〓〓〓〓冷眼看飞飞（飞飞分析以及使用飞飞以后不能卸载注册表的解决办法）〓〓〓〓_DNF地下城与勇士

kevingaokui

ZxID：1909339

等级: 少将

落、￣寞

举报只看楼主使用道具楼主发表于: 2008-10-22 0

本来说过不再发表关于外G的帖子的，但是实在看不下去了，出来说一下，让大家知道情况

关于飞飞G，昨天就接触了，飞飞用是可以用，但是有些是加了马的，很邪恶
就算有些是没有马的，也是一用就封号

总之就是1.有病毒 2.封号率极高。
用过UPS的都知道2个挂的相似之处。

在http://www.virustotal.com/zh-cn/上面扫描
11.11%的杀软报告发现病毒
结果: 4/36 (11.11%)

你看下你进程项有没有多出一个spoolsv.exe（后门）
有的话恭喜你,中招了
spoolsv.exe是一种延缓打印木马程序，它使计算机CPU使用率达到100%，从而使风扇
保持高速嘈杂运转。spoolsv
.exe也有可能是Backdoor.Ciadoor.B木马。该木马允许攻击者访问你的计算机，窃取
密码和个人数据。

文件名称：spoolsv.exe
文件大小：46,592 bytes
AV命名：WORM_AUTORUN.ABI
文件MD5：0BF0BDC0A42A5E39637E9A5E5A0F886D
病毒类型：后门
主要行为：
1、释放文件：
c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe
spoolsv.exe
2、添加启动项：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\Installed Components\{88ABC5C0-4FCB-11BB-AAX5-81CX1C635612}]
StubPath = "c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe"
3、连接irc服务器：124.217.248.1**
接收远程控制。
4、可能下载其他木马。
运行CUP直冲100%，在运行里输入msconfig 然后回车，在启动项里看到spoolsv.exe启动项，恭喜，你中招了（启动也不一定会有）想变肉鸡您继续！

如何清除
1、重新启动计算机，进入安全模式（启动的时候按F8键），进入文件夹：C:/windows/system32/，找到spoolsv.exe，其他地方用电脑的搜索功能搜索到。

2、开始-运行输入regedit，进入注册表。编辑-查找输入spoolsv，将搜索到的文件全部删除。

3、重新启动计算机，进入正常模式后，看到计算机的CPU还是处于很高状态。于是看进程里还有一个inter，结束后恢复正常。

好吧,我承认是我不懂电脑
判别自己是否中毒
点开始－运行，输入msconfig，回车，打开实用配置程序，选择“启动”，感染
以后会在启动项里面发现运行Spoolsv.exe的启动项.
如果没的话那就是正常的打印机程序
只是提醒大家而已

使用飞飞以后不能卸载注册表的解决办法

1：开始一运行：Regedit.exe

2：HKEY_LOCAL_MACHINE★SOFTWARE★Microsoft★Windows NT★CurrentVersion★Windows 这个是注册文件所在注册表的位置大家可以看看很简单就能找到（找不到的偶也没办法了 ★代表斜线.就是分开的意思怕大家不懂！）

3：找到Windows这个文件以后把里面的文件都删掉（第一个默认的不要删！）

OK了可以进去了以后想用就用想删就删
解决了的朋友顶下帖子就可以了让不会的朋友都看到解决了!

如果大家做第二步觉得麻烦迷糊的话可以用注册表的查找功能查找：AppInit_DLLs 这个文件时间会稍微长一些但是省力气！
快捷查找命令是CTRL+F 注意：查找到的第一个不是在编辑里点下查找下一个就是了删掉就OK了

[ 此贴被kevingaokui在2008-10-22 18:27重新编辑 ]

打赏收藏新鲜事

给我一个外挂，我能撬起TX总部

回复引用

〓〓〓〓冷眼看飞飞（飞飞分析以及使用飞飞以后不能卸载注册表的解决办法）〓〓〓〓

帖子

〓〓〓〓冷眼看飞飞（飞飞分析以及使用飞飞以后不能卸载注册表的解决办法）〓〓〓〓

相关主题

楼主留言：