Wednesday, March 08, 2006

終結 SPOOLSV

結果今天整個下午

只做了一件正事

就是終結NB裡該死的常駐病毒

 

話說spoolsv

已經在小NB裡活了好長一段時間了

一直以來我都把它當"吃記憶體病毒"看待



每次開機就CPU滿載

Ctrl+Alt+Delete三次也就解決

其它效能還算正常

 

苟且幾個月

直到今天連印表機都連不上

就真的怒了…

 

=======================================

 

經過幾個小時的自立自強

終於搞懂spoolsv.exe並不是病毒檔

它是windows的列印任務控制程式

 

如果你也有spoolsv異常飆高的情況

根據過來人的經驗

分成以下幾種狀況處理:

 

1) 你不需要用這台電腦列印資料

  到 控制台> 系統管理工具> 服務> print spooler

  將它停用

 

2) 如果還是需要列印文件

  先結束spoolsv.exe的處理程序

  C:\WINDOWS\system32\spool\PRINTERS 把其中的文件都刪掉!

  然後到 開始> 執行 鍵入net start spooler

 

3) 如果印表機又可以用了以後

  速度又開始非常慢了

  很顯然你的電腦是中毒了…

 

  此時下載兩個小程式

  一個是windows釋出的修正程式

  一個是symantec的掃毒工具

 

★ KB896423:Windows XP 安全性更新

 

現在已經證實「列印多工緩衝處理器」(Print Spooler) 服務有一個安全性問題,攻擊者可能利用此問題侵入 Microsoft Windows 系統並取得該系統的控制權。您可以從 Microsoft 安裝此更新來保護您的電腦。安裝此項目後,您可能必須重新啟動電腦。

 

支援的作業系統: Windows XP Service Pack 1; Windows XP Service Pack 2

 

★ Symantec W32.Lovgate@mm Fix Tool 1.1.7

 

移除工具將:

 

1. 確認電腦是否被任何 W32.HLLW.Lovgate@mm的變種所感染。

2. 找出並刪除所有包含病蟲的檔案。

3. 由HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run登錄鍵中找出並刪除所有下列值:

syshelp

WinGate initialize

Module Call initialize

4. 刪除下列登錄鍵:

HKEY_LOCAL_MACHINE\Software\KittyXP.sql\Install

HKEY_LOCAL_MACHINE\Software\KittyXP.sql

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dll_reg

HKEY_CLASSES_ROOT\txtfile\shell\open\command

注意: 此病蟲會覆寫登錄鍵之前所包含的用戶定義數值。這麼一來,一但電腦被感染後便無法將這些鍵所包含的數值救回。

5. 找出登錄鍵:

HKEY_LOCAL_MACHINE\Software\classes\txtfile\shell\open\command

並改變數值:

winrpc.exe %1

成為:

notepad.exe %1

6. 停止並刪除下列服務:

Window Remote Service (Window 遠端服務)

Microsoft NetWork Services FireWall (Microsoft 網路服務防火牆)

Windows Management Extension

7. 在區域安全支配服務列(Local Security Authority Service (lsass.exe))下找出正在執行的病毒執行緒 , 此執行緒是病蟲感染系統時所使用的合法 Windows 程式,移除工具將停止此執行緒執行。

8. 移除所有病蟲安裝在系統上的檔案。

 

No comments: