清除自动关闭网页的spoo1sv.exe、winlib .dll病毒-Storm

　　现象：求助者只说了打开网页会自动关闭。

　　检查其SREng日志，发现病毒不少，尤其那个winlib .dll，注意“winlib”和“.dll”之间有一个空格，还有一个就是spoo1sv.exe，冒充打印程序spoolsv.exe。

1.删除以下文件：

C:\Program Files\Common Files\CPUSH\cpush.dll
c:\windows\Downloaded Program Files\mjo.dll
c:\windows\Downloaded Program Files\c21.dll
c:\program files\microsoft office\system\kzdh@webbrowser-lyrics_3103.exe
c:\documents and settings\all users\application data\microsoft\office\system\sysloader.exe
c:\Documents and Settings\z\local settings\temp\~af06201\upgrade\atidgllk.sys
c:\windows\system32a2.sys
c:\windows\system32\38a1.dll
c:\windows\system32\flym.dll
c:\windows\system32\spoo1sv.exe
c:\windows\system32\winlib .dll
c:\windows\system32\msplrct.dll
c:\windows\system32\231.dll
c:\windows\system32\8a9c1.exe
c:\windows\system32\drivers\8bmf.sys
c:\windows\system32\drivers\acpidisk.sys
c:\windows\system32\drivers\ys519pkzl8.sys
c:\windows\system32\drivers\tqfhk.sys
c:\windows\system32\drivers\mxdispdr.sys

c:\windows\system32\npkycryp.sys
c:\windows\system32\npkcrypt.sys
这俩没在QQ目录下，也许不是病毒，是旧版QQ的键盘保护驱动，不过反正新版QQ也不用了，直接删除了吧

2.删除重启后使用SREng修复下面各项：

    启动项目－－注册表之如下项删除：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <mjo><rundll32 "C:\WINDOWS\Downlo~1\mjo.dll",start> [Microsoft Corporation]
    <c21><rundll32 "C:\WINDOWS\Downlo~1\c21.dll",Run> [Microsoft Corporation]

    启动项目－－服务－－ Win32服务应用程序之如下项禁用：
[ms_2fax / ms_2fax]    <C:\WINDOWS\system32\8a9c1.exe>
[Windows Managemener PrintSystem / spoo1sv]    <spoo1sv.exe>
[Windows Advanced Manager / wamer]    <"C:\Program Files\Microsoft Office\SYSTEM\kzdh@webbrowser-lyrics_3103.exe">
[System Event loader / sysloader]    <"C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\sysloader.exe">

    启动项目－－服务－－驱动程序之如下项禁用：
[8bm / 8bmf]    <\SystemRoot\System32\DRIVERS\8bmf.sys>
[acpidisk / acpidisk]    <\??\C:\WINDOWS\system32\drivers\acpidisk.sys>
[ys519pkzl / ys519pkzl8]    <\SystemRoot\System32\DRIVERS\ys519pkzl8.sys>
[tqfhk / tqfhk]    <\??\C:\WINDOWS\system32\drivers\tqfhk.sys>
[R2A / R2A]    <\??\C:\WINDOWS\system32a2.sys>
[npkycryp / npkycryp]    <\??\C:\WINDOWS\system32\npkycryp.sys>(注，解释如上）
[npkcrypt / npkcrypt]    <\??\C:\WINDOWS\system32\npkcrypt.sys>(注，解释如上）
[mxdispdr / mxdispdr]    <\??\C:\WINDOWS\system32\drivers\mxdispdr.sys>
[atidgllk / atidgllk]    <\??\C:\DOCUME~1\z\LOCALS~1\Temp\~Af06201\Upgrade\atidgllk.sys>

    系统修复－－　浏览器加载项之如下项删除：
[Invoke Class]    <C:\WINDOWS\system32\38a1.dll>
[Invoke Class]    <C:\WINDOWS\system32\38a1.dll>
[BHO Class]    <C:\WINDOWS\system32\flym.dll>
[CAdLogic Object]   <C:\Program Files\Common Files\CPUSH\cpush.dll, >
[CAdLogic Object]   <C:\Program Files\Common Files\CPUSH\cpush.dll, >

>> 除非说明均为原创，如转载请注明来源于http://www.stormcn.cn/post/45.html

导航

2008-12-25 11:5:23

清除自动关闭网页的spoo1sv.exe、winlib .dll病毒

Tags: 病毒木马

作者:流风33 | 分类:
病毒救援
| 评论:0 | 浏览:

最新发表

最新评论及回复

本站出现的所有广告均不代表本人及本站观点立场 | 关于我 | 网站地图 | 联系邮箱 | 返回顶部
Copyright 2008-2020 www.stormcn.cn. All Rights Reserved. Powered By Z-Blog.
闽公网安备 35010202000133号

导航