神马品牌网eva angelina在线:WinAppService.exe及SPOOLSV.exe
来源:百度文库 编辑:神马品牌网 时间:2024/04/26 21:34:52
今天本想下载一个“REAL文件格式转换”的软件,不慎中了一个木马,分析如下:
1、注册NT服务 WinService ,类型:自动。关联文件:%system%\WinAppService.exe
注册表位置:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_WINSERVICE]
"NextInstance"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_WINSERVICE\0000]
"Service"="WinService"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="WinService"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_WINSERVICE\0000\Control]
"*NewlyCreated*"=dword:00000000
说明:(1)不能直接删除。(2)右键点 LEGACY_WINSERVICE,“权限”,勾选“完全控制”,确定。再点它即可删除。
2、添加自动启动项目
位置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="F:\\WINDOWS\\system32\\spoolsv\\spoolsv.exe -printer"HKLU\Software\Microsoft\Wspoolsv C:\WINDOWS\system32\spoolsv\spoolsv.exe -printer
"CdnCtr"="F:\Program Files\CNNIC\Cdn\cdnup.exe"
3、删除文件:
(1)F:\WINDOWS\system32\spoolsv\spoolsv.exe “广州傲讯浏览器辅助工具”靠!!
(2)F:\Program Files\CNNIC\Cdn\cdnup.exe
(3)F:\WINDOWS\system32\WinAppService.exe
TMQD。。鄙视这些垃圾网站,同时也再次提醒大家不要随便到不知名的网站上去下载软件,这些都喜欢挂木马。
我是引用一位达人的网站上面的操作 我本人操作和这个还不一样,欢迎交流 他的网站http://www.blogcn.com.cn/user1/525/archives/2006/35912.shtml
1、注册NT服务 WinService ,类型:自动。关联文件:%system%\WinAppService.exe
注册表位置:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_WINSERVICE]
"NextInstance"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_WINSERVICE\0000]
"Service"="WinService"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="WinService"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_WINSERVICE\0000\Control]
"*NewlyCreated*"=dword:00000000
说明:(1)不能直接删除。(2)右键点 LEGACY_WINSERVICE,“权限”,勾选“完全控制”,确定。再点它即可删除。
2、添加自动启动项目
位置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="F:\\WINDOWS\\system32\\spoolsv\\spoolsv.exe -printer"HKLU\Software\Microsoft\Wspoolsv C:\WINDOWS\system32\spoolsv\spoolsv.exe -printer
"CdnCtr"="F:\Program Files\CNNIC\Cdn\cdnup.exe"
3、删除文件:
(1)F:\WINDOWS\system32\spoolsv\spoolsv.exe “广州傲讯浏览器辅助工具”靠!!
(2)F:\Program Files\CNNIC\Cdn\cdnup.exe
(3)F:\WINDOWS\system32\WinAppService.exe
TMQD。。鄙视这些垃圾网站,同时也再次提醒大家不要随便到不知名的网站上去下载软件,这些都喜欢挂木马。
我是引用一位达人的网站上面的操作 我本人操作和这个还不一样,欢迎交流 他的网站http://www.blogcn.com.cn/user1/525/archives/2006/35912.shtml