昨天打开电脑,拨号上网后,网页居然打不开,然后机器反应迟钝,打开进程管理器发现有个Spooler.exe进程CPU占用率100%,内存用了200多兆,点结束进程后,靠,过一会这个进程又出现了,刚开始的时候占用的CPU和内存都不多,但是过会它就会慢慢的蚕食机器的CPU和内存,才几分钟CPU资源就被它占尽了,内存也达到了200多兆,真诡异,又是个常驻内存病毒,不过后来发现结束该进程后的一段时间可以打开网页,但是过会又打不开了,进Google一搜,果然是新病毒,下面的链接是瑞星对该病毒的描述:
http://it.rising.com.cn/newSite/Channels/Anti_Virus/Upgrade_Report/Upgrade_Report/200312/19-104713276.htm
我核对了一下,系统目录的却有Spooler.exe这个文件,但是在注册表没有发现该病毒注册的启动项,然后在系统服务发现了有个可疑服务Print Spool Handler (描述:Mapping the end point spool to the begin point)查看属性页,果然发现该服务的可执行文件路径是%system32%\spooler.exe,没错,就是这个了,把这个服务停止,然后把其启动类型设为禁用就应该没问题了,最后删除这个文件,其他两个副本由于是随机文件名,哪里还找得到
在这之前我在瑞星网站在线杀了毒,但是没有发现病毒,在线杀毒的时候下在病毒库的时候由于病毒的干扰,老是下载失败,我写了个批处理脚本解决了这个问题,其实很简单,写个循环Kill掉这个进程就可以了
:start
taskkill \im spooler.exe \f
go to start
执行这个批处理后,病毒进程就从内存中清除了