问答文章1 问答文章501 问答文章1001 问答文章1501 问答文章2001 问答文章2501 问答文章3001 问答文章3501 问答文章4001 问答文章4501 问答文章5001 问答文章5501 问答文章6001 问答文章6501 问答文章7001 问答文章7501 问答文章8001 问答文章8501 问答文章9001 问答文章9501

spoolsv.exe是不是病毒

发布网友 发布时间:2022-04-14 03:27

我来回答

7个回答

热心网友 时间:2022-04-14 04:56

spoolsv.exe 是Print Spooler的进程,管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,本地计算机上的打印将不可用。该进程属 Windows 系统服务。

正常spoolsv进程信息
进程文件: spoolsv or spoolsv.exe
进程名称: Microsoft Printer Spooler Service

描述:
spoolsv.exe用于将Windows打印机任务发送给本地打印机。注意spoolsv.exe也有可能是Backdoor.Ciadoor.B木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全级别是建议立即删除。

出品者: Microsoft Corp.
属于:Microsoft Windows 2000 and later

系统进程: 是
后台程序: 是
使用网络: 否
硬件相关: 否
常见错误: 未知N/A
内存使用: 未知N/A
安全等级 (0-5): 0
间谍软件: 否
Adware: 否
病毒: 否
木马: 否

木马spoolsv进程信息:

描述:
这个垃圾软件利用将msicn\msibm.dll插入多个进程的方法对系统进行监控,在system32下创建如下该死的东西:

wmpdrm.dll
1116\
msicn\msibm.dll
msicn\ube.exe
msicn\plugins\
spoolsv\spoolsv.exe(这个还长得像微软打印服务,shit!!)

注册表加入如下垃圾:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer"
[HKEY_CLASSES_ROOT\CLSID\\InprocServer32]
@="%System%\wmpdrm.dll"
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]
[HKEY_CLASSES_ROOT\TypeLib\]
[HKEY_CLASSES_ROOT\Interface\]

然后每隔4秒左右对以上东西进行监控,前后互相照应,让你无从下手

启动项 c:/windows/system32/spoolsv/spoolsv.exe -printer

cfs2…… 相关文件、目录:

%System%\wmpdrm.dll
%System%\1116\
%System%\msicn\msibm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\
%System%\spoolsv\spoolsv.exe
%System%\spoolsv\spoolsv.exe,有一个启动项:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer"

运行后会调用%System%\msicn\msibm.dll,创建%System%\1116\目录,备份用。

%System%\1116\目录是备份目录,里面是%System%\wmpdrm.dll、%System%\msicn\和%System%\spoolsv\spoolsv.exe的备份。

%System%\msicn\msibm.dll,会插入多个指定进程,大约每4秒钟监视恢复文件(从%System%\1116\目录)和注册表信息(启动项、BHO):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"
[HKEY_CLASSES_ROOT\CLSID\\InprocServer32]
@="%System%\wmpdrm.dll"

注:"spoolsv"的数据不会被监视,所以修改它的数据也不会被恢复,只有删除"spoolsv"才会被恢复。

还可能会从远程服务器下载文件:

http://liveupdate.ourxin.com/secp.exe

secp.exe是个安装程序,安装以下文件:

%System%\wmpdrm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\(目录里4个dll文件)
%System%\wmpdrm.dll是一个BHO,%System%\msicn\ube.exe像是卸载程序。

另外,在%System%\和%System%\msicn\目录里还有有一些从远程下载来的cpz、vxd文件,比如:

ava.vxd
guid.vxd
plgset.vxd
safep.vxd
%System%\wmpdrm.dll作为BHO被调用后,会尝试调用%System%\spoolsv\spoolsv.exe和%System%\msicn\msibm.dll。

注:如果%System%\spoolsv\spoolsv.exe没有被运行或被调用,也就不会备份还原,好像它就是用来备份的。

另外……

在“开始菜单”>>“程序”里 可能 会有一项“NavAngel”,里面有个快捷方式NavAngel.lnk,指向:%System%\spoolsv\spoolsv.exe -ctrlfun:4,3

“添加/删除程序”里有一项“NavAngel”,对应命令是:%System%\spoolsv\spoolsv.exe -ctrlfun:4,2

还有一项“WinDirected 2.0”,对应命令是:%System%\spoolsv\spoolsv.exe -uninst

还可能会有mscache\目录,从名字看像是存放临时缓存文件的。

BHO相关注册表信息:
[HKEY_CLASSES_ROOT\CLSID\]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]
[HKEY_CLASSES_ROOT\TypeLib\]
[HKEY_CLASSES_ROOT\Interface\]

判别自己是否中毒:

1、点开始-运行,输入msconfig,回车,打开实用配置程序,选择“启动”, 感染以后会在启动项里面发现运行Spoolsv.exe的启动项, 每次进入windows会有NTservice的对话框。

2、打开系统盘,假设C盘,看是否存在C:\WINDOWS\system32\spoolsv文件夹,里面有个spoolsv.exe文件,有“傲讯浏览器辅助工具”的字样说明,正常的spoolsv.exe打印机缓冲池文件应该在C:\WINDOWS\system32目录下。

3,打开任务管理器,会发现spoolsv.exe进程,而且CPU占用率很高。

清除方法:

1、重新启动,开机按F8进入安全模式。

2、点开始-运行,输入cmd,进入dos。

利用rd命令删除以下目录(如果存在)( 在dos窗口下输入:rd(空格)C:\WINDOWS\system32\spoolsv/s,回车,出现提示,输入y回车,即可删除整个目录。):

C:\WINDOWS\system32\msibm
C:\WINDOWS\system32\spoolsv
C:\WINDOWS\system32\bakcfs
C:\WINDOWS\system32\msicn

利用del命令删除下面的文件(如果存在)(比如在dos窗口下输入:del(空格)C:\windows\system32\spoolsv.exe,回车,即可删除被感染的spoolsv.exe,这个文件可以在杀毒结束后在别的正常的机器上复制正常的spoolsv.exe粘贴到
C:\windows\system32文件夹。):

C:\windows\system32\spoolsv.exe
C:\WINDOWS\system32\wmpdrm.dll

3、重启按F8再次进入安全模式。

(1)桌面右键点击我的电脑,选择“管理”,点击“服务和应用程序”-“服务”,右键点击
NTservice,选择“属性”,修改启动类型为“禁用”。

(2)点开始,运行,输入regedit,回车打开注册表,点菜单上的编辑,选择查找,查找含有spoolsv.exe的注册表项目,删除。可以利用F3继续查找,将含有spoolsv.exe的注册表项目全部删除。

4、若以上操作完成后,仍然有该进程。请桌面右键点击我的电脑,选择“管理”,点击“服务和应用程序”-“服务”,右键点击print spooler,选择“属性”,先点“停止”然后修改启动类型为手动或“禁用”。随后重复以上步骤。

另外解决方案 直接删除C:\WINDOWS\system32\spool\PRINTERS 下的文件即可

我还遇到一种情况:经检查,不是以上所描述的病毒,但经常占CPU 100%,但是连续关进程几次,便不再出现,奇怪。
如上所述,在system32里有 spool文件夹。直接把 \PRINTERS 下的文件删除,便解决了这个问题。
这可能不是“病毒”问题,而是系统的故障,但出现了还是很麻烦的。

参考资料:http://ke.baidu.com/view/219064.htm

热心网友 时间:2022-04-14 06:14

不是病毒的 啊 我朋友的电脑前些天也是这个问题啊 没事的 放心 把qq医生删了吧

热心网友 时间:2022-04-14 07:49

不是病毒 那个程序是打印机的相关服务
如果查出他是病毒的话 可能是被一些病毒感染了吧 换了杀毒软件查一查

热心网友 时间:2022-04-14 09:40

这个是打印机的进程

放心 是QQ的误报

很多论坛上都有网友提出这个问题了。。。

热心网友 时间:2022-04-14 11:48

这是哪门子杀毒软件啊。spoolsv.exe是Print Spooler服务,这个服务的作用是把文档保存在内存中以便稍候打印。是Windows打印中不可缺少的服务文件。这个也被当成病毒了?

热心网友 时间:2022-04-14 14:13

症状:在你想要打开打印机窗口或从任何程序中尝试打印时,却收到下面的错误消息之一:

Spoolsv.exe 产生了错误,会被 Windows 关闭。
由于缺乏资源打印机操作不能继续。
子系统不可用。

解决方法:

这可能是由于已安装的打印机的驱动程序损坏了。要解决这个问题,你可以删掉打印机和它的驱动程序并在注册表中删除一些项,具体步骤:

如果可能的话,删除所有打印机。
在打印机窗口,在文件菜单上,单击服务器属性。
在驱动器标签上,删除所有已安装的打印加驱动程序。

启动注册表编辑器(Regedit.exe)。
导出下列注册表项:

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Print
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/Print

删除在下列项下面列出的任何项(不要把它们自己删掉):

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Print/Environments/Windows NT x86/Drivers/Version-2
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Print/Environments/Windows NT x86/Drivers/Version-3
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/Print/Environments/Windows NT x86/Drivers/Version-2
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/Print/Environments/Windows NT x86/Drivers/Version-3

删除在下列项下面列出的任何非默认项:

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Print/Monitors
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/Print/Monitors

默认的监督程序包括:

AppleTalk Printing Devices (当装有为 Macintosh 的服务时)
BJ Language Monitor
Local Port
PJL Language Monitor
Standard TCP/IP Port
USB Monitor
Windows NT Fax Monitor (When a Fax Modem is installed)

要获得更多信息,有关那个项不是默认的,请点击下面的文章序号来查阅在微软知识库中对应的文章:
Q260142 How to Troubleshoot Windows Printing Problems

删除在下列项中列出的任何项:

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Print/Printers
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/Print/Printers

退出注册表编辑器。
重启你的计算机,并重新安装所需的打印机。

我的机器也是spoolsv.exe占用cpu使用率100%,用下面的方法解决了。
1.控制面板-管理工具-服务-print spooler-右击属性-手动-停止。
2.用regedit.exe打开注册表,找到HKEY_LOCAL_MACHINE/SYSTEM/controlset001/controol/print/printers/删除非本地的所有打印机(只留本地或所在网络中的打印机)。
3.将print spooler设置为启动。
4.查看cpu使用率为00,打印机使用也正常了。
这是解决问题的一个例子

当上面的方法不管用的时候用这个方法也不错

最新病毒警告spoollv.exe及处理方法

今日发现,病毒进程名:spoollv.exe,该病毒同以前发作的orans.sys(病毒名wordpad.exe)特征一样,发作时symantec防病毒软件不停地跳出警告窗口,提示spoolv.sys,不小心就会认为是打印服务呢,哪有在进程加载打印服务的呢?打印服务的后台进程是spoolvs.exe,而这个病毒的进程是spoolsv.exe,呵呵,是不是一字之差啊?

该病毒运行后将自己拷贝到System目录,文件名为Spoolv.exe ,并自动修改注册表HKLM/Software/Microsoft/Windows/CurrentVersion/Run
Spooler SubSystem App : Spoolv.exe
HKLM/Software/Microsoft/Windows/CurrentVersion/RunServices
Spooler SubSystem App : Spoolv.exe
这样每次开机病毒都能启动。

病毒带有黑客色彩,有多种传播途径。能自动扫描机器漏洞然后传播自己。能通过猜测弱口令传播自身,内部附带了庞大的密码字典,覆盖了很多常用的密码和几乎所有常见英文单词,总共有7389个,容易在局域网内传播。能著名聊天工具通过IRC传播。还能进行DDos攻击。

能查找注册表,获得多种著名游戏的序列号,可通过邮件发送出去。

查找并结束多种进程。其中包括防火墙和杀毒进程,如:_AVP32.EXE,_AVPM.EXE,ANTI-TROJAN.EXE,
APVXDWIN.EXE,AVNT.EXE,CFINET.EXE,CLAW95CF.EXE,ESPWATCH.EXE,F-PROT95.EXE,NAVWNT.EXE,
RAV7.EXE,VET95.EXE,NAVW32.EXE,NAVAPSVC.EXE.....几乎包括了所有知名杀毒软件。

还会结束一些著名的病毒进程,如:MSBLAST.EXE,KPF4SS.EXE,KPF4GUI.EXE,EXPLORER32.EXE,
WINSOCK2.2.EXE,WINEXEC.EXE,WINDRIVER.EXE,SYSCFG32.EXE,SYSOTRAY32.EXE,RUNDDL31.EXE...
其中MSBLAST.exe是冲击波病毒。 呵呵,厉害吧.

病毒入侵机器后通过修改注册表提高机器的安全级别,并删除所有共享文件夹,使得及其难以被其他病毒和黑客入侵。

处理方法:重起计算机,进入安全模式,显示系统所有隐藏文件,在c:/windows下找到spoollv.exe,删除并清空回收站,打开symantec防病毒软件并在威胁记录中清除所有隔离文件.重起,OK!由于暂时不知道系统漏洞,如果二次感染,清除方法同上.

5、病毒、木马、间谍软件造成CPU使用率占用100%

出现CPU占用率100% 的故障经常是因为病毒木马造成的,比如震荡波病毒。应该首先更新病毒库,对电脑进行全机扫描 。接着,在使用反间谍软件Ad—Aware,检查是否存在间谍软件。论坛上有不少朋友都遇到过svchost.exe占用CPU100%,这个往往是中毒的表现。

svchost.exe Windows中的系统服务是以动态链接库(DLL)的形式实现的,其中一些会把可执行程序指向svchost.exe,由它调用相应服务的动态链接库并加上相应参数来启动服务。正是因为它的特殊性和重要性,使它更容易成为了一些病毒木马的宿主。

6、 explorer.exe进程造成CPU使用率占用100%

在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那幺后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。

在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE/Software/Microsoft/Windows/CurrentVersion/Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表“HKEY-LOCAL-MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run”下的

Explorer 键值改为Explorer=“C:/Windows/expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER/Software/Microsoft/Windows/CurrentVersion/Run”、“HKEY-USERS/****/Software/Microsoft/Windows/CurrentVersion/Run”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINE/Software/Microsoft/Windows/CurrentVersion/Run”下找到“木马”程序的文件名,再在整个注册表中搜索即可。

进程占用CPU 100%时可能中的病毒

system Idle Process

进程文件: [system process] or [system process]

进程名称: Windows内存处理系统进程

描 述: Windows页面内存管理进程,拥有0级优先。

介 绍:该进程作为单线程运行在每个处理器上,并在系统不处理其它线程的时候分派处理器的时间。它的CPU占用率越大表示可供分配的CPU资源越多,数字越小则表示CPU资源紧张。

Spoolsv.exe

进程文件: spoolsv or Spoolsv.exe

进程名称: Printer Spooler Service

描 述: Windows打印任务控制程序,用以打印机就绪。

介 绍:缓冲(spooler)服务是管理缓冲池中的打印和传真作业。

Spoolsv.exe→打印任务控制程序,一般会先加载以供列表机打印前的准备工作

Spoolsv.exe,如果常增高,有可能是病毒感染所致

目前常见的是:

Backdoor/Byshell(又叫*大盗、*杀手、西门庆病毒) 【

热心网友 时间:2022-04-14 16:54

有可能
声明声明:本网页内容为用户发布,旨在传播知识,不代表本网认同其观点,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:11247931@qq.com
上午去烧香,晚上梦见僵尸要吃我 ...电梯顶层的上方看到死人半个身子 我我掉头走后 被吓醒了 郁_百度知... 我两次梦见去逛商场然后电梯(上升的,带扶手的)塌了,丧尸出来,我和一群... 梦见在丧尸要咬我然后被我一脚踢进电梯它里半个身体出来了还想咬,然后... 香港hpv九价预约官网网址 电脑所有的电线有哪些电脑有哪些连接线 电脑电源那么多线起什么作用电脑电源连接线有多少个基本的都有什么作用... 显示器要接几根线 ...连接线是9芯的,谁知道是哪几条有用,哪几条没有用,各是什么颜色... mbr平板膜可以倒着放么 是否情侣装就一定要选择同样的颜色? 周华健和混血儿子穿西装合照,你怎么看呢? 明星父母与孩子的亲子装,哪些最时尚最好看? 邓莎携儿子拍大片,邓莎母子俩的穿搭为什么让大家羡慕? 一家三口人肤色都黑适合穿什么颜色亲子装 上衣黑色亲子装半袖配什么颜色裤子 董璇穿亲子装时尚休闲,母女同框真养眼,你羡慕了吗? 怎么查看华为电池真实使用时间? 是否可以查看手机电池使用时间? IE浏览器打开就出现。。。该内存不能为READ,得知可能是中毒了,于是给重装了系统,可是还不行 “玲”的繁体字是什么? 凌和玲两个字的含义 “玲”字是什么音序? 360杀毒软件怎样? 玲字五行属什么 繁体字多少划 “玲”这个字拆开怎么解释? 玲字五行属什么 玲字介绍 玲字意思是什么 玲的字义是什么 2021年3月26日晚上海卫视播出的电视剧叫什么名字? 手机上哪个视频软件可以看直播的回放?比如20点钟我要看19点30上海卫视电视剧的回放 "0x75c9a09e"指令引用的"0x001ee004"内存,该内存不能为"written"是什么意思?? 周公解梦离异女梦到自己穿着旗袍走在路上,碰到另一个更漂亮的女生穿着... 梦见前夫的老婆怀孕要打掉周公解梦 内存不能为read然后需要关闭 是怎么回事??? 红枣泡茶用什么红枣好? 大家说的红枣泡茶是哪种红枣啊,大概在哪里能买啊 谁能找到比较好的泡茶的红枣,急需。 用什么枣泡茶喝效果好呢? 请问用枣泡茶好吗? 如果梦见自己喜欢的明星跟自己接吻是什么意思? 梦见喜欢的男明星和另一个喜欢的男明星当着我的面接吻有什么意思 前天晚上梦见和喜欢的明星接吻恋爱而且很幸福 昨天晚上梦见有人诅咒 windosws版icloud什么意思?怎么用? 应用程序异常 位知的软件异常 (0xc0000409),位置为 0x10004805 脚踝骨折疼痛怎么办?! 脚踝骨折,用夹板固定,请问多长时间可以长骨痂 脚踝骨骨折石膏固定后该注意什么 脚踝骨折钢板固定手术后,需要多长时间才能下地