Backdoor.Win32.Agent.cvs(NTSpool.exe)病毒手动解决

文件名称：NTSpool.exe

文件大小：724992 byte

AV命名：

卡巴斯基 Backdoor.Win32.Agent.cvs
F-SECURE Backdoor:W32/IRCBot.GHP
Prevx TROJAN.DOWNLOADER.GEN

编写语言：VC8

文件MD5：349ce72841738810036f9c8e533160fb

病毒类型：IRCbot

行为：

1、释放病毒副本：

%Systemroot%\system32\NTSpool.exe 724992 字节

2、添加注册表，开机启动：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

NTSpool = REG_SZ, "NTSpool.exe "

3、启动svchost.exe进程，并把自身代码注入其中。

4、连接195.16.51.2**IRC接受远程控制，不过该服务器已失效。

如成功连接，可能会接受一些命令：

NICK
PASS
Leaving
QUIT
QUIT
PONG
PING
NICK
PRIVMSG
NOTICE
QUIT
PART
JOIN
PRIVMSG
JOIN
JOIN
MODE
MODE

5、会对MSN好友发送病毒压缩包和以下言语（未验证）：

WoW? is that really you... what the hell where you drinking :D
LOL, you look so ugly in this picture, no joke...
Should I put this on facebook/myspace?
Hey m8, who is this on the right, in this picture...
Sup, seen the pictures from the other night?

解决方法:

1、下载SREng(可到down.45it.com下载)，直接放桌面后断开网络连接。

2、打开SREng，删除那个注册表启动项：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
{NTSpool}{NTSpool.exe} []

3、重启电脑，然后删除NTSpool.exe文件，在C:\windows\system32下。

搜索

Backdoor.Win32.Agent.cvs(NTSpool.exe)病毒手动解决