关于spoolsv病毒

关于spoolsv病毒,第1张

分类: 电脑/网络 >> 反病毒
问题描述:

折腾了一天 用尽了网上的所有办法(例如删除文件法,我的机器里找不到网上说的那几个文件夹 清理注册表法,注册表里根本就没有spoolsv项)都没有用 单位两台机器染上了病毒 cpu使用率持续在100%郁闷死 到底是什么病毒啊~ 哭~~~ 到底怎么能解决

解析:

有个SPOOLSV进程竞然点用了cpu的99% !!!!!!!!

病毒是肯定的啦,先看看大伙怎么说,网上查:

1,这是来自“小新技术网xker ”的信息:
spoolsvexe - spoolsv

进程文件: spoolsv or spoolsvexe

进程名称: Microsoft Printer Spooler Service

进程类别:其他进程

英文描述:

spoolsvexe is a Microsoft Windows system executable which handles the printing process to your local printers Note: spoolsvexe is also a process which is registered as the BackdoorCiadoorB Trojan This Trojan allows attackers to access your

中文参考:

spoolsvexe用于将Windows打印机任务发送给本地打印机。注意spoolsvexe也有可能是BackdoorCiadoorB木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全级别是建议立即删除。

出品者:Microsoft Corp

属于:Microsoft Windows 2000 and later

系统进程:Yes

后台程序:Yes

网络相关:No

常见错误:N/A

内存使用:N/A

安全等级 (0-5): 0

间谍软件:No

广告软件:No

病毒:No

木马:No

2,这是"实中论坛gzyixin/bbs"初下小雪的解决之道

--SPOOLSVEXE的解决方法

前几天感染了一个spoolsvexe的木马病毒,怎么杀都杀不掉,杀了又来,最后找了下,发现spoolsvexe的最新变种目前还没有哪个软件能杀掉,因此,将解决方法发布在这里,希望对大家有帮助

spoolsvexe是一种延缓打印木马程序,它使计算机CPU使用率达到100%,从而使风扇保持高速嘈杂运转。目前网上提供的方法或许能够解决前期问题,但对最新的变种现象无能为力,

Ctrl+Alt+Delete停止spoolsvexe运行进程

重启计算机进入安全模式,在C:/windows/system32/删除spoolsvexe(或可用搜索方式删除C盘所有同名文件)

运行regedit,用查找方式找到并删除所有spoolsv文件。

我的电脑点击右键,选择管理,服务,禁用print spooler服务(目前网上提供的方法仅到此)

重启电脑进入系统常规模式,你会发现电脑还是处于高速运转,但在搜索中已找不到任何spoolsv相关文件。

Ctrl+Alt+Delete,你可以在进程中找到一个名为inter的后台运行程序,将其关闭即可。

强烈建议在应用以上步骤解决问题之后,运行反木马程序扫描并删除感染文件。

3,这是"广州易新penhouse/BBS"kira007的解决之道

近来网上出现一个很厉害的病毒。杀毒软件都不能杀死。唯有手工清除。。。以c盘系统为例

请打开你的电脑看看WINDOWS\system32文件夹里有没有这几个文件夹

C:\WINDOWS\system32\msibm\

C:\WINDOWS\system32\msi\

C:\WINDOWS\system32\mscache\

C:\WINDOWS\system32\spoolsv\

C:\WINDOWS\system32\1116\

如果有的话,恭喜你,你中毒了。具体表现为有个叫播霸的软件不请自来(号部分作者省掉n个字,表达能力差,呵呵。)你把上述文件夹删除,四秒后再看看,删除的文件夹又出现了。真是可恶。本人是下载狂,在一下网站下载软件,不小心下载了病毒程序,运行而中招。。。。。以下是我综合网上的资料总结出来的手工清除方法。

首先进入安全模式,控制面板,打开添加或删除程序,卸载WinDirected 20。这个是罪魁祸首。删除 c:/windows/system32/spoolsv/文件夹

删除c:/windows/exploerexe程序。(很像explorerexe)

删除%System%\wmpdrmdll

好了,以上是关键部分。

下面是从网上复制过来的比较有水平的方法。

下面是关于病毒的一些资料:

启动项 c:/windows/system32/spoolsv/spoolsvexe -printer

cfs2…… 相关文件、目录:

%System%\wmpdrmdll

%System%\1116\

%System%\msi\msibmdll

%System%\msi\ubeexe

%System%\msi\plugins\

%System%\spoolsv\spoolsvexe

%System%\spoolsv\spoolsvexe,有一个启动项:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"spoolsv"="%System%\spoolsv\spoolsvexe -printer"

运行后会调用%System%\msi\msibmdll,创建%System%\1116\目录,备份用。

%System%\1116\目录是备份目录,里面是%System%\wmpdrmdll、%System%\msi\和%System%\spoolsv\spoolsvexe的备份。

%System%\msi\msibmdll,会插入多个指定进程,大约每4秒钟监视恢复文件(从%System%\1116\目录)和注册表信息(启动项、BHO):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"spoolsv"

[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}\InprocServer32]

@="%System%\wmpdrmdll"

注:"spoolsv"的数据不会被监视,所以修改它的数据也不会被恢复,只有删除"spoolsv"才会被恢复。

还可能会从远程服务器下载文件:

fileliveupdateourxin/secpexe

secpexe是个安装程序,安装以下文件:

%System%\wmpdrmdll

%System%\msi\ubeexe

%System%\msi\plugins\(目录里4个dll文件)

%System%\wmpdrmdll是一个BHO,%System%\msi\ubeexe像是卸载程序。

另外,在%System%\和%System%\msi\目录里还有有一些从远程下载来的cpz、vxd文件,比如:

avavxd

guidvxd

plgsetvxd

safepvxd

%System%\wmpdrmdll作为BHO被调用后,会尝试调用%System%\spoolsv\spoolsvexe和%System%\msi\msibmdll。

注:如果%System%\spoolsv\spoolsvexe没有被运行或被调用,也就不会备份还原,好像它就是用来备份的。

另外……

在“开始菜单”>>“程序”里 可能 会有一项“NavAngel”,里面有个快捷方式NavAngellnk,指向:

%System%\spoolsv\spoolsvexe -ctrlfun:4,3

“添加/删除程序”里有一项“NavAngel”,对应命令是:

%System%\spoolsv\spoolsvexe -ctrlfun:4,2

还有一项“WinDirected 20”,对应命令是:

%System%\spoolsv\spoolsvexe -uninst

还可能会有mscache\目录,从名字看像是存放临时缓存文件的。

BHO相关注册表信息:

[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}]

[HKEY_CLASSES_ROOT\wmpdrmcf ho]

[HKEY_CLASSES_ROOT\wmpdrmcf ho1]

[HKEY_CLASSES_ROOT\TypeLib\{8B200623-3FC5-4493-8B49-DC2AD4830AF4}]

[HKEY_CLASSES_ROOT\Interface\{4A775183-9517-420E-9A13-D3DA47BB8A84}]

spoolsvexe和windows的打印服务spoolsvexe很类似,不要被它迷惑了,打印服务spoolsvexe的目录是系统文件夹(以XP为例)system32\spoolsvexe而此病毒的路径为system32\spoolsv\sploosvexe

根据病毒信息提供偶得查杀方法:

1。进入系统目录system32删除文件夹spoolsv和mis以及1116

2。开始菜单运行regedit打开注册表编辑器,找到

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"spoolsv"="%System%\spoolsv\spoolsvexe -printer" 删除该项

3。在注册表编辑器中打开下面的分支并使用组合键ctrl+f进行查找如下内容:

[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}

[HKEY_CLASSES_ROOT\wmpdrmcf ho

[HKEY_CLASSES_ROOT\wmpdrmcf ho1

[HKEY_CLASSES_ROOT\TypeLib\{8B200623-3FC5-4493-8B49-DC2AD4830AF4}

[HKEY_CLASSES_ROOT\Interface\{4A775183-9517-420E-9A13-D3DA47BB8A84}

找到以后进行删除

4。运行注册表清里软件清理注册表,比如超级兔子,优化大师,恶意软件清理助手等都可以,此步骤也可以不执行

最后感谢:xuanmao

你可以检查通路面板,是有各个硬件的指示灯的,不管是哪里出了问题,都会有提示灯的
另外,服务器一般都是24小时不间断运行的,所以这就要求机器硬件性能非常好,首先散热好,另外就是机房内的温度要保持恒温;其次就是软件,所以服务器上尽量不要装太多无用的软件,这样可以避免资源的浪费,从而尽量减少因资源枯竭而造成的机器死机,你可以检查一下是不是散热装置出了故障。服务器的各个硬件温度达到设定的危险值时,就会自动重启避免部分硬件过热造成事故

电脑不停的重启或者老是重启的原因有六个: 第一就是:一个电脑自动重启,百分之六十是电源出问题了,哪就是电源的大电容漏电,供电不足造成的,这个就要换一个电源就可以解决了, 第二就是:主板上的内存插槽和内存之间接触不良出现问题,你可以将你现在的内存拨出,然后用橡皮擦擦对准金手指的地方(也就是有铜片的地方)来回的擦到几下,把灰吹了,然后插队回或者换一根内存槽插插回就OK了,(当然内存的显存集成块出现虚焊也会出现老是重启), 第三种重启就是:你的CPU风扇出问题,或者散热器的卡子松了。当CPU的风扇出现卡死,CPU得不到降温,当温度达到主板的设定温度,主板启动保护,就自动重启了,所以你只要将风扇换了,或者是因为灰把风扇堵住了,把风扇搞通就可以了,散热器的卡子松了,原理同上,只要将卡了重新安装就可以了,还要给CPU加一些硅脂膏。这都是让CPU降温,只有CPU能保证正常的使用温度就不会出现自动重启了。 第四种就是:显卡的显存集成块存在虚焊,造成加电后,和主板接触不良,就会自动重启,处理方法就是:就是给显存加焊才可以解决,或者换显卡 第五种就是: 你的电压不稳,就是低于190V ,高于240V,达不到启动电压和超过规定电压,都会使电脑重启 建义买一个UPS,也叫不间断电源,这样既可以稳压,有可以有30分种保存数据的时间, 第六种重启就是:电脑中毒破坏了引导区和系统,开机的时候无法找到引导区,就自然反复重启了,处理方法,就是修得引导区并重新安装系统,(一键还原也行)。还有一点你要做一下,就是将BLOS回恢出厂值。也可以将BLOS放电处理,这些都做了才能排除你的问题 不过你的问题,很可能是第二种和第三种情况,第三种出现的比例是最高的。你不防试一试 希望我的回答能对你以后出现重启。

1估计是散热的问题,找个工具监控下温度,鲁大师,everest都行
2如果是温度的问题的话,可以尝试加个散热器或者是找个风扇对着吹,这样可能会好点
如果问题没问题的话,可能是中毒了,全盘杀毒看看,或者直接找个干净的系统盘,重装系统也行


欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/zz/13502487.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-08-20
下一篇 2023-08-20

发表评论

登录后才能评论

评论列表(0条)

保存