文件名称：spoolsv.exe

文件大小：13,824 bytes

病毒命名：Trojan-Dropper.Win32.VB.aoc

文件MD5：3814A72FA82A767EC8969798B9A66BB1

病毒类型：IRC蠕虫

主要行为：

1、释放文件：

C:\RECYCLER\spoolsv.exe 13,824 bytes

2、添加启动项：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\Installed Components\{88ABC5C0-4FCB-11BB-AAX5-81CX1C635612}

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\Installed Components\{88ABC5C0-4FCB-11BB-AAX5-81CX1C635612}]

StubPath = "c:\RECYCLER\spoolsv.exe"

3、连接IRC服务器：w00t****.hopto.org，接受远程控制。

4、创建互斥体：highlandhack，使病毒体只能有一个实例在运行。

解决方法：

1、重启计算机，按F8进入安全模式。

2、删除文件：

C:\RECYCLER\spoolsv.exe 13,824 bytes

3、删除注册表（开始菜单－运行－输入“regedit”进入注册表依次找到说明选项并按提示操作）：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\Installed Components\{88ABC5C0-4FCB-11BB-AAX5-81CX1C635612}

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\Installed Components\{88ABC5C0-4FCB-11BB-AAX5-81CX1C635612}]

StubPath = "c:\RECYCLER\spoolsv.exe"