几天前,解木马的SPOOLSV.EXE在spoolsv.exe感染了木马病毒。不管怎么杀都杀不死。它被杀了一次又一次。最后,人们发现没有软件可以杀死spoolsv.exe的最新变种。所以,解决办法贴在这里,希望对大家有帮助!
Spoolsv.exe是一个延迟打印的木马程序,使电脑的CPU利用率达到100%,从而保持风扇高速运转,发出噪音。目前网上提供的方法或许能解决前面的问题,但对最新的变种现象无能为力。ctrl+Alt+Delete停止spoolsv.exe的运行过程。
重启电脑进入安全模式,删除C:/windows/system32下的spoolsv.exe/(或者通过搜索删除c盘所有同名文件)
运行regedit,通过搜索找到并删除所有spoolsv文件。
右键点击我的电脑,选择管理服务,禁用后台打印服务(目前网上可用的方法就这么多)。
重新启动计算机并进入系统的正常模式。你会发现电脑还在高速运行,但是在搜索中找不到任何spoolsv相关的文件。
Ctrl Alt Delete,可以在进程中找到一个名为inter的后台运行程序并关闭。
强烈建议在应用上述步骤解决问题后,运行反木马程序扫描并删除受感染的文件。
我原来的方法是:在桌面上建立一个TXT文件并显示其扩展名,将文件名改为spools.exe,文件属性改为只读,用这个假病毒覆盖c:\winnt\system32\spoolsv\的44K真病毒。好,重启电脑。病毒消失了。
最后发现是一家公司生产了这个病毒:广州奥迅信息技术有限公司。
删除体验:
Spoolsv.exe是一个系统进程,用于将Windows打印机作业发送到本地打印机。注意,spoolsv.exe也可能是后门的特洛伊木马。这个特洛伊木马允许攻击者访问你的计算机,窃取密码和个人数据。
两者的区别在于,前者在SYSTEM32目录下,而木马不在SYSTEM32目录下,而是在其子目录或其他目录下。
手动清除方法,进入安全模式,工具-文件夹选项-查看,勾选'显示文件夹内容'和'显示所有文件和文件夹'前的框,去掉'隐藏受保护的操作系统文件'前的框,然后完整搜索文件tqppmtw.fyf,找到后删除,继续搜索spoolsv.exe文件。请注意,它不会在SYSTEM32目录中删除。最后清空IE临时缓存,temp临时目录,回收站就可以了。
Spoolsv.exe是一个延迟打印的木马程序,使电脑的CPU利用率达到100%,从而保持风扇高速运转,发出噪音。该特洛伊木马允许攻击者访问您的计算机并窃取密码和个人数据。
首先确定自己是否中毒。
1.单击开始-运行,输入msconfig,按enter,打开实用程序配置程序,然后选择“开始”。感染后,在启动项中会找到运行Spoolsv.exe的启动项。每次进入windows,都会有一个NTservice的对话框。
2.打开系统盘,假设是c盘,看看有没有文件夹C:\WINDOWS\system32\spoolsv,里面有一个spoolsv.exe文件,上面写着Aux浏览器辅助工具’。正常的spoolsv.exe打印机缓冲池文件应该在C:\WINDOWS\system32目录中。
3.打开任务管理器,会发现spoolsv.exe进程,CPU利用率很高。
二、拆卸方法
1、重启,开机按F8进入安全模式。
2.单击开始-运行,输入cmd,输入dos,并使用rd命令删除目录(如果存在)
C:\WINDOWS\system32\msibm
C:\WINDOWS\system32\spoolsv
C:\WINDOWS\system32\bakcfs
C:\WINDOWS\system32\msicn
比如在dos窗口中输入:rd(space)C:\ WINDOWS \ system32 \ spoolsv/s,回车,会有提示。输入y回车,可以删除整个目录。
使用del命令删除以下文件(如果存在)
c:\ windows \ system32 \ spoolsv . exe
C:\WINDOWS\system32\wmpdrm.dll
例如,在dos窗口中输入:del(space)C:\ windows \ system32 \ spoolsv.exe,回车删除被感染的spoolsv.exe。杀毒后可以将该文件复制粘贴到另一台正常机器上的C: \ windows \ system32文件夹中。
3.重启并按下F8再次进入安全模式。
(1)右键单击桌面上的我的电脑,选择“管理”,单击“服务和应用程序”-“服务”,右键单击NTservice,选择“属性”,将启动类型更改为“禁用”。
(2)开始,运行,进入regedit,回车打开注册表,点击菜单上的编辑,选择搜索,找到包含spoolsv.exe的注册表项,删除。您可以使用F3继续搜索并删除所有包含spoolsv.exe的注册表项。
第三,再次正常重启。
病毒清除后,你的SPOOLSV.EXE文件就没了,你的后台打印后台程序也无法在服务中启动。当然,打印机也不能运行。在运行中输入“services.msc”后,“print spooler”服务的“general”项中的“executable file path”将不可用。如果启动,将显示错误“错误3:找不到系统路径”。
解决方法:
1.复制SPOOLSV。将安装光盘的I386目录中的EX_ file复制到SYSTEM32目录中,并将其重命名为spoolsv.exe。当然,你也可以把这个文件复制到别人的系统里。也可以使用NT/XP的文件保护功能,即在CMD中键入SFC/SCANNOW进行全面修复。无论如何,你可以恢复这个文件。
2.修改注册表:进入目录' HKEY _本地_机器\系统\当前控制集\服务\假脱机'创建一个新的可扩展字符串值,命名为'图像路径'其值为:' C:\ windows \ system32 \ spoolsv . exe '(不带引号),然后输入。
