文件名称：spoolsv.exe  

文件大小：13,824 bytes  

病毒命名：Trojan-Dropper.Win32.VB.aoc 

文件MD5：3814A72FA82A767EC8969798B9A66BB1 字串2

病毒类型：IRC蠕虫 

主要行为： 

1、释放文件：1

C:\RECYCLER\spoolsv.exe 13,824 bytes  

2、添加启动项：串5

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\Installed Components\{88ABC5C0-4FCB-11BB-AAX5-81CX1C635612} 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\Installed Components\{88ABC5C0-4FCB-11BB-AAX5-81CX1C635612}]

StubPath = "c:\RECYCLER\spoolsv.exe" 字串1

3、连接IRC服务器：w00t****.hopto.org，接受远程控制。  

4、创建互斥体：highlandhack，使病毒体只能有一个实例在运行。

解决方法：字串9

1、重启计算机，按F8进入安全模式。 

2、删除文件：  

C:\RECYCLER\spoolsv.exe 13,824 bytes 

3、删除注册表（开始菜单－运行－输入“regedit”进入注册表依次找到说明选项并按提示操作）： 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\Installed Components\{88ABC5C0-4FCB-11BB-AAX5-81CX1C635612} 字串3

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\Installed Components\{88ABC5C0-4FCB-11BB-AAX5-81CX1C635612}] 

StubPath = "c:\RECYCLER\spoolsv.exe"

还有部分计算机并不是以上说的这种情况，找不到感染文件等，那么下面的方法就是比较简便的处理方法了。 

其实最简单的方法是：

　　清空 C:\WINDOWS\system32\spool\PRINTERS 目录下所有的文件；(但是有一个问题，如何才能让这个文件夹的类似文件不再重建才是关键！没有找到很好的解决办法！最终我将这个文件夹设置为只读，重启后就没有这种情况发生了。）

　　前提是：

　　已经使用了杀毒软件排除了病毒和已经使用防间谍软件排除了恶意软件。