飞飞即使是昨天54总管发的那个~任何杀毒软件也检测不出毒来!!他运做程序的第一个步骤就是跳过杀毒软件~然后屏蔽扫描的!!
刚看了楼下一朋友的回复~spoolsv.exe这个DD家里没装过打印机的~或者网吧的~用了飞飞同样有这个进程!!!难道网吧还给你装这个正常打印机程序进程用?
没说清楚被 鄙 视 了!
正规的打印机spoolsv.exe运作后~不会出现CPU100%的现象~而飞飞加载后的spoolsv.exe进程是一个伪装程序~并非其他常规软件!他会自动加载影藏其他程序比如spooler.exe!!运行飞飞的机器后门绝对被打开!懂电脑的人应该知道后门的重要性~自己去研究了!其他不多说什么了
!
spoolsv.exe
常被病毒冒充的进程名有:spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“Print Spooler”所对应的可执行程序,其作用是管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,计算机上的打印将不可用,同时spoolsv.exe进程也会从计算机上消失。如果你不存在打印机设备,那么就把这项服务关闭吧,可以节省系统资源。停止并关闭服务后,如果系统中还存在spoolsv.exe进程,这就一定是病毒伪装的了。
spooler.exe is a process belonging to WIN32.RBOT Worm. This process is a security risk and should be removed from your system.
另一种分析:“清醒变种B”病毒运行时会将自己复制三份到系统目录下,其中一个病毒名为SPOOLER.EXE,病毒还会在注册表中建立一个名为Propagation的病毒键值进行自启动,病毒运行后会隐藏内存,搜索二十七种类型的文件,在其中寻找有效的邮件地址,然后向外发送大量的带毒邮件以阻塞网络。简单从理论的说来飞飞有远程监控及图片“打印”功能!(本人从飞飞后门及该程序运行活动推测)
也就是跟木马运作程序相似。。。。有些木马能达到每秒/10次以上的截图的!
不 信 的~喜 欢 鄙 视 的~请便!
信不信无所谓~~大家就当了解了解吧!
不信自己去54总管帖子下个昨天的飞飞看看!!杀毒软件同样无毒!!!DC你点亮的确是失误了!!不应该啊!!!目前飞飞有毒无毒~很简单的看法就是CTRL+AIT+DEL~选进程~看看有没spoolsv.exe进程就知道了!
哎~算了!我把我54的帖子转过来给你们看看就知道了!
声明:本人也不敢肯定飞飞就一定盗号!一晚上飞飞搞得满城风雨!也许是太久没挂的原因吧!首先不管飞飞有无木马病毒之说!也见不少人说被盗了~还有人怪总管~客观的说下!不管你被盗是真是假~总管好心发给大家用!的确也是能用的!你本可以选择不用!但是你用了!这怪谁呢?这里我对总管是表达敬意的!他找到!发布!而且没有设置高权限!为的是大众!对于TX和谐~其实更多是一些为金钱所迷惑的人卖挂造成的!不管真假被盗的~至少本人没被盗~为了验证是否有盗号问题~本人特地向朋友借了1000W的YXB放号里~没有改密码!用了半小时挂!下线等到现在!又上去看了!还在!现在离我开挂也有快2个多小时了吧!客观的说下!我将继续验证!明天睡觉起来看看是否被盗!反正朋友也不打算玩DNF了!那也无所谓了!当个实验吧!
好了下面说下spoolsv.exe这个东西!很多朋友用了飞飞之后!说是CUP运转达到100%~本人使用后没有出现类似情况!并且还是在双开的情况下!
借用一朋友的分析
auto.bat内容如下:
@echo off
regedit /s start.reg
exit
start.reg的内容如下
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
"AppInit_DLLs"="c:\\InjectLoader.dll"
这个是飞飞外挂里那个只运行一次的.exe里的注册表程序。
貌似是要注入一个服务键InjectLoader.dll
怎么看都不是很安全啊。。。
后来我用DLL查看器查看了里面的DLL注入程序。
这是在百度百科里搜索到的。。
spooler.exe
spooler.exe 进程信息
进程名称: spooler.exe
详细名称: WIN32.RBOT Worm Module
具体描述: spooler.exe is a process associated with the WIN32.RBOT Worm.
能否关闭: 病毒进程,强烈建议关闭!
后台进程: 是
其他信息: 无
进程文件: spooler.exe or spooler
进程名称: WIN32.RBOT Worm Module
描述:
spooler.exe is a process belonging to WIN32.RBOT Worm. This process is a security risk and should be removed from your system.
Recommendation for spooler.exe:
DISABLE AND REMOVE spooler.exe IMMEDIATELY. This process is most likely a virus or trojan.
Author:
Part Of: WIN32.RBOT Worm
安全等级 (0-5): 4
间谍软件: No
病毒: Yes ( Remove spooler.exe )
木马: Yes ( Remove spooler.exe )
Memory Usage: N/A
System Process: No
Background Process: Yes
Uses Network: Yes
Hardware Related: No
Common spooler.exe Errors: N/A
一般情况下spooler.exe为灰鸽子生成的木马程序。(有人说是打印机的程序,打印机的是spoolsv.exe,不是spooler.exe。。spooler.exe是清醒变种病毒运行时复制的文件,通常出现在系统目录下,会向外发送大量的带毒邮件以阻塞网络。建议使用杀毒软件进行扫描。)看到有些用过的朋友,机器变的极其缓慢,而且杀毒软件和防火墙都无法更新。这都是中木马、病毒的表现。)所以大家还是小心为妙。。。
担心的朋友可以简单的做如下处理!
简单的方法:首先CTRL+AIT+DEL找到spoolsv.exe进程!点右键:打开所在目录!找到后结束该进程!
然后选中找到该程序!(一般存在位置为C:\WINDOWS\system32)将其永久删除!或者可用某些软件文件粉碎功能!有的XP版本会弹出系统对话匡显示该程序受保护!(放心的删不影响任何程序运行~当然除了飞飞)
然后把有关的下载的飞飞的东西全部删除!
到DNF根目录并非子目录~点任意文件!右键!全选(start ScreenShot SoundPacks Music ImagePacks2 这5个文件除外)其余按SHIFT+DEL删除!如图:
然后进入start文件点DNFchina.exe!运行程序!将会自动更新游戏!不放心的更新下杀毒软件全盘杀毒(然后睡觉去)
然后重起电脑!修改游戏密码!
熟悉电脑的朋友请参考如下方法:
进入系统服务,你会发现有个可疑服务Print Spool Handler (描述:Mapping the end point spool to the begin point)查看属性页,回发现该服务的可执行文件路径是%system32%\spooler.exe,没错,就是这个了,把这个服务停止,然后把其启动类型设为禁用。接着在启动项里把勾去掉。然后进入安全模式下删除这个文件。并在注册表内搜索删除之。
100%保证安全的方法是花点时间重做系统好了!!
冒牌提示:基本都是成年人了!都有分辨能力!用不用?自己想!出意外!怪自己!!发挂的人无罪!
诅咒卖挂~发假挂帖的!
[ 此贴被tang773015在2008-10-22 17:28重新编辑 ]
