大家好,阿林来为大家解答以上问题,进程spoolsv.exe,spoolsv exe专杀很多人还不知道,现在让我们一起来看看吧!
spoolsv.exe斯波尔沃:号工艺文件
名称:打印机后台打印程序服务
描述: Windows打印作业控制程序,使打印机准备就绪。
简介:后台打印程序服务用于管理缓冲池中的打印和传真作业。
Spoolsv.exe打印任务控制程序,通常是列表机打印前先加载准备。Spoolsv.exe,如果它经常增加,可能是由病毒感染引起的。
目前常见的是:
后门/Byshell(又名隐形贼、隐形黑仔、西门庆病毒)
危害程度3360。
受影响的系统: Windows 2000、Windows XP、Windows Server 2003
病毒危害:
1.生成病毒文件
2.将其插入到正常的系统文件中。
3.修改系统注册表
4.它可以被黑客远程控制
5.避免杀毒软件的查杀
简单的后门木马在攻击时会删除自己的程序,但会将自己的程序设置成可执行程序(如:exe)并与电脑的通用端口(TCP端口138)挂钩,监控电脑的信息、密码,甚至键盘操作。作为返回的信息,它会不时地驱动端口等待传入的命令。因为木马分不清哪个端口是正确的,所以负责输出的列表机也是它的驱动。
后门。Win32.Plutor
方法:破坏被感染PE文件的后门程序,病毒用VC编写。
病毒运行后,有以下行为3360
1.将病毒文件复制到%WINDIR%目录,文件名为;spoolsv . exe ';运行病毒文件。spoolsv . exe ';文件在运行后被释放。文件名为';mscheck . exe ';文件复制到%SYSDIR%目录。这个文件的主要功能是每次激活时运行;spoolsv . exe ';文件。如果正在运行的文件是感染了正常文件的病毒文件,病毒将恢复文件并运行它。
2.在注册表中修改以下键值3360
HKEY _本地_机器软件微软视窗安全版本运行
添加数据项3360’;“Microsoft脚本检查器”;数据是:’;MSCHECK.EXE/START ';
将注册表修改为“;MSCHECK。EXE ';文件系统将在每次激活时运行,以及';MSCHECK。EXE ';用于运行';spoolsv . exe ';文件,从而达到病毒自我激活的目的。
3.创建一个线程感染c盘下的PE文件,但文件路径包含';win nt ';';windows ';字符串文件未被感染。此外,该病毒还会枚举局域网中的共享目录,并试图感染这些目录下的文件。病毒感染文件的方法比较简单。正常文件的前0x 16000字节被病毒文件中的数据替换,原来的0x 16000字节数据被插入到被感染文件的尾部。
4.正在尝试与名称“”通信;admin ';邮件槽联系人,创建名称';客户端';的邮件槽用于接收其控制终端发送的命令,并为其控制终端提供以下远程控制服务:
或者显示隐藏指定窗口,截屏,控制CDROM,关闭计算器,注销,销毁硬盘数据。
本文到此结束,希望对大家有所帮助。