auto.bat内容如下:
@echo off
regedit /s start.reg
exit
start.reg的内容如下
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
"AppInit_DLLs"="c:\\InjectLoader.dll"
这个是外挂里那个只运行一次的.exe里的注册表程序。
貌似是要注入一个服务键InjectLoader.dll
怎么看都不是很安全啊。。。
后来我用DLL查看器查看了里面的DLL注入程序。
这是在百度百科里搜索到的。。
spooler.exe
spooler.exe 进程信息
进程名称: spooler.exe
详细名称: WIN32.RBOT Worm Module
具体描述: spooler.exe is a process associated with the WIN32.RBOT Worm.
能否关闭: 病毒进程,强烈建议关闭!
后台进程: 是
其他信息: 无
进程文件: spooler.exe or spooler
进程名称: WIN32.RBOT Worm Module
描述:
spooler.exe is a process belonging to WIN32.RBOT Worm. This process is a security risk and should be removed from your system.
Recommendation for spooler.exe:
DISABLE AND REMOVE spooler.exe IMMEDIATELY. This process is most likely a virus or trojan.
Author:
Part Of: WIN32.RBOT Worm
安全等级 (0-5): 4
间谍软件: No
病毒: Yes ( Remove spooler.exe )
木马: Yes ( Remove spooler.exe )
Memory Usage: N/A
System Process: No
Background Process: Yes
Uses Network: Yes
Hardware Related: No
Common spooler.exe Errors: N/A
一般情况下spooler.exe为灰鸽子生成的木马程序。(有人说是打印机的程序,打印机的是spoolsv.exe,不是spooler.exe。。spooler.exe是清醒变种病毒运行时复制的文件,通常出现在系统目录下,会向外发送大量的带毒邮件以阻塞网络。建议使用杀毒软件进行扫描。)看到有些用过的朋友,机器变的极其缓慢,而且杀毒软件和防火墙都无法更新。这都是中木马、病毒的表现。)所以大家还是小心为妙。。。
以下为解决方法:
首先进入系统服务,你会发现有个可疑服务Print Spool Handler (描述:Mapping the end point spool to the begin point)查看属性页,回发现该服务的可执行文件路径是%system32%\spooler.exe,没错,就是这个了,把这个服务停止,然后把其启动类型设为禁用。接着在启动项里把勾去掉。然后进入安全模式下删除这个文件。并在注册表内搜索删除之。。
[ 此贴被fengfeng66在2008-11-06 23:30重新编辑 ]
