木马病毒SPOOLSV.EXE的解决方案前几天,我感染了一个来自spoolsv.exe的木马病毒,但是我怎么杀都杀不死它。我又杀了一遍,终于发现没有软件可以杀死spoolsv.exe的最新变种。因此,
在这里发布解决方案,希望对大家有帮助!
Spoolsv.exe是一个延迟打印的木马程序,使电脑CPU的利用率达到100%,从而保持风扇高速运转,发出噪音。目前网上提供的方法或许能解决前面的问题,但对最新的变异现象无能为力。
Ctrl Alt Delete停止spoolsv.exe运行进程
重启电脑进入安全模式,删除C:/windows/system32下的spoolsv.exe/(或者通过搜索删除c盘所有同名文件)。
运行regedit,通过搜索找到并删除所有spoolsv文件。
右键点击我的电脑,选择管理服务,禁用后台打印服务(目前为止网上提供的方法只有这里)。
重新启动计算机并进入系统的正常模式。你会发现电脑还在高速运行,但是搜索不到任何spoolsv相关的文件。
Ctrl Alt Delete,可以在进程中找到一个名为inter的后台运行程序并关闭。
强烈建议在应用上述步骤解决问题后,运行反特洛伊木马程序来扫描并删除受感染的文件。
我自己原来的方法是在桌面上建立一个TXT文件,显示扩展名。重命名为spools.exe后,将文件属性改为只读,用c:\winnt\system32\spoolsv\的44K真病毒覆盖这个假病毒。好,重启电脑。病毒消失了。
最后发现生产这种病毒的是一家公司:广州奥讯信息技术有限公司。
删除体验:
Spoolsv.exe是一个将Windows打印机任务发送到本地打印机的系统进程。注意,spoolsv.exe也可能是借壳。Ciadoor.B特洛伊木马。该特洛伊木马允许攻击者访问您的计算机。
窃取密码和个人数据。
两者的区别在于,前者在SYSTEM32目录下,而木马不在SYSTEM32目录下,而是在其子目录或其他目录下。
手动清理方法:进入安全模式,工具-文件夹选项-查看,勾选“显示文件夹内容”和“显示所有文件和文件夹”,去掉“隐藏受保护的操作系统文件”前的勾选。
然后完整搜索文件tqppmtw.fyf,找到后删除,继续搜索spoolsv.exe文件。请注意,SYSTEM32目录中的所有文件都被删除了。最后清空IE临时缓存,temp临时目录,回收站就可以了。
Spoolsv.exe是一个延迟打印的木马程序,使电脑CPU的利用率达到100%,从而保持风扇高速运转,发出噪音。该特洛伊木马允许攻击者访问您的计算机并窃取密码和个人数据。
首先判断自己是否中毒。
1.单击开始-运行,输入msconfig,按enter,打开实用程序配置程序,然后选择开始。感染后会在启动项中找到运行Spoolsv.exe的启动项,每次进入windows都会有一个NTservice的对话框。
2.打开系统盘,假设是c盘,看是否有文件夹C:\WINDOWS\system32\spoolsv,里面有一个spoolsv.exe文件,上面写着“奥迅浏览器助手”。
正常的spoolsv.exe打印机缓冲池文件应该在目录C:\WINDOWS\system32中。
3、打开任务管理器,你会发现spoolsv.exe进程,而且CPU利用率很高。
二、清除方法
1、重新启动,开机按F8进入安全模式。
2、点开始运行,输入cmd,进入dos,利用rd命令删除一下目录(如果存在)
C:\WINDOWS\system32\msibm
C:\WINDOWS\system32\spoolsv
C:\WINDOWS\system32\bakcfs
C:\WINDOWS\system32\msicn
比如在dos窗口下输入:rd(空格)C:\WINDOWS\system32\spoolsv/s,回车,出现提示,输入y回车,即可删除整个目录。
利用del命令删除下面的文件(如果存在)
C:\windows\system32\spoolsv.exe
C:\WINDOWS\system32\wmpdrm.dll
比如在dos窗口下输入:del(空格)C:\windows\system32\spoolsv.exe,回车,即可删除被感染的spoolsv.exe,
这个文件可以在杀毒结束后在别的正常的机器上复制正常的spoolsv.exe粘贴到C:\windows\system32文件夹。
3、重启按F8再次进入安全模式
(1)桌面右键点击我的电脑,选择“管理”,点击“服务和应用程序”-“服务”,右键点击NTservice,选择“属性”,修改启动类型为“禁用”。
(2)点开始,运行,输入regedit,回车打开注册表,点菜单上的编辑,选择查找,查找含有spoolsv.exe的注册表项目,删除。可以利用F3继续查找,
将含有spoolsv.exe的注册表项目全部删除。
三、再次重新正常启动即可
病毒清了后你的SPOOLSV.EXE文件就没有了,且在服务里你的后台打印print spooler也不能启动了,当然打印机也不能运行了,在运行里输入'services.msc'后,在'print spooler'服务中的'常规'项里的'可执行文件路径'也变得不可用,如启动会显示'错误3:找不到系统路径'的错误,这是因为你的注册表的相关项也删了,(在上面清病毒的时候)
解决方法:
1:在安装光盘里I386目录下把SPOOLSV.EX_文件复制到SYSTEM32目录下改名为spoolsv.exe,当然也可以在别人的系统时把这个文件拷过来,还可以用NT/XP的文件保护功能,即在CMD里键入SFC/SCANNOW全面修复,反正你把这个文件恢复就可以了。
2:修改注册表即可:进入“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler”目录下,新建一个可扩充字符串值,
取名:“ImagePath”,其值为:“C:\WINDOWS\system32\spoolsv.exe”(不要引号)再进入控制面板中启动打印服务即可。
