SPOOLSV.EXE的解决方法--admin

SPOOLSV.EXE的解决方法

前几天感染了一个spoolsv.exe的木马病毒，怎么杀都杀不掉，杀了又来，最后找了下，发现spoolsv.exe的最新变种目前还没有哪个软件能杀掉，因此，将解决方法发布在这里，希望对大家有帮助

spoolsv.exe是一种延缓打印木马程序，它使计算机CPU使用率达到100%，从而使风扇保持高速嘈杂运转。目前网上提供的方法或许能够解决前期问题，但对最新的变种现象无能为力，
Ctrl+Alt+Delete停止spoolsv.exe运行进程

重启计算机进入安全模式，在C:/windows/system32/删除spoolsv.exe(或可用搜索方式删除C盘所有同名文件)

运行regedit，用查找方式找到并删除所有spoolsv文件。

我的电脑点击右键，选择管理，服务，禁用print spooler服务(目前网上提供的方法仅到此)

重启电脑进入系统常规模式，你会发现电脑还是处于高速运转，但在搜索中已找不到任何spoolsv相关文件。

Ctrl+Alt+Delete，你可以在进程中找到一个名为inter的后台运行程序，将其关闭即可。

强烈建议在应用以上步骤解决问题之后，运行反木马程序扫描并删除感染文件。

[ 阅读全文 | 回复(24) | 引用通告 | 编辑 ]

Post by admin 发表于 2006-4-22 1:05:06

Re:SPOOLSV.EXE的解决方法

spoolsv.exe打印木马清除及补救方法

[ 2006-8-8 13:41:00 | By: goconte ]

spoolsv.exe是一种延缓打印木马程序，它使计算机CPU使用率达到100%，从而使风扇保持高速嘈杂运转；该木马允许攻击者访问你的计算机，窃取密码和个人数据。

一、判别自己是否中毒
1、点开始－运行，输入msconfig，回车，打开实用配置程序，选择“启动”，感染以后会在启动项里面发现运行Spoolsv.exe的启动项，每次进入windows会有NTservice的对话框。
2、打开系统盘，假设C盘，看是否存在C:\WINDOWS\system32\spoolsv文件夹，里面有个spoolsv.exe文件，有“傲讯浏览器辅助工具”的字样说明，正常的spoolsv.exe打印机缓冲池文件应该在C:\WINDOWS\system32目录下。
3，打开任务管理器，会发现spoolsv.exe进程，而且CPU占用率很高

二、清除方法
1、重新启动，开机按F8进入安全模式。
2、点开始－运行，输入cmd，进入dos,利用rd命令删除一下目录（如果存在）
C:\WINDOWS\system32\msibm
　　 C:\WINDOWS\system32\spoolsv
　　 C:\WINDOWS\system32\bakcfs
　　 C:\WINDOWS\system32\msicn
比如在dos窗口下输入：rd(空格）C:\WINDOWS\system32\spoolsv/s，回车，出现提示，输入y回车，即可删除整个目录。
利用del命令删除下面的文件（如果存在）
C:\windows\system32\spoolsv.exe
　　C:\WINDOWS\system32\wmpdrm.dll
比如在dos窗口下输入：del(空格）C:\windows\system32\spoolsv.exe，回车，即可删除被感染的spoolsv.exe，这个文件可以在杀毒结束后在别的正常的机器上复制正常的spoolsv.exe粘贴到C:\windows\system32文件夹。
3、重启按F8再次进入安全模式
　　（1）桌面右键点击我的电脑，选择“管理”，点击“服务和应用程序”-“服务”，右键点击NTservice，选择“属性”，修改启动类型为“禁用”。
（2）点开始，运行，输入regedit，回车打开注册表，点菜单上的编辑，选择查找，查找含有spoolsv.exe的注册表项目，删除。可以利用F3继续查找，将含有spoolsv.exe的注册表项目全部删除。

三、再次重新正常启动即可

病毒清了后你的SPOOLSV.EXE文件就没有了,且在服务里你的后台打印print spooler也不能启动了,当然打印机也不能运行了,在运行里输入"services.msc"后,在"print spooler"服务中的"常规"项里的"可执行文件路径"也变得不可用,如启动会显示"错误3:找不到系统路径"的错误,
这是因为你的注册表的相关项也删了,(在上面清病毒的时候)
解决方法:
1:在安装光盘里I386目录下把SPOOLSV.EX_文件复制到SYSTEM32目录下改名为spoolsv.exe,当然也可以在别人的系统时把这个文件拷过来,还可以用NT/XP的文件保护功能,即在CMD里键入SFC/SCANNOW全面修复,反正你把这个文件恢复就可以了
2:修改注册表,在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler]下加一个"ImagePath"="c:\windows\system32\spoolsv.exe"就可以了,再打开看看,你的打印可以用了吧

另类的：
1、在服务中将“Print Spooler”停止，
2、将“c:\windows\system32\spool\prints\”下的文件全部删除（因为没中病毒的电脑，这个文件夹里是空的）。
3、最后再将“Print Spooler”服务开启就可以了
这样做绝对安全，应对单机很有效的。:lol

安全模式下干掉效果最好

[ 个人主页 | 引用 | 返回 | 删除 | 回复 ]

Post by tgc(游客)发表评论于2006-11-1 7:23:13

Re:SPOOLSV.EXE的解决方法

专业提供安防系统整体解决方案,包括门禁,监控,防警系统等.

[ 个人主页 | 引用 | 返回 | 删除 | 回复 ]

Post by wolfbin(游客)发表评论于2006-10-31 12:21:00

Re:SPOOLSV.EXE的解决方法

删了全部spoolsv文件，一定是不能打印了。不过可以到正常的其他电脑下把删的spoolsv文件全部文件复制过来放在原来就目录下就可以打印了。

[ 个人主页 | 引用 | 返回 | 删除 | 回复 ]

Post by 111(游客)发表评论于2006-10-23 9:39:11

Re:SPOOLSV.EXE的解决方法

看的我一头雾水，这个方法究竟行不行啊？我可不想重装系统

[ 个人主页 | 引用 | 返回 | 删除 | 回复 ]

Post by DUNDAO(游客)发表评论于2006-10-18 14:23:05

Re:SPOOLSV.EXE的解决方法

我有3只电脑看了不同的讨论，结果在开始菜单运行regedit打开注册表编辑器，
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer" 删除了

我哭了都不好打印了，系统还原要做好多事情啊啊啊暗暗暗暗啊

QQ271560323 Q强烈BS广州奥讯公司

[ 个人主页 | 引用 | 返回 | 删除 | 回复 ]

Post by 我是乐摄(游客)发表评论于2006-10-15 19:02:06

Re:SPOOLSV.EXE的解决方法

我想知道这样搞掉了,那打印机可不可以用了啊如果搞掉了打印机不可以用那还不是不可以吗有谁知道的啊. 请指教啊

[ 个人主页 | 引用 | 返回 | 删除 | 回复 ]

Post by 刀1937(游客)发表评论于2006-10-14 15:44:45

Re:SPOOLSV.EXE的解决方法

救命！该怎么办才好呀，我的Q是472154542，请高手帮帮忙！该死的病毒！

[ 个人主页 | 引用 | 返回 | 删除 | 回复 ]

Post by 一米阳光(游客)发表评论于2006-10-13 17:09:39

Re:SPOOLSV.EXE的解决方法

大虾谢谢咯

还可以

[ 个人主页 | 引用 | 返回 | 删除 | 回复 ]

Post by feng(游客)发表评论于2006-10-11 12:46:41

Re:SPOOLSV.EXE的解决方法

其实开机后在任务管理器删3次那个程序就不运行了这是我的经验我已经用了1月了怎么解决看了各位的我还是删不掉也找不到

[ 个人主页 | 引用 | 返回 | 删除 | 回复 ]

Post by 11(游客)发表评论于2006-10-10 23:40:35

Re:SPOOLSV.EXE的解决方法

不得行~~删了又自动生成

在注册表里又找不到，郁闷~

[ 个人主页 | 引用 | 返回 | 删除 | 回复 ]

Post by 6微六微(游客)发表评论于2006-10-10 10:23:12

Re:SPOOLSV.EXE的解决方法

我试一下

[ 个人主页 | 引用 | 返回 | 删除 | 回复 ]

Post by 就(游客)发表评论于2006-10-9 13:26:52

Re:SPOOLSV.EXE的解决方法

我把C 盘WIN目录下的system32\SPOOLS.EXE文件删了，电脑就正常了！不晓得可以打印不！呵呵！如果不打！只有装系统了

[ 个人主页 | 引用 | 返回 | 删除 | 回复 ]

Post by 000(游客)发表评论于2006-10-6 9:56:33

Re:SPOOLSV.EXE的解决方法

我把它搞定了，但在还有一个子文件被共享了，删都删不掉，不知为什么？我是采鸟，请高手指点？谢谢了

[ 个人主页 | 引用 | 返回 | 删除 | 回复 ]

Post by 猪(游客)发表评论于2006-9-28 14:45:55

Re:SPOOLSV.EXE的解决方法

我终于把它搞定的谢谢个位兄台的

[ 个人主页 | 引用 | 返回 | 删除 | 回复 ]

Post by 强霸天(游客)发表评论于2006-9-28 10:42:40

Re:SPOOLSV.EXE的解决方法

我就草他妈～

[ 个人主页 | 引用 | 返回 | 删除 | 回复 ]

Post by 我恨死你了(游客)发表评论于2006-9-25 18:01:33

Re:SPOOLSV.EXE的解决方法

什么样的方法能把它干掉还能不影响打印呀。倘若不能打印了，那还不如把它留着或者重新装系统呢！高手们说一个两全的办法吧！！

[ 个人主页 | 引用 | 返回 | 删除 | 回复 ]

Post by 宝宝(游客)发表评论于2006-9-25 17:46:54

Re:SPOOLSV.EXE的解决方法

谢谢了,这几天被spoolsv.exe搞的烦,我对电脑知道的太少,以后要多学啊!

[ 个人主页 | 引用 | 返回 | 删除 | 回复 ]

Post by sleepingbird(游客)发表评论于2006-9-13 10:32:28

Re:SPOOLSV.EXE的解决方法

幽游三少这位老兄说得正确，下面是引用

spoolsv.exe是广州奥讯公司出的所谓的浏览器．其实就是流氓软件．他的路径是：c:\windows\system32\spoolsv\spoolsv.exe,而不是作者说的c:\windows\system32\spoolsv.exe,作者说的这个是正常的windows文件．可以通过查看文件属性的方法对比一下，就知道了．作者说的服务也是windows正常的服务．描述是：将文件加载到内存中以便迟后打印。非常正常．这个流氓软件在注册中的位置是：hkey_local_machine\software\microsoft\windows\current version\run 名称是 spoolsv 数据是c:\windows\system32\spoolsv\spoolsv.exe -printer

这个要删．不过，我想它肯定还有其它文件．不过我平时杀流氓软件的时候都是一块杀十多种甚至几十种，所以，至于哪个文件属性哪个流氓软件，没时间去研究．作者可以到我的博客user1/adminghost/archives/2006/15388.html看看．研究一下．

如果以上文字有错误之处，多谢提出．

[ 个人主页 | 引用 | 返回 | 删除 | 回复 ]

Post by 雷霆zhen(游客)发表评论于2006-9-11 8:46:34

Re:SPOOLSV.EXE的解决方法

我还是一头雾水！！没有办法，俺要学的可多！！

[ 个人主页 | 引用 | 返回 | 删除 | 回复 ]

Post by 越溪石(游客)发表评论于2006-9-8 16:35:09

楼主错了！参见下面网页.

http://www.chedong.com/blog/archives/001117.html

[ 个人主页 | 引用 | 返回 | 删除 | 回复 ]

Post by hillman(游客)发表评论于2006-9-8 12:16:56

Re:SPOOLSV.EXE的解决方法

我的电脑中了SPOOLSV.EXE，运行好慢啊，结束进程，就不能打印，没办法了，怎么办啊！！

[ 个人主页 | 引用 | 返回 | 删除 | 回复 ]

Post by 红(游客)发表评论于2006-9-7 10:48:12

Re:SPOOLSV.EXE的解决方法

这个方法也有问题，它虽然可以取消这个现象但是这个进程是打印缓存进程，如果取消此进程则打印机无法使用。

[ 个人主页 | 引用 | 返回 | 删除 | 回复 ]

Post by 大脸猫(游客)发表评论于2006-8-31 10:10:06

Re:SPOOLSV.EXE的解决方法

如果以上文字有错误之处，多谢提出．

[ 个人主页 | 引用 | 返回 | 删除 | 回复 ]

Post by 幽游三少发表评论于2006-8-5 20:06:25

Re:SPOOLSV.EXE的解决方法

谢了终于搞掉它了

[ 个人主页 | 引用 | 返回 | 删除 | 回复 ]

Post by ..(游客)发表评论于2006-4-24 15:07:52

发表评论：