【spoolsv】的意思_什么是spoolsv

基本信息

正常spoolsv进程信息

进程文件： spoolsv orspoolsv.exe

进程名称： Microsoft Printer Spooler Service

出品者： Microsoft Corp.

属于：Microsoft Windows 2000 and later

系统进程：是

后台程序：是

使用网络：否

硬件相关：否

常见错误：未知N/A

内存使用：未知N/A

安全等级 (0-5): 0

间谍软件：否

Adware: 否

病毒：否

木马: 否

spoolsv.exe用于将Windows打印机任务发送给本地打印机，缓存打印数据。此进程通常会随着系统启动而自动启动。注意spoolsv.exe也有可能是Backdoor.Ciadoor.B木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全级别是建议立即删除。

木马信息

木马spoolsv进程信息:

描述:

这个垃圾软件利用将msicn\msibm.dll插入多个进程的方法对系统进行监控，在system32下创建如下该死的东西：

wmpdrm.dll

1116\

msicn\msibm.dll

msicn\ube.exe

msicn\plugins\

spoolsv\spoolsv.exe(这个还长得像微软打印服务，shit！！）

注册表加入如下垃圾：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"spoolsv"="%System%\spoolsv\spoolsv.exe-printer"

[HKEY_CLASSES_ROOT\CLSID\\InprocServer32]

@="%System%\wmpdrm.dll"

[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]

[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]

[HKEY_CLASSES_ROOT\TypeLib\]

[HKEY_CLASSES_ROOT\Interface\]

然后每隔4秒左右对以上东西进行监控，前后互相照应，让你无从下手

启动项 c:/windows/system32/spoolsv/spoolsv.exe-printer

cfs2…… 相关文件、目录：

%System%\wmpdrm.dll

%System%\1116\

%System%\msicn\msibm.dll

%System%\msicn\ube.exe

%System%\msicn\plugins\

%System%\spoolsv\spoolsv.exe

%System%\spoolsv\spoolsv.exe，有一个启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"spoolsv"="%System%\spoolsv\spoolsv.exe-printer"

运行后会调用%System%\msicn\msibm.dll，创建%System%\1116\目录，备份用。

%System%\1116\目录是备份目录，里面是%System%\wmpdrm.dll、%System%\msicn\和%System%\spoolsv\spoolsv.exe的备份。

%System%\msicn\msibm.dll，会插入多个指定进程，大约每4秒钟监视恢复文件（从%System%\1116\目录）和注册表信息（启动项、BHO）：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"spoolsv"

[HKEY_CLASSES_ROOT\CLSID\\InprocServer32]

@="%System%\wmpdrm.dll"

注："spoolsv"的数据不会被监视，所以修改它的数据也不会被恢复，只有删除"spoolsv"才会被恢复。

还可能会从远程服务器下载文件：

http://liveupdate.ourxin.com/secp.exe

secp.exe是个安装程序，安装以下文件：

%System%\wmpdrm.dll

%System%\msicn\ube.exe

%System%\msicn\plugins\（目录里4个dll文件）

%System%\wmpdrm.dll是一个BHO，%System%\msicn\ube.exe像是卸载程序。

另外，在%System%\和%System%\msicn\目录里还有有一些从远程下载来的cpz、vxd文件，比如：

ava.vxd

guid.vxd

plgset.vxd

safep.vxd

%System%\wmpdrm.dll作为BHO被调用后，会尝试调用%System%\spoolsv\spoolsv.exe和%System%\msicn\msibm.dll。

注：如果%System%\spoolsv\spoolsv.exe没有被运行或被调用，也就不会备份还原，好像它就是用来备份的。

另外……

在“开始菜单”>>“程序”里可能会有一项“NavAngel”，里面有个快捷方式NavAngel.lnk，指向：%System%\spoolsv\spoolsv.exe-ctrlfun:4,3

“添加/删除程序”里有一项“NavAngel”，对应命令是：%System%\spoolsv\spoolsv.exe-ctrlfun:4,2

还有一项“WinDirected 2.0”，对应命令是：%System%\spoolsv\spoolsv.exe-uninst

还可能会有mscache\目录，从名字看像是存放临时缓存文件的。

BHO相关注册表信息：

[HKEY_CLASSES_ROOT\CLSID\]

[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]

[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]

[HKEY_CLASSES_ROOT\TypeLib\]

[HKEY_CLASSES_ROOT\Interface\]

判别方法

判别自己是否中毒:

1、点开始－运行，输入msconfig，回车，打开实用配置程序，选择“启动”，感染以后会在启动项里面发现运行Spoolsv.exe的启动项，每次进入windows会有NTservice的对话框。

2、打开系统盘，假设C盘，看是否存在C:\WINDOWS\system32\spoolsv文件夹，里面有个spoolsv.exe文件，有“傲讯浏览器辅助工具”的字样说明，正常的spoolsv.exe打印机缓冲池文件应该在C:\WINDOWS\system32目录下。

3，打开任务管理器，会发现spoolsv.exe进程，而且CPU占用率很高。

清除方法：

1、重新启动，开机按F8进入安全模式。

2、点开始－运行，输入cmd，进入dos。

利用rd命令删除以下目录（如果存在）（在dos窗口下输入：rd(空格）C:\WINDOWS\system32\spoolsv/s，回车，出现提示，输入y回车，即可删除整个目录。）：

C:\WINDOWS\system32\msibm

C:\WINDOWS\system32\spoolsv

C:\WINDOWS\system32\bakcfs

C:\WINDOWS\system32\msicn

利用del命令删除下面的文件（如果存在）（比如在dos窗口下输入：del(空格）C:\windows\system32\spoolsv.exe，回车，即可删除被感染的spoolsv.exe，这个文件可以在杀毒结束后在别的正常的机器上复制正常的spoolsv.exe粘贴到

C:\windows\system32文件夹。）：

C:\windows\system32\spoolsv.exe

C:\WINDOWS\system32\wmpdrm.dll

3、重启按F8再次进入安全模式。

（1）桌面右键点击我的电脑，选择“管理”，点击“服务和应用程序”-“服务”，右键点击

NTservice，选择“属性”，修改启动类型为“禁用”。

、

（2）点开始，运行，输入regedit，回车打开注册表，点菜单上的编辑，选择查找，查找含有spoolsv.exe的注册表项目，删除。可以利用F3继续查找，将含有spoolsv.exe的注册表项目全部删除。

4、若以上操作完成后,仍然有该进程。请桌面右键点击我的电脑，选择“管理”，点击“服务和应用程序”-“服务”，右键点击print spooler，选择“属性”，先点“停止”然后修改启动类型为手动或“禁用”。随后重复以上步骤。

spoolsv.exe占100%CPU资源的最简单有效处理方法：

只要清空C:\WINDOWS\system32\spool\PRINTERS 目录下所有的文件即可。很有效。

spoolsv 百科内容来自于：

基本信息

木马信息

判别方法

修改单词