史萊姆論壇 - 查看單個文章

psac · 2006-07-23, 03:22 AM

木馬病毒SPOOLSV.EXE的解決方法:病毒：廣州傲訊訊息科技有限公司

木馬病毒SPOOLSV.EXE的解決方法:
病毒：廣州傲訊訊息科技有限公司

前幾天感染了一個spoolsv.exe的木馬病毒，怎麼殺都殺不掉，殺了又來，最後找了下，發現spoolsv.exe的最新變種目前還沒有哪個軟體能殺掉，因此，將解決方法發怖在這裡，希望對大家有說明 !

spoolsv.exe是一種延緩列印木馬程序，它使電腦CPU使用率達到100%，從而使風扇保持高速嘈雜運轉。目前網上提供的方法或許能夠解決前期問題，但對最新的變種現象無能為力， Ctrl+Alt+Delete停止spoolsv.exe執行工作

重新啟動電腦進入安全模式，在C:/windows/system32/移除spoolsv.exe(或可用搜尋方式移除C碟所有同名文件)

執行regedit，用尋找方式找到並移除所有spoolsv文件。

我的電腦點擊右鍵，選項管理 > 服務，禁用print spooler服務(目前網上提供的方法僅到此)

重新啟動電腦進入系統一般模式，你會發現電腦還是處於高速運轉，但在搜尋中已找不到任何spoolsv相關文件。

Ctrl+Alt+Delete，你可以在工作中找到一個名為inter的後台執行程序，將其關閉即可。

強烈建議在套用以上步驟解決問題之後，執行反木馬程序掃瞄並移除感染文件。

我自己的原創方法是:在桌面建一個TXT文件並顯示副檔名,改名為spools.exe後將文件內容改為唯讀,將這個假的病毒覆蓋c:\winnt\system32\spoolsv\的44K真病毒.好了,重新啟動電腦.病毒沒了.

最後發現這個有個公司出品了這個病毒：廣州傲訊訊息科技有限公司

移除經驗：

spoolsv.exe是系統工作，用於將Windows列印機工作傳送給本機列印機。注意spoolsv.exe也有可能是Backdoor.Ciadoor.B木馬。該木馬允許攻擊者訪問你的電腦，竊取密碼和個人資料。

兩者的區別在於，前者是在SYSTEM32目錄下，而木馬程序不在SYSTEM32目錄下，而是在其子目錄或其他目錄下。

手動式清除方法，進入安全模式，工具---資料夾選項---檢視，將「顯示資料夾內容」、「顯示所有文件及資料夾」前的勾打上，去掉「隱藏受保護的作業系統文件」前的勾，然後全盤尋找tqppmtw.fyf這個文件，找到後移除，另外繼續尋找spoolsv.exe文件，注意，SYSTEM32目錄下的不刪，其他的全刪。最後清空IE臨時快取，TEMP臨時目錄和資源回收桶就OK了。

Spoolsv.exe是一種延緩列印木馬程序，它使電腦CPU使用率達到100%，從而使風扇保持高速嘈雜運轉；該木馬允許攻擊者訪問你的電腦，竊取密碼和個人資料。

一、判別自己是否中毒

1、點開始－執行，輸入msconfig，Enter鍵，開啟實用組態程序，選項「啟動」，感染以後會在啟動項裡面發現執行Spoolsv.exe的啟動項，每次進入windows會有NTservice的對話視窗。

2、開啟系統碟，假設C碟，看是否存在C:\WINDOWS\system32\spoolsv資料夾，裡面有個spoolsv.exe文件，有「傲訊瀏覽器協助工具」的字樣說明，正常的spoolsv.exe列印機緩衝池文件應該在C:\WINDOWS\system32目錄下。

3，開啟工作管理器，會發現spoolsv.exe工作，而且CPU佔用率很高

二、清除方法

1、重新啟動，開機按F8進入安全模式。

2、點開始－執行，輸入cmd，進入dos,利用rd指令移除一下目錄（如果存在）

C:\WINDOWS\system32\msibm

C:\WINDOWS\system32\spoolsv

C:\WINDOWS\system32\bakcfs

C:\WINDOWS\system32\msicn

比如在dos視窗下輸入：rd(空格）C:\WINDOWS\system32\spoolsv/s，Enter鍵，出現提示，輸入yEnter鍵，即可移除整個目錄。

利用del指令移除下面的文件（如果存在）

C:\windows\system32\spoolsv.exe

C:\WINDOWS\system32\wmpdrm.dll

比如在dos視窗下輸入：del(空格）C:\windows\system32\spoolsv.exe，Enter鍵，即可移除被感染的spoolsv.exe，這個文件可以在殺毒結束後在別的正常的電腦上複製正常的spoolsv.exe貼上到C:\windows\system32資料夾。

3、重新啟動按F8再次進入安全模式

（1）桌面右鍵點擊我的電腦，選項「管理」，點擊「服務和應用程式」-「服務」，右鍵點擊NTservice，選項「內容」，修改啟動檔案類型為「禁用」。

（2）點開始，執行，輸入regedit，Enter鍵開啟註冊表，點表單上的編輯，選項尋找，尋找含有spoolsv.exe的註冊表項目，移除。可以利用F3繼續尋找，將含有spoolsv.exe的註冊表項目全部移除。

三、再次重新正常啟動即可

病毒清了後你的SPOOLSV.EXE文件就沒有了,且在服務裡你的後台列印print spooler也不能啟動了,當然列印機也不能執行了,在執行裡輸入"services.msc"後,在"print spooler"服務中的"一般"項裡的"可執行文件路徑"也變得不可用,如啟動會顯示"錯誤3:找不到系統路徑"的錯誤,這是因為你的註冊表的相關項也刪了,(在上面清病毒的時候)

解決方法:

1:在安裝光碟裡I386目錄下把SPOOLSV.EX_文件複製到SYSTEM32目錄下改名為spoolsv.exe,當然也可以在別人的系統時把這個文件拷過來,還可以用NT/XP的文件保護功能,即在CMD裡按鍵輸入SFC/SCANNOW全面修復,反正你把這個文件恢復就可以了

2:修改註冊表,在下加一個"ImagePath"="c:\windows\system32\spoolsv.exe"就可以了,再開啟看看,你的列印可以用了吧

推薦一些工具

1.流氓軟體清除助手

2.木馬殺客

2006-07-23, 03:22 AM	#4 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	木馬病毒SPOOLSV.EXE的解決方法:病毒：廣州傲訊訊息科技有限公司木馬病毒SPOOLSV.EXE的解決方法: 病毒：廣州傲訊訊息科技有限公司前幾天感染了一個spoolsv.exe的木馬病毒，怎麼殺都殺不掉，殺了又來，最後找了下，發現spoolsv.exe的最新變種目前還沒有哪個軟體能殺掉，因此，將解決方法發怖在這裡，希望對大家有說明 ! spoolsv.exe是一種延緩列印木馬程序，它使電腦CPU使用率達到100%，從而使風扇保持高速嘈雜運轉。目前網上提供的方法或許能夠解決前期問題，但對最新的變種現象無能為力， Ctrl+Alt+Delete停止spoolsv.exe執行工作重新啟動電腦進入安全模式，在C:/windows/system32/移除spoolsv.exe(或可用搜尋方式移除C碟所有同名文件) 執行regedit，用尋找方式找到並移除所有spoolsv文件。我的電腦點擊右鍵，選項管理 > 服務，禁用print spooler服務(目前網上提供的方法僅到此) 重新啟動電腦進入系統一般模式，你會發現電腦還是處於高速運轉，但在搜尋中已找不到任何spoolsv相關文件。 Ctrl+Alt+Delete，你可以在工作中找到一個名為inter的後台執行程序，將其關閉即可。強烈建議在套用以上步驟解決問題之後，執行反木馬程序掃瞄並移除感染文件。我自己的原創方法是:在桌面建一個TXT文件並顯示副檔名,改名為spools.exe後將文件內容改為唯讀,將這個假的病毒覆蓋c:\winnt\system32\spoolsv\的44K真病毒.好了,重新啟動電腦.病毒沒了. 最後發現這個有個公司出品了這個病毒：廣州傲訊訊息科技有限公司移除經驗： spoolsv.exe是系統工作，用於將Windows列印機工作傳送給本機列印機。注意spoolsv.exe也有可能是Backdoor.Ciadoor.B木馬。該木馬允許攻擊者訪問你的電腦，竊取密碼和個人資料。兩者的區別在於，前者是在SYSTEM32目錄下，而木馬程序不在SYSTEM32目錄下，而是在其子目錄或其他目錄下。手動式清除方法，進入安全模式，工具---資料夾選項---檢視，將「顯示資料夾內容」、「顯示所有文件及資料夾」前的勾打上，去掉「隱藏受保護的作業系統文件」前的勾，然後全盤尋找tqppmtw.fyf這個文件，找到後移除，另外繼續尋找spoolsv.exe文件，注意，SYSTEM32目錄下的不刪，其他的全刪。最後清空IE臨時快取，TEMP臨時目錄和資源回收桶就OK了。 Spoolsv.exe是一種延緩列印木馬程序，它使電腦CPU使用率達到100%，從而使風扇保持高速嘈雜運轉；該木馬允許攻擊者訪問你的電腦，竊取密碼和個人資料。一、判別自己是否中毒 1、點開始－執行，輸入msconfig，Enter鍵，開啟實用組態程序，選項「啟動」，感染以後會在啟動項裡面發現執行Spoolsv.exe的啟動項，每次進入windows會有NTservice的對話視窗。 2、開啟系統碟，假設C碟，看是否存在C:\WINDOWS\system32\spoolsv資料夾，裡面有個spoolsv.exe文件，有「傲訊瀏覽器協助工具」的字樣說明，正常的spoolsv.exe列印機緩衝池文件應該在C:\WINDOWS\system32目錄下。 3，開啟工作管理器，會發現spoolsv.exe工作，而且CPU佔用率很高二、清除方法 1、重新啟動，開機按F8進入安全模式。 2、點開始－執行，輸入cmd，進入dos,利用rd指令移除一下目錄（如果存在） C:\WINDOWS\system32\msibm C:\WINDOWS\system32\spoolsv C:\WINDOWS\system32\bakcfs C:\WINDOWS\system32\msicn 比如在dos視窗下輸入：rd(空格）C:\WINDOWS\system32\spoolsv/s，Enter鍵，出現提示，輸入yEnter鍵，即可移除整個目錄。利用del指令移除下面的文件（如果存在） C:\windows\system32\spoolsv.exe C:\WINDOWS\system32\wmpdrm.dll 比如在dos視窗下輸入：del(空格）C:\windows\system32\spoolsv.exe，Enter鍵，即可移除被感染的spoolsv.exe，這個文件可以在殺毒結束後在別的正常的電腦上複製正常的spoolsv.exe貼上到C:\windows\system32資料夾。 3、重新啟動按F8再次進入安全模式（1）桌面右鍵點擊我的電腦，選項「管理」，點擊「服務和應用程式」-「服務」，右鍵點擊NTservice，選項「內容」，修改啟動檔案類型為「禁用」。（2）點開始，執行，輸入regedit，Enter鍵開啟註冊表，點表單上的編輯，選項尋找，尋找含有spoolsv.exe的註冊表項目，移除。可以利用F3繼續尋找，將含有spoolsv.exe的註冊表項目全部移除。三、再次重新正常啟動即可病毒清了後你的SPOOLSV.EXE文件就沒有了,且在服務裡你的後台列印print spooler也不能啟動了,當然列印機也不能執行了,在執行裡輸入"services.msc"後,在"print spooler"服務中的"一般"項裡的"可執行文件路徑"也變得不可用,如啟動會顯示"錯誤3:找不到系統路徑"的錯誤,這是因為你的註冊表的相關項也刪了,(在上面清病毒的時候) 解決方法: 1:在安裝光碟裡I386目錄下把SPOOLSV.EX_文件複製到SYSTEM32目錄下改名為spoolsv.exe,當然也可以在別人的系統時把這個文件拷過來,還可以用NT/XP的文件保護功能,即在CMD裡按鍵輸入SFC/SCANNOW全面修復,反正你把這個文件恢復就可以了 2:修改註冊表,在下加一個"ImagePath"="c:\windows\system32\spoolsv.exe"就可以了,再開啟看看,你的列印可以用了吧推薦一些工具 1.流氓軟體清除助手 2.木馬殺客
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次