博易大师浙商期货官网:spoolsv.exe, 是一个木马程序,但是怎么也删除不了,用了TtojanHunter 也无法删除,怎么办?

这个方法我用过两次了!

spoolsv(spoolsv.exe)的正常程序是Windows用于将Windows打印机任务发送给本地打印机。但如果还有另外的spoolsv(spoolsv.exe) 则是Backdoor.Ciadoor.B木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。可以让你的电脑变慢，甚至CPU占用100%。
正常的spoolsv.exe位于C:\WINDOWS\System32,在WinXP下的正常程序大小是57k。而大小为44k的是木马程序，一般藏在 c:\windows\system32\spoolsv 文件夹，另,该木马为防被删,还设置有备份程序tqppmtw.fyf也藏windows文件夹下面。
spoolves.exe病毒,用木马查杀软件、专业杀毒软件不能杀死，许多杀毒软件甚至不能表示出发现病毒的信息。唯有手工清除。
我们以系统安装在C分区、系统文件夹是WINDOWS(Win2000是WINNT)，操作系统是Windows XP为例。
1.首先，单击【开始】－【搜索】－【文件或文件夹上】，在打开的搜索窗口里，选择，“所有文件和文件夹”，范围，就选择C，查看除去一个57K的"spoolsv.exe"(spoolsv)以外是否还有同名程序在不同位置,大小是44K,如果有，那么“恭喜你－你中标了！”(注意：如果，你曾经 Windows XP的自动更新，在C:\WINDOWS\SoftwareDistribution\Download\ 目录下面的子目录里也存在该程序、大小也是57K的文件，不是病毒，是正常的未安装的升级文件，删除包含它的文件夹也不影响机器的运行)。此病毒的路径一般为：
system32\spoolsv\sploosv.exe，中毒之后，你的电脑里C:\WINDOWS\system32目录下多出这几个文件夹：msibm，msicn，mscache， spoolsv，1116，里面统统是病毒程序所需要的文件，包括 wmpdrm.dll 这个病毒的关键文件。
2.同样用【搜索】功能查找 tqppmtw.fyf 文件有没有、在那个目录下面、记住这个位置。
3.重新开机，按F8键，选择由安全模式(sofe mode)进入系统：
3.打开【控制面板】－“添加或删除程序”，卸载WinDirected 2.0。这个是罪魁祸首。铲除 c:/windows/system32/下面的spoolsv、msibm，msicn，mscache，1116文件夹及其里面的全部内容。删除c:/windows/exploer.exe程序,（注意它的名字很像explorer.exe）
4.单击：【开始】－【运行】，输入：regedit，打开注册表编辑器，顺序查找：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ，选择Run这项，在注册表编辑器的右半部分是否有这样
的键值："spoolsv"="%System%\spoolsv\spoolsv.exe -printer" ，删除它。
5.在注册表编辑器里，选择【编辑】－【查找】命令，在查找菜单里输入{0E674588-66B7-4E19-9D0E-2053B800F69F}，找到之后把整个子键删除，再执行查找下一个命令，直至注册表搜索完毕的提示出现，同样方法，查找：
wmpdrm.cfsbho
wmpdrm.cfsbho.1
{8B200623-3FC5-4493-8B49-DC2AD4830AF4}
{4A775183-9517-420E-9A13-D3DA47BB8A84}
将它们一一删除。再回到系统文件夹里删除 tqppmtw.fyf 文件。
6.另外：看看在“开始菜单”>>“程序”里可能会有一项“NavAngel”，里面有个快捷方式NavAngel.lnk，指向：%System%
\spoolsv\spoolsv.exe -ctrlfun:4,3，“添加/删除程序”里有一项“NavAngel”，对应命令是：%System%\spoolsv\spoolsv.exe -
ctrlfun:4,2，删除它们。
7.最好再在Internet Explorer浏览器里面手动添加受限制站点,屏蔽： http://liveupdate.ourxin.com/secp.exe 网址。方法(新手扫盲)：在浏览器在Internet Explorer菜单里选择【工具】－【Interner选项】:选择单击“安全”选项卡，再选择，受限制站点，再
单击旁边的“站点”按钮，如图

spoolsv - spoolsv.exe - 进程信息

spoolsv - spoolsv.exe - 进程信息
进程文件: spoolsv or spoolsv.exe
进程名称: Printer Spooler Service
描述: Windows打印任务控制程序，用以打印机就绪。
常见错误: N/A
是否为系统进程: 是

个人评价：

这是打印机加载项的问题，先排除不是病毒伪装的程序之后，属于关于spoolsv.exe进程耗尽CPU资源的问题了……

解决办法：在控制面板，管理工具，服务中找到Printer Spooler Service，如果你没用打印机的话可以关闭这个服务。

spoolsv - spoolsv.exe - 进程信息
进程文件: spoolsv or spoolsv.exe
进程名称: Printer Spooler Service
描述: Windows打印任务控制程序，用以打印机就绪。
常见错误: N/A
是否为系统进程: 是

Spoolsv.exe文件出错怎么办

症状：在你想要打开打印机窗口或从任何程序中尝试打印时，却收到下面的错误消息之一：

Spoolsv.exe 产生了错误，会被 Windows 关闭。
由于缺乏资源打印机操作不能继续。
子系统不可用。

解决方法：

这可能是由于已安装的打印机的驱动程序损坏了。要解决这个问题，你可以删掉打印机和它的驱动程序并在注册表中删除一些项，具体步骤：

如果可能的话，删除所有打印机。
在打印机窗口，在文件菜单上，单击服务器属性。
在驱动器标签上，删除所有已安装的打印加驱动程序。

启动注册表编辑器（Regedit.exe）。
导出下列注册表项：

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Print
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/Print

删除在下列项下面列出的任何项（不要把它们自己删掉）：

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Print/Environments/Windows NT x86/Drivers/Version-2
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Print/Environments/Windows NT x86/Drivers/Version-3
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/Print/Environments/Windows NT x86/Drivers/Version-2
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/Print/Environments/Windows NT x86/Drivers/Version-3

删除在下列项下面列出的任何非默认项：

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Print/Monitors
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/Print/Monitors

默认的监督程序包括：

AppleTalk Printing Devices （当装有为 Macintosh 的服务时）
BJ Language Monitor
Local Port
PJL Language Monitor
Standard TCP/IP Port
USB Monitor
Windows NT Fax Monitor (When a Fax Modem is installed)

要获得更多信息，有关那个项不是默认的，请点击下面的文章序号来查阅在微软知识库中对应的文章：
Q260142 How to Troubleshoot Windows Printing Problems

删除在下列项中列出的任何项：

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Print/Printers
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/Print/Printers

退出注册表编辑器。
重启你的计算机，并重新安装所需的打印机。

我的机器也是spoolsv.exe占用cpu使用率100%，用下面的方法解决了。
1.控制面板-管理工具-服务-print spooler-右击属性-手动-停止。
2.用regedit.exe打开注册表，找到HKEY_LOCAL_MACHINE/SYSTEM/controlset001/controol/print/printers/删除非本地的所有打印机(只留本地或所在网络中的打印机)。
3.将print spooler设置为启动。
4.查看cpu使用率为00，打印机使用也正常了。
这是解决问题的一个例子

当上面的方法不管用的时候用这个方法也不错

最新病毒警告spoollv.exe及处理方法

今日发现,病毒进程名:spoollv.exe,该病毒同以前发作的orans.sys(病毒名wordpad.exe)特征一样,发作时symantec防病毒软件不停地跳出警告窗口,提示spoolv.sys,不小心就会认为是打印服务呢,哪有在进程加载打印服务的呢?打印服务的后台进程是spoolvs.exe,而这个病毒的进程是spoolsv.exe,呵呵,是不是一字之差啊?

该病毒运行后将自己拷贝到System目录，文件名为Spoolv.exe ,并自动修改注册表HKLM/Software/Microsoft/Windows/CurrentVersion/Run
Spooler SubSystem App : Spoolv.exe
HKLM/Software/Microsoft/Windows/CurrentVersion/RunServices
Spooler SubSystem App : Spoolv.exe
这样每次开机病毒都能启动。

病毒带有黑客色彩，有多种传播途径。能自动扫描机器漏洞然后传播自己。能通过猜测弱口令传播自身，内部附带了庞大的密码字典，覆盖了很多常用的密码和几乎所有常见英文单词，总共有7389个，容易在局域网内传播。能著名聊天工具通过IRC传播。还能进行DDos攻击。

能查找注册表，获得多种著名游戏的序列号，可通过邮件发送出去。

查找并结束多种进程。其中包括防火墙和杀毒进程，如：_AVP32.EXE，_AVPM.EXE，ANTI-TROJAN.EXE，
APVXDWIN.EXE，AVNT.EXE，CFINET.EXE，CLAW95CF.EXE，ESPWATCH.EXE，F-PROT95.EXE，NAVWNT.EXE，
RAV7.EXE，VET95.EXE，NAVW32.EXE，NAVAPSVC.EXE.....几乎包括了所有知名杀毒软件。

还会结束一些著名的病毒进程，如：MSBLAST.EXE，KPF4SS.EXE，KPF4GUI.EXE，EXPLORER32.EXE，
WINSOCK2.2.EXE，WINEXEC.EXE，WINDRIVER.EXE，SYSCFG32.EXE，SYSOTRAY32.EXE，RUNDDL31.EXE...
其中MSBLAST.exe是冲击波病毒。 呵呵,厉害吧.

病毒入侵机器后通过修改注册表提高机器的安全级别，并删除所有共享文件夹，使得及其难以被其他病毒和黑客入侵。

处理方法:重起计算机,进入安全模式,显示系统所有隐藏文件,在c:/windows下找到spoollv.exe,删除并清空回收站,打开symantec防病毒软件并在威胁记录中清除所有隔离文件.重起,OK!由于暂时不知道系统漏洞,如果二次感染,清除方法同上.

5、病毒、木马、间谍软件造成CPU使用率占用100%

出现CPU占用率100% 的故障经常是因为病毒木马造成的，比如震荡波病毒。应该首先更新病毒库，对电脑进行全机扫描 。接着，在使用反间谍软件Ad—Aware，检查是否存在间谍软件。论坛上有不少朋友都遇到过svchost.exe占用CPU100%，这个往往是中毒的表现。

svchost.exe Windows中的系统服务是以动态链接库(DLL)的形式实现的，其中一些会把可执行程序指向svchost.exe，由它调用相应服务的动态链接库并加上相应参数来启动服务。正是因为它的特殊性和重要性，使它更容易成为了一些病毒木马的宿主。

6、 explorer.exe进程造成CPU使用率占用100%

在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那幺后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。

在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至:“HKEY-LOCAL-MACHINE/Software/Microsoft/Windows/CurrentVersion/Run”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记:有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY-LOCAL-MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run”下的

Explorer 键值改为Explorer=“C:/Windows/expiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如:“HKEY-CURRENT-USER/Software/Microsoft/Windows/CurrentVersion/Run”、“HKEY-USERS/****/Software/Microsoft/Windows/CurrentVersion/Run”的目录下都有可能，最好的办法就是在“HKEY-LOCAL-MACHINE/Software/Microsoft/Windows/CurrentVersion/Run”下找到“木马”程序的文件名，再在整个注册表中搜索即可。

进程占用CPU 100%时可能中的病毒

system Idle Process

进程文件: [system process] or [system process]

进程名称: Windows内存处理系统进程

描 述: Windows页面内存管理进程，拥有0级优先。

介 绍:该进程作为单线程运行在每个处理器上，并在系统不处理其它线程的时候分派处理器的时间。它的CPU占用率越大表示可供分配的CPU资源越多，数字越小则表示CPU资源紧张。

Spoolsv.exe

进程文件: spoolsv or Spoolsv.exe

进程名称: Printer Spooler Service

描 述: Windows打印任务控制程序，用以打印机就绪。

介 绍:缓冲(spooler)服务是管理缓冲池中的打印和传真作业。

Spoolsv.exe→打印任务控制程序，一般会先加载以供列表机打印前的准备工作

Spoolsv.exe，如果常增高，有可能是病毒感染所致

目前常见的是:

Backdoor/Byshell(又叫隐形大盗、隐形杀手、西门庆病毒)