spooslv.exe

: Printer Spooler Service

: Windows列印任務控制程式，用以印表機就緒。

:緩衝(spooler)服務是管理緩衝池中的列印和傳真作業。

Spoolsv.exe→列印任務控制程式，一般會先載入以供列表機列印前的準備工作Spoolsv.exe，如果資源占用增高，有可能是病毒感染所致。

目前常見的是:

Backdoor.Win32.Plutor，感染PE檔案的後門程式，病毒採用VC編寫。

Backdoor/Byshell，又叫隱形大盜、隱形殺手、西門慶病毒。

危害程度:中

未受影響的系統: Windows 95， Windows 98， Windows Me， Windows NT， Windows 3.x， Macintosh， Unix， Linux

簡單的後門木馬，發作會刪除自身程式，但將自身程式套入可執行程式內(如:exe)，並與計算機的通口(TCP連線埠138)掛鈎，監控計算機的信息、密碼，甚至是鍵盤操作，作為回傳的信息，並不時驅動連線埠，以等候傳進的命令，由於該木馬不能判別何者是正確的連線埠，所以負責輸出的列表機也是其驅動對象，以致Spoolsv.exe的使用異常頻繁......

1、將病毒檔案複製到%WINDIR%目錄下，檔案名稱為"；Spoolsv.exe"；，並該病毒檔案運行。"；Spoolsv.exe"；檔案運行後釋放檔案名稱為"；mscheck.exe"；的檔案到%SYSDIR%目錄下，該檔案的主要功能是每次激活時運行"；Spoolsv.exe"；檔案。如果所運行的檔案是感染了正常檔案的病毒檔案，病毒將會把該檔案恢復並將其運行。

2、修改註冊表以下鍵值: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun

增加數據項:"；Microsoft Script Checker"； 數據為:"；MSCHECK.EXE /START"；

修改該項註冊表使"；MSCHECK.EXE"；檔案每次系統激活時都將被運行，而"；MSCHECK.EXE"；用於運行"；Spoolsv.exe"；檔案，從而達到病毒自激活的目的。

3、創建一個執行緒用於感染C糟下的PE檔案，但是檔案路徑中包含"；winnt"；、"；Windows"；字元串的檔案不感染。另外，該病毒還會枚舉區域網路中的已分享資料夾並試圖對這些目錄下的檔案進行感染。該病毒感染檔案方法比較簡單，將正常檔案的前0x16000個位元組替換為病毒檔案中的數據，並將原來0x16000個位元組的數據插入所感染的檔案尾部。

4、試圖與區域網路內名為"；admin"；的郵槽聯繫，創建名為"；client"；的郵槽用於接收其控制端所傳送的命令，為其控制端提供以下遠程控制服務:

顯示或隱藏指定視窗、螢幕截取、控制CDROM、關閉計算器、註銷、破壞硬碟數據。那些病毒會造成CPU占有率過高

1. 生成病毒檔案

2. 插入正常系統檔案中

3. 修改系統註冊表

4. 可被黑客遠程控制

5. 躲避反病毒軟體的查殺

建議使用防病毒軟體對電腦進行查殺。或是重裝、恢復。

開始選單-->運行-->輸入：C:\windows\system32\spoolsv\spoolsv.exe -uninst(-uninst前是空格)彈出一對話視窗，點擊卸載。如果還不行執行如下操作：

1、斷開所有的網路連結

2、重啟計算機進入安全模式

3、在安全模式下刪除C:\Windows\System32\mscache這個資料夾

4、在安全模式下，打開IE瀏覽器，工具——Internet選項——刪除檔案（所有脫機內容）

5、在控制臺的添加刪除程式中找到windirected2.0（傲迅公司軟體），卸載

6、重啟回到正常模式，全盤查殺