auto.bat内容如下:
@echo off
regedit /s start.reg
exit
start.reg的内容如下
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
"AppInit_DLLs"="c:\\InjectLoader.dll"
这个是飞飞外挂里那个只运行一次的.exe里的注册表程序。
貌似是要注入一个服务键InjectLoader.dll
怎么看都不是很安全啊。。。
后来我用DLL查看器查看了里面的DLL注入程序。
这是在百度百科里搜索到的。。
spooler.exe
spooler.exe 进程信息
进程名称: spooler.exe
详细名称: WIN32.RBOT Worm Module
具体描述: spooler.exe is a process associated with the WIN32.RBOT Worm.
能否关闭: 病毒进程,强烈建议关闭!
后台进程: 是
其他信息: 无
进程文件: spooler.exe or spooler
进程名称: WIN32.RBOT Worm Module
描述:
spooler.exe is a process belonging to WIN32.RBOT Worm. This process is a security risk and should be removed from your system.
Recommendation for spooler.exe:
DISABLE AND REMOVE spooler.exe IMMEDIATELY. This process is most likely a virus or trojan.
Author:
Part Of: WIN32.RBOT Worm
安全等级 (0-5): 4
间谍软件: No
病毒: Yes ( Remove spooler.exe )
木马: Yes ( Remove spooler.exe )
Memory Usage: N/A
System Process: No
Background Process: Yes
Uses Network: Yes
Hardware Related: No
Common spooler.exe Errors: N/A
一般情况下spooler.exe为灰鸽子生成的木马程序。(有人说是打印机的程序,打印机的是spoolsv.exe,不是spooler.exe。。spooler.exe是清醒变种病毒运行时复制的文件,通常出现在系统目录下,会向外发送大量的带毒邮件以阻塞网络。建议使用杀毒软件进行扫描。)看到有些用过的朋友,机器变的极其缓慢,而且杀毒软件和防火墙都无法更新。这都是中木马、病毒的表现。)所以大家还是小心为妙。。。
