必威电竞|足球世界杯竞猜平台

來(lái)源：互聯(lián)網(wǎng)

spoolsv.exe 是Print Spooler的進(jìn)程，管理所有本地和網(wǎng)絡(luò)打印隊(duì)列及控制所有打印工作。如果此服務(wù)被停用，本地計(jì)算機(jī)上的打印將不可用。該進(jìn)程屬 Windows 系統(tǒng)服務(wù)。

基本介紹

進(jìn)程信息

系統(tǒng)進(jìn)程：是

后臺(tái)程序：是

使用網(wǎng)絡(luò)：否

硬件相關(guān)：否

常見(jiàn)錯(cuò)誤：未知N/A

內(nèi)存使用：未知N/A

Adware: 否

病毒：否

木馬: 否

描述

spoolsv.exe用于將Windows打印機(jī)任務(wù)發(fā)送給本地打印機(jī)，緩存打印數(shù)據(jù)等，通常情況下他會(huì)隨著系統(tǒng)啟動(dòng)啟動(dòng)。注意spoolsv.exe也有可能是Backdoor.Ciadoor.B木馬。該木馬允許攻擊者訪問(wèn)你的計(jì)算機(jī)，竊取密碼和個(gè)人數(shù)據(jù)。該進(jìn)程的安全級(jí)別是建議立即刪除。

木馬進(jìn)程

進(jìn)程信息

描述:

這個(gè)垃圾軟件利用將msicn\msibm.dll插入多個(gè)進(jìn)程的方法對(duì)系統(tǒng)進(jìn)行監(jiān)控，在system32下創(chuàng)建如下的東西：

wmpdrm.dll

1116\

msicn\msibm.dll

msicn\ube.exe

msicn\plugins\

spoolsv\spoolsv.exe(這個(gè)還長(zhǎng)得像微軟打印服務(wù)，shit！?。?/p>

注冊(cè)表加入如下垃圾：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

[HKEY_CLASSES_ROOT\CLSID\\InprocServer32]

@="%System%\wmpdrm.dll"

[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]

[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]

[HKEY_CLASSES_ROOT\TypeLib\]

[HKEY_CLASSES_ROOT\Interface\]

然后每隔4秒左右對(duì)以上東西進(jìn)行監(jiān)控，前后互相照應(yīng)，讓你無(wú)從下手

啟動(dòng)項(xiàng) c:/windows/system32/spoolsv/spoolsv.exe -printer

cfs2…… 相關(guān)文件、目錄：

%System%\wmpdrm.dll

%System%\1116\

%System%\msicn\msibm.dll

%System%\msicn\ube.exe

%System%\msicn\plugins\

%System%\spoolsv\spoolsv.exe

%System%\spoolsv\spoolsv.exe，有一個(gè)啟動(dòng)項(xiàng)：

[HKEY_LOCAL_MACHINE\SOFTWARE\微軟\Windows\CurrentVersion\Run]

運(yùn)行后會(huì)調(diào)用%System%\msicn\msibm.dll，創(chuàng)建%System%\1116\目錄，備份用。

%System%\1116\目錄是備份目錄，里面是%System%\wmpdrm.dll、%System%\msicn\和%System%\spoolsv\spoolsv.exe的備份。

%System%\msicn\msibm.dll，會(huì)插入多個(gè)指定進(jìn)程，大約每4秒鐘監(jiān)視恢復(fù)文件（從%System%\1116\目錄）和注冊(cè)表信息（啟動(dòng)項(xiàng)、BHO）：

[HKEY_LOCAL_MACHINE\SOFTWARE\微軟\Windows\CurrentVersion\Run]

"spoolsv"

[HKEY_CLASSES_ROOT\CLSID\\InprocServer32]

@="%System%\wmpdrm.dll"

注："spoolsv"的數(shù)據(jù)不會(huì)被監(jiān)視，所以修改它的數(shù)據(jù)也不會(huì)被恢復(fù)，只有刪除"spoolsv"才會(huì)被恢復(fù)。

secp.exe是個(gè)安裝程序，安裝以下文件：

%System%\wmpdrm.dll

%System%\msicn\ube.exe

%System%\msicn\plugins\（目錄里4個(gè)dll文件）

%System%\wmpdrm.dll是一個(gè)BHO，%System%\msicn\ube.exe像是卸載程序。

另外，在%System%\和%System%\msicn\目錄里還有有一些從遠(yuǎn)程下載來(lái)的cpz、vxd文件，比如：

戰(zhàn)地之王vxd

guid.vxd

plg矢野獎(jiǎng)吾vxd

safep.vxd

%System%\wmpdrm.dll作為BHO被調(diào)用后，會(huì)嘗試調(diào)用%System%\spoolsv\spoolsv.exe和%System%\msicn\msibm.dll。

注：如果%System%\spoolsv\spoolsv.exe沒(méi)有被運(yùn)行或被調(diào)用，也就不會(huì)備份還原，好像它就是用來(lái)備份的。

另外……

在“開(kāi)始菜單”>>“程序”里 可能 會(huì)有一項(xiàng)“NavAngel”，里面有個(gè)快捷方式NavAngel.lnk，指向：%System%\spoolsv\spoolsv.exe -ctrlfun:4,3

“添加/刪除程序”里有一項(xiàng)“NavAngel”，對(duì)應(yīng)命令是：%System%\spoolsv\spoolsv.exe -ctrlfun:4,2

還有一項(xiàng)“WinDirected 2.0”，對(duì)應(yīng)命令是：%System%\spoolsv\spoolsv.exe -uninst

還可能會(huì)有mscache\目錄，從名字看像是存放臨時(shí)緩存文件的。

BHO相關(guān)注冊(cè)表信息：

[HKEY_CLASSES_ROOT\CLSID\]

[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]

[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]

[HKEY_CLASSES_ROOT\TypeLib\]

[HKEY_CLASSES_ROOT\Interface\]

是否中毒

1、點(diǎn)開(kāi)始－運(yùn)行，輸入msconfig，回車，打開(kāi)實(shí)用配置程序，選擇“啟動(dòng)”，感染以后會(huì)在啟動(dòng)項(xiàng)里面發(fā)現(xiàn)運(yùn)行Spoolsv.exe的啟動(dòng)項(xiàng)，每次進(jìn)入windows會(huì)有NTservice的對(duì)話框。

2、打開(kāi)系統(tǒng)盤(pán)，假設(shè)C盤(pán)，看是否存在C:\WINDOWS\system32\spoolsv文件夾，里面有個(gè)spoolsv.exe文件，有“傲訊瀏覽器輔助工具”的字樣說(shuō)明，正常的spoolsv.exe打印機(jī)緩沖池文件應(yīng)該在C:\WINDOWS\system32目錄下。

3，打開(kāi)任務(wù)管理器，會(huì)發(fā)現(xiàn)spoolsv.exe進(jìn)程，而且CPU占用率很高。

清除方法

1、重新啟動(dòng)，開(kāi)機(jī)按F8進(jìn)入安全模式。

2、點(diǎn)開(kāi)始－運(yùn)行，輸入運(yùn)行指令，進(jìn)入dos。

利用rd命令刪除以下目錄（如果存在）（在dos窗口下輸入：rd(空格）C:\WINDOWS\system32\spoolsv/s，回車，出現(xiàn)提示，輸入y回車，即可刪除整個(gè)目錄。）：

C:\WINDOWS\system32\msibm

C:\WINDOWS\system32\spoolsv

C:\WINDOWS\system32\bakcfs

C:\WINDOWS\system32\msicn

利用del命令刪除下面的文件（如果存在）（比如在dos窗口下輸入：del(空格）C:\windows\system32\spoolsv.exe，回車，即可刪除被感染的spoolsv.exe，這個(gè)文件可以在殺毒結(jié)束后在別的正常的機(jī)器上復(fù)制正常的spoolsv.exe粘貼到

C:\windows\system32文件夾。）：

C:\windows\system32\spoolsv.exe

C:\WINDOWS\system32\wmpdrm.dll

3、重啟按F8再次進(jìn)入安全模式。

（1）桌面右鍵點(diǎn)擊我的電腦，選擇“管理”，點(diǎn)擊“服務(wù)和應(yīng)用程序”-“服務(wù)”，右鍵點(diǎn)擊

NTservice，選擇“屬性”，修改啟動(dòng)類型為“禁用”。

、

（2）點(diǎn)開(kāi)始，運(yùn)行，輸入regedit，回車打開(kāi)注冊(cè)表，點(diǎn)菜單上的編輯，選擇查找，查找含有spoolsv.exe的注冊(cè)表項(xiàng)目，刪除。可以利用F3繼續(xù)查找，將含有spoolsv.exe的注冊(cè)表項(xiàng)目全部刪除。

4、若以上操作完成后，仍然有該進(jìn)程。請(qǐng)桌面右鍵點(diǎn)擊我的電腦，選擇“管理”，點(diǎn)擊“服務(wù)和應(yīng)用程序”-“服務(wù)”，右鍵點(diǎn)擊print spooler，選擇“屬性”，先點(diǎn)“停止”然后修改啟動(dòng)類型為手動(dòng)或“禁用”。隨后重復(fù)以上步驟。

我還遇到一種情況：經(jīng)檢查，不是以上所描述的病毒，但經(jīng)常占CPU 100%，但是連續(xù)關(guān)進(jìn)程幾次，便不再出現(xiàn)，奇怪。

如上所述，在system32里有 spool文件夾。直接把 \PRINTERS 下的文件刪除，便解決了這個(gè)問(wèn)題。

這可能不是“病毒”問(wèn)題，而是系統(tǒng)的故障，但出現(xiàn)了還是很麻煩的。

殺毒后處理

病毒清了后你的SPOOLSV.EXE文件就沒(méi)有了，且在服務(wù)里你的后臺(tái)打印print spooler也不能啟動(dòng)了，當(dāng)然打印機(jī)也不能運(yùn)行了，在運(yùn)行里輸入“services.msc”后，在“print spooler”服務(wù)中的“常規(guī)”項(xiàng)里的“可執(zhí)行文件路徑”也變得不可用，如啟動(dòng)會(huì)顯示“錯(cuò)誤3:找不到系統(tǒng)路徑”的錯(cuò)誤，這是因?yàn)槟愕?a href="/hebeideji/7301557478423805992.html">注冊(cè)表的相關(guān)項(xiàng)也刪了，（在上面清病毒的時(shí)候）

解決方法：

1:在安裝光盤(pán)里I386目錄下把SPOOLSV.EX_文件復(fù)制到SYSTEM32目錄下改名為spoolsv.exe,當(dāng)然也可以在別人的系統(tǒng)時(shí)把這個(gè)文件拷過(guò)來(lái)，還可以用NT/XP的文件保護(hù)功能，即在CMD里鍵入SFC/SCANNOW全面修復(fù)，反正你把這個(gè)文件恢復(fù)就可以了。

2:修改注冊(cè)表即可：進(jìn)入“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler”目錄下，新建一個(gè)可擴(kuò)充字符串值，取名：“ImagePath”，在多字符串值再修改為(%systemRoot%\system32\spoolsv.exe)或者=“c:\windows\system32\spoolsv.exe”（不要引號(hào)），再進(jìn)入控制面板中Print Sppooler啟動(dòng)打印服務(wù)即可。

占用cpu

前幾天，太太的筆記本遇到了spoolsv.exe占cpu 99%的的問(wèn)題，要我?guī)退匦掳惭b操作系統(tǒng)。我是懶得重裝的，所以在網(wǎng)上搜索了一下：大部分關(guān)于這個(gè)問(wèn)題的文章都是將相關(guān)打印后臺(tái)服務(wù)給禁用解決的，可是這樣就不能打印了，豈不有點(diǎn)因噎廢食？后來(lái)從國(guó)外網(wǎng)站上找到了這篇文章：tim's journal: spoolsv.exe hogging 99% of cpu - the fix

解決方法其實(shí)很簡(jiǎn)單，假設(shè)你已經(jīng)使用了殺毒軟件排除了病毒和已經(jīng)使用防間諜軟件排除了惡意軟件的影響：

而原因在微軟網(wǎng)站上也有文檔說(shuō)明：Windows后臺(tái)打印程序沒(méi)有刪除打印作業(yè)后臺(tái)文件導(dǎo)致的打印程序可能會(huì)反復(fù)地嘗試對(duì)該打印作業(yè)進(jìn)行后臺(tái)處理

微軟的解釋

Windows 2000后臺(tái)打印程序沒(méi)有刪除打印作業(yè)后臺(tái)文件

癥狀

您向打印機(jī)發(fā)送打印作業(yè)時(shí)，后臺(tái)打印程序在打印作業(yè)完成后可能沒(méi)有從 文件夾刪除打印后臺(tái)文件，因而后臺(tái)打印程序可能會(huì)反復(fù)地嘗試對(duì)該打印作業(yè)進(jìn)行后臺(tái)處理。

該打印后臺(tái)文件的存在并不會(huì)阻止其他打印作業(yè)的后臺(tái)處理。

原因

如果打印作業(yè)的打印后臺(tái)文件具有只讀屬性，就會(huì)發(fā)生這種問(wèn)題。

解決方案

為避免發(fā)生此問(wèn)題，請(qǐng)不要在打印后臺(tái)文件位于文件夾中時(shí)更改它的屬性。

要解決此問(wèn)題，請(qǐng)刪除只讀屬性，然后將該后臺(tái)文件從文件夾中刪除。

要?jiǎng)h除只讀屬性，請(qǐng)右鍵單擊 Windows資源管理器或我的電腦中的后臺(tái)文件，單擊屬性，單擊清除只讀復(fù)選框，然后單擊確定。

有關(guān)如何在 Windows 2000 中刪除文件的更多信息，請(qǐng)單擊開(kāi)始，單擊幫助，單擊索引選項(xiàng)卡，鍵入刪除，然后雙擊刪除文件主題。

狀態(tài)

這種現(xiàn)象是設(shè)計(jì)所導(dǎo)致的。

更多信息

默認(rèn)情況下，打印后臺(tái)文件只有存檔屬性。打印后臺(tái)文件屬性只會(huì)在以下情況下發(fā)生更改：當(dāng)文件位于 文件夾中時(shí)，程序更改了它的屬性；或者，用戶或管理員特意更改了文件屬性。

如果只想解決CPU100%的問(wèn)題。那刪了不錯(cuò)。是可以解決。但是要真正解決實(shí)質(zhì)的問(wèn)題，如下操作:

打開(kāi)文件后將其Printers下的文件全部刪除。便可解決!

丟失

這是一個(gè)盜號(hào)木馬導(dǎo)致，其感染相關(guān)文件并加載起來(lái)，一旦殺毒軟件刪除被感染的文件，就會(huì)導(dǎo)致相關(guān)組件缺失，導(dǎo)致運(yùn)行網(wǎng)游時(shí)彈出系統(tǒng)文件丟失提示或者打印機(jī)不能使用

修復(fù)方法

電腦系統(tǒng)文件經(jīng)常會(huì)受到病毒的侵?jǐn)_，導(dǎo)致系統(tǒng)文件丟失、損壞。從網(wǎng)上下載系統(tǒng)文件進(jìn)行替換，可能會(huì)因?yàn)橄到y(tǒng)文件版本與操作系統(tǒng)不相符造成不兼容的情況；建議使用專業(yè)的系統(tǒng)文件修復(fù)工具進(jìn)行修復(fù)。

1、下載可牛殺毒系統(tǒng)急救箱。

2、點(diǎn)擊“開(kāi)始急救”，進(jìn)行一鍵式修復(fù)，智能匹配與操作系統(tǒng)相符的系統(tǒng)文件。

3、使用可牛免費(fèi)殺毒對(duì)電腦進(jìn)行全面掃描，清除電腦中存在的潛在危險(xiǎn)。

也可以使用金山辦公網(wǎng)盾進(jìn)行修復(fù)：

第一步：下載包含瀏覽器修復(fù)功能的金山網(wǎng)盾

第二步 安裝金山網(wǎng)盾3.5,安裝完以后點(diǎn)擊主界面右側(cè)的【修復(fù)瀏覽器】的按鈕（或者點(diǎn)擊【瀏覽器修復(fù)】選項(xiàng)卡－點(diǎn)擊【立即掃描】）

第三步 發(fā)現(xiàn)威脅，點(diǎn)擊【立即處理】按鈕，修復(fù)完成以后，根據(jù)提示重啟系統(tǒng)或者鍵盤(pán)按【F5】刷新桌面。

參考資料 >

關(guān)于spoolsv.exe是什么進(jìn)程的功能及病毒識(shí)別介紹.穆童博客.2012-12-14