找回密码
 注册

QQ登录

只需一步,快速开始

查看: 2189|回复: 8
收起左侧

怎么去除spoolsv

[复制链接]

该用户从未签到

发表于 2006-11-8 18:29 | 显示全部楼层 |阅读模式
每次机子启动都会有一个Spoolsv.exe占用100%CPU资源,而且结束进程又出来,要反复弄几次才罢休,但下次重启又出来了,不知道怎么弄.

该用户从未签到

发表于 2006-11-8 18:47 | 显示全部楼层

怎么去除spoolsv

哈哈。 这个和打印服务有关。

去控制面板里面的“管理工具”里面的“服务”看看。
(本公子这厢有礼了。)

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
回复 支持 反对

使用道具 举报

  • TA的每日心情
    慵懒
    2023-9-9 18:18
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]初来乍到

    发表于 2006-11-8 18:49 | 显示全部楼层

    怎么去除spoolsv

    是不是每次进入windows会有NTservice的对话框?
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2023-9-9 18:18
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]初来乍到

    发表于 2006-11-8 18:56 | 显示全部楼层

    怎么去除spoolsv

    spoolsv.exe是一种延缓打印木马程序,它使计算机CPU使用率达到100%,从而使风扇保持高速嘈杂运转;该木马允许攻击者访问你的计算机,窃取密码和个人数据。
    本版有杀木马软件,更新杀毒软件和杀木马软件的病毒库后,在安全模式下杀毒和杀木马。

    或者采用如下方法:(比较麻烦)
    一、判别自己是否中毒
    1、点开始-运行,输入msconfig,回车,打开实用配置程序,选择“启动”, 感染以后会在启动项里面发现运行Spoolsv.exe的启动项, 每次进入windows会有NTservice的对话框。
    2、打开系统盘,假设C盘,看是否存在C:\WINDOWS\system32\spoolsv文件夹,里面有个spoolsv.exe文件,有“傲讯浏览器辅助工具”的字样说明,正常的spoolsv.exe打印机缓冲池文件应该在C:\WINDOWS\system32目录下。
    3,打开任务管理器,会发现spoolsv.exe进程,而且CPU占用率很高
    二、清除方法
    1、重新启动,开机按F8进入安全模式。
    2、点开始-运行,输入cmd,进入dos,利用rd命令删除一下目录(如果存在)
    C:\WINDOWS\system32\msibm
       C:\WINDOWS\system32\spoolsv
       C:\WINDOWS\system32\bakcfs
       C:\WINDOWS\system32\msicn
    比如在dos窗口下输入:rd(空格)C:\WINDOWS\system32\spoolsv/s,回车,出现提示,输入y回车,即可删除整个目录。
    利用del命令删除下面的文件(如果存在)
    C:\windows\system32\spoolsv.exe
      C:\WINDOWS\system32\wmpdrm.dll
    比如在dos窗口下输入:del(空格)C:\windows\system32\spoolsv.exe,回车,即可删除被感染的spoolsv.exe,这个文件可以在杀毒结束后在别的正常的机器上复制正常的spoolsv.exe粘贴到C:\windows\system32文件夹。
    3、重启按F8再次进入安全模式
    (1)桌面右键点击我的电脑,选择“管理”,点击“服务和应用程序”-“服务”,右键点击NTservice,选择“属性”,修改启动类型为“禁用”。
    (2)点开始,运行,输入regedit,回车打开注册表,点菜单上的编辑,选择查找,查找含有spoolsv.exe的注册表项目,删除。可以利用F3继续查找,将含有spoolsv.exe的注册表项目全部删除。
    三、再次重新正常启动即可。

    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2016-8-4 11:38
  • 签到天数: 2 天

    连续签到: 1 天

    [LV.1]初来乍到

    发表于 2006-11-8 23:21 | 显示全部楼层

    怎么去除spoolsv

    如果没有安装offcie2003而发现这个进程出现,必定是木马。
    恶意软件清理助手已经把整个木马列入到查杀之列。
    回复 支持 反对

    使用道具 举报

    该用户从未签到

     楼主| 发表于 2006-11-9 18:41 | 显示全部楼层

    怎么去除spoolsv

    没有发现有C:\WINDOWS\system32\spoolsv文件夹.而且安装了Office2003了,不知道什么原因
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2006-11-9 19:10 | 显示全部楼层

    怎么去除spoolsv

    下面引用由漠狼2006/11/09 06:41pm 发表的内容:
    没有发现有C:\WINDOWS\system32\spoolsv文件夹.而且安装了Office2003了,不知道什么原因
    勾选了显示隐藏的文件选项没有?
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2006-11-10 22:23 | 显示全部楼层

    怎么去除spoolsv

    进服务里边,把这个服务给禁止掉
    而且如果你不用共享文件和打印机的话,最好进本地连接属性里边把微软的那个协议给卸掉
    如果禁止了这个服务重启后还是有这个进程,则肯定是木马了
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2006-11-24 10:34 | 显示全部楼层

    怎么去除spoolsv

    病毒spoolsv.exe的查杀
    关键词: spoolsv.exe                                          
    正常的spoolsv.exe大小是57k,用于将Windows打印机任务发送给本地打印机。如果spoolsv.exe大小为44k则是Backdoor.Ciadoor.B木马,藏于c:\windows\system32\spoolsv文件夹,为防被删还设置有备份程序tqppmtw.fyf藏于windows32文件夹。该木马允许攻击者访问你的计算机,窃取密码和个人数据。
    【关于病毒:】
    启动项 c:/windows/system32/spoolsv/spoolsv.exe -printer
    相关文件、目录:
    %System%\wmpdrm.dll
    %System%\1116\
    %System%\msicn\msibm.dll
    %System%\msicn\ube.exe
    %System%\msicn\plugins\
    %System%\spoolsv\spoolsv.exe
    %System%\spoolsv\spoolsv.exe
      启动运行后会调用%System%\msicn\msibm.dll,创建%System%\1116\目录,备份用。%System%\1116\目录是备份目录,里面是%System%\wmpdrm.dll、%System%\msicn\和%System%\spoolsv\spoolsv.exe的备份。 %System%\msicn\msibm.dll会插入多个指定进程,大约每4秒钟监视恢复文件(从%System%\1116\目录)和注册表信息(启动项、BHO): [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"spoolsv" [HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}\InprocServer32]  @="%System%\wmpdrm.dll"  注:"spoolsv"的数据不会被监视,所以修改它的数据也不会被恢复,只有删除"spoolsv"才会被恢复。
    还可能会从远程服务器下载文件:h ttp://liveupdate.ourxin.com/secp.exe
    secp.exe是个安装程序,安装以下文件:
            %System%\wmpdrm.dll
            %System%\msicn\ube.exe
            %System%\msicn\plugins\(目录里4个dll文件)
    %System%\wmpdrm.dll是一个BHO,%System%\msicn\ube.exe像是卸载程序。
         另外,在%System%\和%System%\msicn\目录里还有有一些从远程下载来的cpz、vxd文件,比如: ava.vxd   guid.vxd   plgset.vxd   safep.vxd
    %System%\wmpdrm.dll作为BHO被调用后,会尝试调用%System%\spoolsv\spoolsv.exe和%System%\msicn\msibm.dll。 注:如果%System%\spoolsv\spoolsv.exe没有被运行或被调用,也就不会备份还原,好像它就是用来备份的。
    另外在“开始菜单”->“程序”里可能会有一项“NavAngel”,里面有个快捷方式NavAngel.lnk,指向:%System%\spoolsv\spoolsv.exe -ctrlfun:4,3 “添加/删除程序”里有一项“NavAngel”,对应命令是:%System%\spoolsv\spoolsv.exe -ctrlfun:4,2  还有一项“WinDirected 2.0”,对应命令是:%System%\spoolsv\spoolsv.exe -uninst
    还可能会有mscache\目录,从名字看像是存放临时缓存文件的。
    要注意:spoolsv.exe和windows的打印服务spoolsv.exe很类似,不要被它迷惑了,打印服务spoolsv.exe的目录是系统文件夹(以XP为例)system32\spoolsv.exe而此病毒的路径为system32\spoolsv\sploosv.exe

    【查杀方法:】

    第一种:
    1、在安全模式下进入系统目录system32删除文件夹spoolsv和miscn以及1116
    2、开始菜单运行regedit打开注册表编辑器,找到
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "spoolsv"="%System%\spoolsv\spoolsv.exe -printer" 删除该项
    3、在注册表中搜索spoolsv文件夹(注意是文件夹不是文件),删除
    4、在注册表编辑器中打开下面的分支并使用组合键ctrl+f进行查找如下内容:
    [HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}
    [HKEY_CLASSES_ROOT\wmpdrm.cfsbho
    [HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1
    [HKEY_CLASSES_ROOT\TypeLib\{8B200623-3FC5-4493-8B49-DC2AD4830AF4}
    [HKEY_CLASSES_ROOT\Interface\{4A775183-9517-420E-9A13-D3DA47BB8A84}找到以后进行删除
    5、运行注册表清里软件清理注册表,比如超级兔子,优化大师,恶意软件清理助手等都可以,此步骤也可以不执行。

    第二种:
    在桌面建一个TXT文件并显示扩展名,改名为spools.exe后将文件属性改为只读,将这个假的病毒覆盖c:\winnt\system32\spoolsv\的44K真病毒.。这种虽然方便但是遗留隐患。
    第三种:
      首先删除c:\windows\system32\spoolsv文件夹,而非单独删除c:\windows\system32\spoolsv下的spoolsv.exe(44k)文件,然后打开任务管理器,将spoolsv进程优先级调为最低;最后迅速删除其备份文件tqppmtw.fyf并关闭spoolsv进程即可。
    (本公子这厢有礼了。)
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    QQ|小黑屋|《唐诗宋词》网站 ( 苏ICP备2021032776号 )

    GMT+8, 2024-11-27 05:55 , Processed in 0.104585 second(s), 19 queries .

    Powered by Discuz! X3.4

    Copyright © 2001-2021, Tencent Cloud.

    快速回复 返回顶部 返回列表