NetSpools.exe,Win32.Troj.Kill360.dr.446464清除

Win32.Troj.Kill360.dr.446464病毒属于某木马综合体的一部分，用于对抗安全辅助软件360安全卫士。病毒被激活后会不停地在系统内搜索是否存在360安全卫士相关进程，然后利用360清除顽固文件的模块来反清除360。病毒作者这种“以子之矛攻子之盾”的思路比较有特点。

1．病毒在自身所处目录下查找是否存在文件AutoRun.inf，如有，通过搜索窗口类名和标题判断系统中是否存在如“我的电脑”窗口。病毒模拟鼠标按键消息点击窗口左上角，关闭“我的电脑”窗口。

2．病毒通过窗口类名和标题搜索“我的电脑”窗口，如发现该窗口，将地址栏内容设置为病毒当前所在目录（分析时病毒在桌面中），模拟鼠标按键消息点击按钮”转到”进入病毒目录.病毒模仿正常软件注册窗口类，创建窗口，窗口标题Microsoft(窗口并未显示)。

3.对抗安全工具，设置HKLM\software\360safe\safemon子键下的ExecAccess,SiteAccess,MonAccess,VDiskAccess,ARPAccess,IEProtAccess为0。
检测当前系统中是否有safeboxtray.exe，360tray.exe，360rpt.exe，360safe.exe，Iparmor.exe，USBSAFE.exe等安全工具进程（此处作者未直接调用比较字符串常用的库函数，而是自己编写函数实现功能），若有，病毒在x:\windows\system32目录下释放文件NetSpools.zip（实际是360安全卫士文件AntiRK.dll，文件属性设置为系统和隐藏，文件时间设置与winlogo.exe一致），加载该dll利用其提供的功能函数，结束上述进程、删除进程文件，完美的实现”以彼之道，还施彼身”，360安全卫士360Safe.exe等相关文件被删除。

4．病毒将X:\WINDOWS\System32\winlogon.exe备份为X:\WINDOWS\System32\KrnlBot.tmp，
病毒利用替换beep.sys技术加载病毒释放的驱动文件NetSpools.sys，创建服务NetSpoolsvsDrv，修改注册表相应位置：HKLM\SYSTEM\CurrentContorlSet\Services\NetSpoolsvsDrv，利用NetSpools.zip删除文件NetSpools.sys，开启病毒服务NetSpoolsvsDrv。

5．病毒删除360安全卫士在注册表中相应启动项信息
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\\RUN,”360safetray”,
”360safebox”,”360antiarp”。

6．病毒不懈的检测系统内进程中是否存在以下进程：safeboxtray.exe，360tray.exe，360rpt.exe，360safe.exe，Iparmor.exe，USBSAFE.exe，发现存在时重复步骤3。

7．备份病毒自身为X:\WINDOWS\System32\NetSpools.exe，属性设置为系统和隐藏，文件时间设置与winlogo.exe一致。
释放文件X:\WINDOWS\System32\NetSpools.dll，属性设置为系统和隐藏，文件时间设置与winlogo.exe一致。

8．创建服务NetSpoolsvs来加载文件X:\WINDOWS\System32\NetSpools.exe，为了欺骗用户，NetSpoolsvs服务描述为”协调跨多个数据库、消息队列、文件系统等资源管理器的事务。如果禁用此服务，依赖此服务的其他服务将无法启动”。

9．修改hosts文件，将360相关网站域名屏蔽，用户无法访问360网站

推荐安装金山毒霸正版的杀毒软件进行全面监控，防范日益增多的病毒

怀疑中毒的用户可使用线查毒进行病毒查证。免费在线查毒地址：
http://www.antidu.cn/board/online/

已经中毒的用户，可以去论坛提问求助
http://bbs.antidu.cn