spoolsv

正常spoolsv進程信息

進程檔案： spoolsv or spoolsv.exe

進程名稱： Microsoft Printer Spooler Service

屬於：Microsoft Windows 2000 and later

使用網路： 否

硬體相關： 否

常見錯誤： 未知N/A

記憶體使用： 未知N/A

安全等級 (0-5): 0

間諜軟體： 否

Adware: 否

病毒： 否

木馬: 否

spoolsv.exe用於將Windows印表機任務傳送給本地印表機，快取列印數據。此進程通常會隨著系統啟動而自動啟動。注意spoolsv.exe也有可能是Backdoor.Ciadoor.B木馬。該木馬允許攻擊者訪問你的計算機，竊取密碼和個人數據。該進程的安全級別是建議立即刪除。

木馬spoolsv進程信息:

描述:

這個垃圾軟體利用將msicn\msibm.dll插入多個進程的方法對系統進行監控，在system32下創建如下該死的東西：

1116\

msicn\msibm.dll

msicn\ube.exe

msicn\plugins\

spoolsv\spoolsv.exe(這個還長得像微軟列印服務，shit！！）

註冊表加入如下垃圾：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"spoolsv"="%System%\spoolsv\spoolsv.exe -printer"

[HKEY_CLASSES_ROOT\CLSID\\InprocServer32]

@="%System%\wmpdrm.dll"

[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]

[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]

[HKEY_CLASSES_ROOT\TypeLib\]

[HKEY_CLASSES_ROOT\Interface\]

然後每隔4秒左右對以上東西進行監控，前後互相照應，讓你無從下手

啟動項 c:/windows/system32/spoolsv/spoolsv.exe -printer

cfs2…… 相關檔案、目錄：

%System%\wmpdrm.dll

%System%\1116\

%System%\msicn\msibm.dll

%System%\msicn\ube.exe

%System%\msicn\plugins\

%System%\spoolsv\spoolsv.exe

%System%\spoolsv\spoolsv.exe，有一個啟動項：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"spoolsv"="%System%\spoolsv\spoolsv.exe -printer"

運行後會調用%System%\msicn\msibm.dll，創建%System%\1116\目錄，備份用。

%System%\1116\目錄是備份目錄，裡面是%System%\wmpdrm.dll、%System%\msicn\和%System%\spoolsv\spoolsv.exe的備份。

%System%\msicn\msibm.dll，會插入多個指定進程，大約每4秒鐘監視恢復檔案（從%System%\1116\目錄）和註冊表信息（啟動項、BHO）：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"spoolsv"

[HKEY_CLASSES_ROOT\CLSID\\InprocServer32]

@="%System%\wmpdrm.dll"

註："spoolsv"的數據不會被監視，所以修改它的數據也不會被恢復，只有刪除"spoolsv"才會被恢復。

還可能會從遠程伺服器下載檔案：

http://liveupdate.ourxin.com/secp.exe

secp.exe是個安裝程式，安裝以下檔案：

%System%\wmpdrm.dll

%System%\msicn\ube.exe

%System%\msicn\plugins\（目錄里4個dll檔案）

%System%\wmpdrm.dll是一個BHO，%System%\msicn\ube.exe像是卸載程式。

另外，在%System%\和%System%\msicn\目錄里還有有一些從遠程下載來的cpz、vxd檔案，比如：

ava.vxd

guid.vxd

plgset.vxd

safep.vxd

%System%\wmpdrm.dll作為BHO被調用後，會嘗試調用%System%\spoolsv\spoolsv.exe和%System%\msicn\msibm.dll。

註：如果%System%\spoolsv\spoolsv.exe沒有被運行或被調用，也就不會備份還原，好像它就是用來備份的。

另外……

在“開始選單”>>“程式”里 可能 會有一項“NavAngel”，裡面有個捷徑NavAngel.lnk，指向：%System%\spoolsv\spoolsv.exe -ctrlfun:4,3

“添加/刪除程式”里有一項“NavAngel”，對應命令是：%System%\spoolsv\spoolsv.exe -ctrlfun:4,2

還有一項“WinDirected 2.0”，對應命令是：%System%\spoolsv\spoolsv.exe -uninst

還可能會有mscache\目錄，從名字看像是存放臨時快取檔案的。

BHO相關註冊表信息：

[HKEY_CLASSES_ROOT\CLSID\]

[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]

[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]

[HKEY_CLASSES_ROOT\TypeLib\]

[HKEY_CLASSES_ROOT\Interface\]

判別自己是否中毒:

1、點開始－運行，輸入msconfig，回車，打開實用配置程式，選擇“啟動”， 感染以後會在啟動項裡面發現運行Spoolsv.exe的啟動項， 每次進入windows會有NTservice的對話框。

2、打開系統盤，假設C糟，看是否存在C:\WINDOWS\system32\spoolsv資料夾，裡面有個spoolsv.exe檔案，有“傲訊瀏覽器輔助工具”的字樣說明，正常的spoolsv.exe印表機緩衝池檔案應該在C:\WINDOWS\system32目錄下。

3，打開任務管理器，會發現spoolsv.exe進程，而且CPU占用率很高。

清除方法：

1、重新啟動，開機按F8進入安全模式。

2、點開始－運行，輸入cmd，進入dos。

利用rd命令刪除以下目錄（如果存在）（ 在dos視窗下輸入：rd(空格）C:\WINDOWS\system32\spoolsv/s，回車，出現提示，輸入y回車，即可刪除整個目錄。）：

C:\WINDOWS\system32\msibm

C:\WINDOWS\system32\spoolsv

C:\WINDOWS\system32\bakcfs

C:\WINDOWS\system32\msicn

利用del命令刪除下面的檔案（如果存在）（比如在dos視窗下輸入：del(空格）C:\windows\system32\spoolsv.exe，回車，即可刪除被感染的spoolsv.exe，這個檔案可以在防毒結束後在別的正常的機器上複製正常的spoolsv.exe貼上到

C:\windows\system32資料夾。）：

C:\windows\system32\spoolsv.exe

C:\WINDOWS\system32\wmpdrm.dll

3、重啟按F8再次進入安全模式。

（1）桌面右鍵點擊我的電腦，選擇“管理”，點擊“服務和應用程式”-“服務”，右鍵點擊

NTservice，選擇“屬性”，修改啟動類型為“禁用”。

、

（2）點開始，運行，輸入regedit，回車打開註冊表，點選單上的編輯，選擇查找，查找含有spoolsv.exe的註冊表項目，刪除。可以利用F3繼續查找，將含有spoolsv.exe的註冊表項目全部刪除。

4、若以上操作完成後,仍然有該進程。請桌面右鍵點擊我的電腦，選擇“管理”，點擊“服務和應用程式”-“服務”，右鍵點擊print spooler，選擇“屬性”，先點“停止”然後修改啟動類型為手動或“禁用”。隨後重複以上步驟。

spoolsv.exe占100%CPU資源的最簡單有效處理方法：

只要清空C:\WINDOWS\system32\spool\PRINTERS 目錄下所有的檔案即可。很有效。