)
·通过MP3传播 八万用户遭“帕虫”病毒侵害 (66次浏览)
·“德夫下载器”修改系统时间动激活病毒 (46次浏览)
·粉红小猫咪 不是宠物是病毒! (19次浏览)
·巧用Hosts文件防止QQ病毒 (19次浏览)
·网络炒股小心网银间谍变种FMC自动窃取密码 (15次浏览)
·2345说网解络之诺顿误杀详解 (15次浏览)
·MSN机器人余波未息 QQ大盗又来捣乱 (14次浏览)
·“MSN相片”手工清除方法 (13次浏览)
·MSN性感相册蠕虫病毒爆发 photos.zip文件别接 (13次浏览)
·警惕带有欺骗性质的新“QQ尾巴”病毒 (8次浏览)
·“德夫下载器”修改系统时间动激活病毒 (46次浏览)
·粉红小猫咪 不是宠物是病毒! (19次浏览)
·巧用Hosts文件防止QQ病毒 (19次浏览)
·网络炒股小心网银间谍变种FMC自动窃取密码 (15次浏览)
·2345说网解络之诺顿误杀详解 (15次浏览)
·MSN机器人余波未息 QQ大盗又来捣乱 (14次浏览)
·“MSN相片”手工清除方法 (13次浏览)
·MSN性感相册蠕虫病毒爆发 photos.zip文件别接 (13次浏览)
·警惕带有欺骗性质的新“QQ尾巴”病毒 (8次浏览)
·巧妙清除并防范局域网中的ARP病毒 (1319次浏览)
·巧妙从进程中判断出病毒和木马 (332次浏览)
·现出原形 如何清除隐藏的病毒文件 (268次浏览)
·用病毒木马进程速查表检查系统 (231次浏览)
·stup.exe木马病毒的手动解决办法 (190次浏览)
·不怕病毒猖獗 如何清除和防范网页病毒 (121次浏览)
·破解时空倒转20年的病毒 (115次浏览)
·电脑病毒特别“偏爱”的六类软件 (93次浏览)
·用户谈:杀毒软件的实时监控与内存杀毒 (79次浏览)
·驱除毒源双击无法打开驱动器的杀毒方法 (72次浏览)
·巧妙从进程中判断出病毒和木马 (332次浏览)
·现出原形 如何清除隐藏的病毒文件 (268次浏览)
·用病毒木马进程速查表检查系统 (231次浏览)
·stup.exe木马病毒的手动解决办法 (190次浏览)
·不怕病毒猖獗 如何清除和防范网页病毒 (121次浏览)
·破解时空倒转20年的病毒 (115次浏览)
·电脑病毒特别“偏爱”的六类软件 (93次浏览)
·用户谈:杀毒软件的实时监控与内存杀毒 (79次浏览)
·驱除毒源双击无法打开驱动器的杀毒方法 (72次浏览)
最新技术文档
·反病毒基础技巧 学习从系统中删除病毒 06-27
·经典方案:简单五步骤预防AV终结者病毒 06-25
·详尽了解找出防范IFEO映像劫持病毒方法 06-22
·打造火眼金星 谈谈如何识别驱动木马 06-22
·“QQ大盗”注入 QQ 进程记录账号和密码 06-21
·追本溯源揭秘“AV终结者”病毒的生态链 06-20
·2345说网解络之AV终结者全面解读 06-20
·“AV终结者”融合最流行病毒技术于一身 06-20
·当今病毒和木马到底有没有技术含量 06-20
·寄生手机中破坏系统 手机病毒大揭秘 06-20
·经典方案:简单五步骤预防AV终结者病毒 06-25
·详尽了解找出防范IFEO映像劫持病毒方法 06-22
·打造火眼金星 谈谈如何识别驱动木马 06-22
·“QQ大盗”注入 QQ 进程记录账号和密码 06-21
·追本溯源揭秘“AV终结者”病毒的生态链 06-20
·2345说网解络之AV终结者全面解读 06-20
·“AV终结者”融合最流行病毒技术于一身 06-20
·当今病毒和木马到底有没有技术含量 06-20
·寄生手机中破坏系统 手机病毒大揭秘 06-20
站内各频道最新更新文档
站内最新制作专题
|
|||
| ·ACDSEE专题教程-下载使用 ·迅雷专题教程-下载使用 ·Windows XP频道 ·Windows Vista频道 ·Windows 2000频道 ·win2003频道 ·Freebsd频道 ·Oracle频道 |
·Linux频道 ·Windows频道 ·邮件服务器专题 ·协议大全 ·数据恢复指南教程 ·FreeBSD使用教程 ·Linux数据库宝典 ·Linux基础知识 |
||
热门关键字导读
站内频道文章精选
 新闻资讯 |
电脑技巧 |
| · 秘密:Vista隐蔽的动态屏保 · 腾讯开发新电子宠物--QQ熊 · 惠普否认2999元PC有价无货 |
· 驱逐Win系统“流氓”文件 · WinXP中获取未使用的IP地址 · 尝试format C:格式化硬盘? |
| 操作系统 |
常用软件 |
| · 在DOS下恢复回收站中的文件 · 拯救WinXP崩溃的救命稻草 · Linux系统中超级权限的应用 |
· 搜狗PK谷歌:谁能代言拼... · 昨日重现,一键GHOST轻松.. · 实现Web迅雷在空闲时杀毒 |
| 桌面开发 |
网络编程 |
| · AVIFile函数制做AVI文件 · VC中链接动态链接库的方法 · 熊猫烧香核心源码(Delphi) |
· DateDiff函数祥解 · JavaScript去除空格的三种 · js效果 图片加载进度实时.. |
| 数据库 |
图像处理 |
| · SQL Server数据库优化方案 · Oracle的初学者入门心得 · JSP连接Mysql数据库 |
· Photoshop为美女做艺术处理 · 用Freehand创建发光字特效 · 设计自己的个性QQ动态表情 |
百度推荐,商机无限
搜索您感兴趣的内容