病毒spoolsv.exe完全清除方法
近來網上出現一個很厲害的病毒。殺毒軟件都不能殺死。唯有手工清除。。。以c硬碟系統為例傲的惡意軟件,有些殺毒軟件不認為是病毒。spoolsv.exe木馬病毒,建議進入安全模式用惡意軟件清理助手清理
這類東西主要是看目錄,如果精確點就查md5值
1、查找它們正確的目錄應該在那裡。是否有多個文件存在
2、使用md5軟件計算這類程式的md5值。與正確的比較
請打開你的電腦看看WINDOWS\system32資料夾裡有沒有這幾個資料夾
C:\WINDOWS\system32\msibm\
C:\WINDOWS\system32\msicn\
C:\WINDOWS\system32\mscache\
C:\WINDOWS\system32\spoolsv\
C:\WINDOWS\system32\1116\
如果有的話,恭喜你,你中毒了。具體表現為有個叫播霸的軟件不請自來*******(*號部分作者省掉n個字,表達能力差,呵呵。)你把上述資料夾刪除,四秒後再看看,刪除的資料夾又出現了。真是可惡。本人是下載狂,在一下網站下載軟件,不小心下載了病毒程式,執行而中招。。。。。以下是我綜合網上的資料總結出來的手工清除方法。
首先進入安全模式,控制台,打開新增或刪除程式,卸載WinDirected 2.0。這個是罪魁禍首。刪除 c:/windows/system32/spoolsv/資料夾
刪除c:/windows/exploer.exe程式。(很像explorer.exe)
刪除%System%\wmpdrm.dll
好了,以上是關鍵部分。
下面是從網上複製過來的比較有水平的方法。
下面是關於病毒的一些資料:
啟動項 c:/windows/system32/spoolsv/spoolsv.exe -printer
cfs2…… 相關文件、目錄:
%System%\wmpdrm.dll
%System%\1116\
%System%\msicn\msibm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\
%System%\spoolsv\spoolsv.exe
%System%\spoolsv\spoolsv.exe,有一個啟動項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer"
執行後會呼叫%System%\msicn\msibm.dll,創建%System%\1116\目錄,備份用。
%System%\1116\目錄是備份目錄,裡面是%System%\wmpdrm.dll、%System%\msicn\和%System%\spoolsv\spoolsv.exe的備份。
%System%\msicn\msibm.dll,會插入多個指定工作行程,大約每4秒鐘監視恢復文件(從%System%\1116\目錄)和註冊表訊息(啟動項、BHO):
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}\InprocServer32]
@="%System%\wmpdrm.dll"
註:"spoolsv"的資料不會被監視,所以修改它的資料也不會被恢復,只有刪除"spoolsv"才會被恢復。
還可能會從遠端服務器下載文件:
http: //liveupdate.ourxin.com/secp.exe
secp.exe是個安裝程式,安裝以下文件:
%System%\wmpdrm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\(目錄裡4個dll文件)
%System%\wmpdrm.dll是一個BHO,%System%\msicn\ube.exe像是卸載程式。
另外,在%System%\和%System%\msicn\目錄裡還有有一些從遠端下載來的cpz、vxd文件,比如:
ava.vxd
guid.vxd
plgset.vxd
safep.vxd
%System%\wmpdrm.dll作為BHO被呼叫後,會嘗試呼叫%System%\spoolsv\spoolsv.exe和%System%\msicn\msibm.dll。
註:如果%System%\spoolsv\spoolsv.exe沒有被執行或被呼叫,也就不會備份還原,好像它就是用來備份的。
另外……
在「開始表表菜單」>>「程式」裡 可能 會有一項「NavAngel」,裡面有個快捷方式NavAngel.lnk,指向:
%System%\spoolsv\spoolsv.exe -ctrlfun:4,3
「新增/刪除程式」裡有一項「NavAngel」,對應命令是:
%System%\spoolsv\spoolsv.exe -ctrlfun:4,2
還有一項「WinDirected 2.0」,對應命令是:
%System%\spoolsv\spoolsv.exe -uninst
還可能會有mscache\目錄,從名字看像是存放臨時快取記憶體文件的。
BHO相關註冊表訊息:
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]
[HKEY_CLASSES_ROOT\TypeLib\{8B200623-3FC5-4493-8B49-DC2AD4830AF4}]
[HKEY_CLASSES_ROOT\Interface\{4A775183-9517-420E-9A13-D3DA47BB8A84}].
spoolsv.exe和windows的印表服務spoolsv.exe很類似,不要被它迷惑了,印表服務spoolsv.exe的目錄是系統資料夾(以XP為例)system32\spoolsv.exe而此病毒的路徑為system32\spoolsv\sploosv.exe
根據病毒訊息提供偶得查殺方法:
1。進入系統目錄system32刪除資料夾spoolsv和miscn以及1116
2。開始表表菜單執行regedit打開註冊表編輯器,找到
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer" 刪除該項
3。在註冊表編輯器中打開下面的分支並使用組合鍵ctrl+f進行查找如下內容:
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1
[HKEY_CLASSES_ROOT\TypeLib\{8B200623-3FC5-4493-8B49-DC2AD4830AF4}
[HKEY_CLASSES_ROOT\Interface\{4A775183-9517-420E-9A13-D3DA47BB8A84}
找到以後進行刪除
4。執行註冊表清裡軟件清理註冊表,比如超級兔子,優化大師,惡意軟件清理助手等都可以,此步驟也可以不執行
-------------------------------------------------------
SPOOLSV.EXE病毒解決方法
前幾天電腦的cpu利用率突然一直保持100%,任務管理器檢視了一下發現是spoolsv.exe
這個工作行程,查了一下發現的印表服務程式,可以將該工作行程關掉,但是就不能印表了,再次
啟動印表服務,症狀依然。網上查了一下:
spoolsv.exe是一種延緩印表木馬程式,它使電腦CPU使用率達到100%,從而使風扇
保持高速嘈雜運轉。目前網上提供的方法或許能夠解決前期問題,但對最新的變種現
象無能為力, Ctrl+Alt+Delete停止spoolsv.exe執行工作行程。
解決方法:
木馬病毒SPOOLSV.EXE的解決方法前幾天感染了一個spoolsv.exe的木馬病毒,怎麼殺
都殺不掉,殺了又來,最後找了下,發現spoolsv.exe的最新變種目前還沒有哪個軟
件能殺掉,因此,將解決方法發佈在這裡,希望對大家有幫助!
spoolsv.exe是一種延緩印表木馬程式,它使電腦CPU使用率達到100%,從而使風扇
保持高速嘈雜運轉。目前網上提供的方法或許能夠解決前期問題,但對最新的變種現
象無能為力, Ctrl+Alt+Delete停止spoolsv.exe執行工作行程
重啟電腦進入安全模式,在C:/windows/system32/刪除spoolsv.exe(或可用搜索方
式刪除C硬碟所有同名文件)
執行regedit,用查找方式找到並刪除所有spoolsv文件。
我的電腦點擊右鍵,選擇管理 > 服務,禁用print spooler服務(目前網上提供的方
法僅到此)
重啟電腦進入系統一般模式,你會發現電腦還是處於高速運轉,但在搜索中已找不到
任何spoolsv相關文件。
Ctrl+Alt+Delete,你可以在工作行程中找到一個名為inter的後台執行程式,將其關閉即
可。
強烈建議在應用以上步驟解決問題之後,執行反木馬程式掃瞄並刪除感染文件。
我自己的原創方法是:在桌面建一個TXT文件並顯示延伸名,改名為spools.exe後將文
件內容改為只讀,將這個假的病毒覆蓋c:\winnt\system32\spoolsv\的44K真病毒.好
了,重新啟動電腦.病毒沒了.
最後發現這個有個公司出品了這個病毒:廣州傲訊訊息科技有限公司
刪除經驗:
spoolsv.exe是系統工作行程,用於將Windows印表機任務發送給本機印表機。注意spoolsv
.exe也有可能是Backdoor.Ciadoor.B木馬。該木馬允許攻擊者訪問你的電腦,竊取
密碼和個人資料。
兩者的區別在於,前者是在SYSTEM32目錄下,而木馬程式不在SYSTEM32目錄下,而是
在其子目錄或其他目錄下。
手工清除方法,進入安全模式,工具---資料夾選項---檢視,將「顯示資料夾內容」
、「顯示所有文件及資料夾」前的勾打上,去掉「隱藏受保護的操作系統文件」前的
勾,然後全盤查找tqppmtw.fyf這個文件,找到後刪除,另外繼續查找spoolsv.exe文
件,注意,SYSTEM32目錄下的不刪,其他的全刪。最後清空IE臨時快取記憶體,TEMP臨時目
錄和資源回收筒就OK了。
Spoolsv.exe是一種延緩印表木馬程式,它使電腦CPU使用率達到100%,從而使風扇
保持高速嘈雜運轉;該木馬允許攻擊者訪問你的電腦,竊取密碼和個人資料。
一、判別自己是否中毒
1、點開始-執行,輸入msconfig,Enter鍵,打開實用配置程式,選擇「啟動」, 感染
以後會在啟動項裡面發現執行Spoolsv.exe的啟動項, 每次進入windows會有NTservice
的交談視窗。
2、打開系統硬碟,假設C硬碟,看是否存在C:\WINDOWS\system32\spoolsv資料夾,裡面
有個spoolsv.exe文件,有「傲訊瀏覽器輔助工具」的字樣說明,正常的spoolsv.exe
印表機緩衝池文件應該在C:\WINDOWS\system32目錄下。
3,打開任務管理器,會發現spoolsv.exe工作行程,而且CPU佔用率很高
二、清除方法
1、重新啟動,開機按F8進入安全模式。
2、點開始-執行,輸入cmd,進入dos,利用rd命令刪除一下目錄(如果存在)
C:\WINDOWS\system32\msibm
C:\WINDOWS\system32\spoolsv
C:\WINDOWS\system32\bakcfs
C:\WINDOWS\system32\msicn
比如在dos視窗下輸入:rd(空格)C:\WINDOWS\system32\spoolsv/s,Enter鍵,出現提
示,輸入yEnter鍵,即可刪除整個目錄。
利用del命令刪除下面的文件(如果存在)
C:\windows\system32\spoolsv.exe
C:\WINDOWS\system32\wmpdrm.dll
比如在dos視窗下輸入:del(空格)C:\windows\system32\spoolsv.exe,Enter鍵,即可
刪除被感染的spoolsv.exe,這個文件可以在殺毒結束後在別的正常的機器上複製正
常的spoolsv.exe貼上去到C:\windows\system32資料夾。
3、重啟按F8再次進入安全模式
(1)桌面右鍵點擊我的電腦,選擇「管理」,點擊「服務和應用程式」-「服務」,
右鍵點擊NTservice,選擇「內容」,修改啟動類型為「禁用」。
(2)點開始,執行,輸入regedit,Enter鍵打開註冊表,點表菜單上的編輯,選擇查找,
查找含有spoolsv.exe的註冊表專案,刪除。可以利用F3繼續查找,將含有spoolsv.
exe的註冊表專案全部刪除。
三、再次重新正常啟動即可
病毒清了後你的SPOOLSV.EXE文件就沒有了,且在服務裡你的後台印表print spooler
也不能啟動了,當然印表機也不能執行了,在執行裡輸入"services.msc"後,在"print
spooler"服務中的"一般"項裡的"可執行文件路徑"也變得不可用,如啟動會顯示"錯
誤3:找不到系統路徑"的錯誤,這是因為你的註冊表的相關項也刪了,(在上面清病毒的
時候)
解決方法:
1:在安裝光碟裡I386目錄下把SPOOLSV.EX_文件複製到SYSTEM32目錄下改名為spoolsv
.exe,當然也可以在別人的系統時把這個文件拷過來,還可以用NT/XP的文件保護功能
,即在CMD裡鍵入SFC/SCANNOW全面修復,反正你把這個文件恢復就可以了。本帖已經提
供了無毒的spoolsv.exe下載。
2:修改註冊表即可:進入「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\Spooler」目錄下,新增一個可擴充字元串值,取名:「ImagePath」,其值為:「
C:\WINDOWS\system32\spoolsv.exe」(不要引號)再進入控制台中啟動印表服務
即可
這種方法非常繁瑣,
其實最簡單的方法是:
清空 C:\WINDOWS\system32\spool\PRINTERS 目錄下所有的文件;
前提是:
已經使用了殺毒軟件排除了病毒和已經使用防間諜軟件排除了惡意軟件。
spoolsv木馬清除與補救
spoolsv木馬清除與補救
spoolsv.exe是一種延緩印表木馬程式,它使電腦CPU使用率達到100%,從而使風扇保持高速嘈雜運轉;該木馬允許攻擊者訪問你的電腦,竊取密碼和個人資料。
一、判別自己是否中毒
1、點開始-執行,輸入msconfig,Enter鍵,打開實用配置程式,選擇「啟動」, 感染以後會在啟動項裡面發現執行Spoolsv.exe的啟動項, 每次進入windows會有NTservice的交談視窗。
2、打開系統硬碟,假設C硬碟,看是否存在C:\WINDOWS\system32\spoolsv資料夾,裡面有個spoolsv.exe文件,有「傲訊瀏覽器輔助工具」的字樣說明,正常的spoolsv.exe印表機緩衝池文件應該在C:\WINDOWS\system32目錄下。
3,打開任務管理器,會發現spoolsv.exe工作行程,而且CPU佔用率很高
二、清除方法
1、重新啟動,開機按F8進入安全模式。
2、點開始-執行,輸入cmd,進入dos,利用rd命令刪除一下目錄(如果存在)
C:\WINDOWS\system32\msibm
C:\WINDOWS\system32\spoolsv
C:\WINDOWS\system32\bakcfs
C:\WINDOWS\system32\msicn
比如在dos視窗下輸入:rd(空格)C:\WINDOWS\system32\spoolsv/s,Enter鍵,出現提示,輸入yEnter鍵,即可刪除整個目錄。
利用del命令刪除下面的文件(如果存在)
C:\windows\system32\spoolsv.exe
C:\WINDOWS\system32\wmpdrm.dll
比如在dos視窗下輸入:del(空格)C:\windows\system32\spoolsv.exe,Enter鍵,即可刪除被感染的spoolsv.exe,這個文件可以在殺毒結束後在別的正常的機器上複製正常的spoolsv.exe貼上去到C:\windows\system32資料夾。
3、重啟按F8再次進入安全模式
(1)桌面右鍵點擊我的電腦,選擇「管理」,點擊「服務和應用程式」-「服務」,右鍵點擊NTservice,選擇「內容」,修改啟動類型為「禁用」。
(2)點開始,執行,輸入regedit,Enter鍵打開註冊表,點表菜單上的編輯,選擇查找,查找含有spoolsv.exe的註冊表專案,刪除。可以利用F3繼續查找,將含有spoolsv.exe的註冊表專案全部刪除。
三、再次重新正常啟動即可
病毒清了後你的SPOOLSV.EXE文件就沒有了,且在服務裡你的後台印表print spooler也不能啟動了,當然印表機也不能執行了,在執行裡輸入"services.msc"後,在"print spooler"服務中的"一般"項裡的"可執行文件路徑"也變得不可用,如啟動會顯示"錯誤3:找不到系統路徑"的錯誤,
這是因為你的註冊表的相關項也刪了,(在上面清病毒的時候)
解決方法:
1:在安裝光碟裡I386目錄下把SPOOLSV.EX_文件複製到SYSTEM32目錄下改名為spoolsv.exe,當然也可以在別人的系統時把這個文件拷過來,還可以用NT/XP的文件保護功能,即在CMD裡鍵入SFC/SCANNOW全面修復,反正你把這個文件恢復就可以了
2:修改註冊表,在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler]下加一個"ImagePath"="c:\windows\system32\spoolsv.exe"就可以了,再打開看看,你的印表可以用了吧
|