spoolvs.exe是什么进程?
发布网友
发布时间:2022-04-21 01:30
我来回答
共5个回答
热心网友
时间:2022-06-17 02:59
spoolsv.exe
spoolsv.exe 是Print Spooler的进程,管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,本地计算机上的打印将不可用。该进程属 Windows 系统服务。
正常spoolsv进程信息
进程文件: spoolsv or spoolsv.exe
进程名称: Microsoft Printer Spooler Service
描述:
spoolsv.exe用于将Windows打印机任务发送给本地打印机。注意spoolsv.exe也有可能是Backdoor.Ciadoor.B木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全级别是建议立即删除。
出品者: Microsoft Corp.
属于:Microsoft Windows 2000 and later
系统进程: 是
后台程序: 是
使用网络: 否
硬件相关: 否
常见错误: 未知N/A
内存使用: 未知N/A
安全等级 (0-5): 0
间谍软件: 否
Adware: 否
病毒: 否
木马: 否
木马spoolsv进程信息:
描述:
这个垃圾软件利用将msicn\msibm.dll插入多个进程的方法对系统进行监控,在system32下创建如下该死的东西:
wmpdrm.dll
1116\
msicn\msibm.dll
msicn\ube.exe
msicn\plugins\
spoolsv\spoolsv.exe(这个还长得像微软打印服务,shit!!)
注册表加入如下垃圾:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer"
[HKEY_CLASSES_ROOT\CLSID\\InprocServer32]
@="%System%\wmpdrm.dll"
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]
[HKEY_CLASSES_ROOT\TypeLib\]
[HKEY_CLASSES_ROOT\Interface\]
然后每隔4秒左右对以上东西进行监控,前后互相照应,让你无从下手
启动项 c:/windows/system32/spoolsv/spoolsv.exe -printer
cfs2…… 相关文件、目录:
%System%\wmpdrm.dll
%System%\1116\
%System%\msicn\msibm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\
%System%\spoolsv\spoolsv.exe
%System%\spoolsv\spoolsv.exe,有一个启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer"
运行后会调用%System%\msicn\msibm.dll,创建%System%\1116\目录,备份用。
%System%\1116\目录是备份目录,里面是%System%\wmpdrm.dll、%System%\msicn\和%System%\spoolsv\spoolsv.exe的备份。
%System%\msicn\msibm.dll,会插入多个指定进程,大约每4秒钟监视恢复文件(从%System%\1116\目录)和注册表信息(启动项、BHO):
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"
[HKEY_CLASSES_ROOT\CLSID\\InprocServer32]
@="%System%\wmpdrm.dll"
注:"spoolsv"的数据不会被监视,所以修改它的数据也不会被恢复,只有删除"spoolsv"才会被恢复。
还可能会从远程服务器下载文件:
http://liveupdate.ourxin.com/secp.exe
secp.exe是个安装程序,安装以下文件:
%System%\wmpdrm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\(目录里4个dll文件)
%System%\wmpdrm.dll是一个BHO,%System%\msicn\ube.exe像是卸载程序。
另外,在%System%\和%System%\msicn\目录里还有有一些从远程下载来的cpz、vxd文件,比如:
ava.vxd
guid.vxd
plgset.vxd
safep.vxd
%System%\wmpdrm.dll作为BHO被调用后,会尝试调用%System%\spoolsv\spoolsv.exe和%System%\msicn\msibm.dll。
注:如果%System%\spoolsv\spoolsv.exe没有被运行或被调用,也就不会备份还原,好像它就是用来备份的。
另外……
在“开始菜单”>>“程序”里 可能 会有一项“NavAngel”,里面有个快捷方式NavAngel.lnk,指向:%System%\spoolsv\spoolsv.exe -ctrlfun:4,3
“添加/删除程序”里有一项“NavAngel”,对应命令是:%System%\spoolsv\spoolsv.exe -ctrlfun:4,2
还有一项“WinDirected 2.0”,对应命令是:%System%\spoolsv\spoolsv.exe -uninst
还可能会有mscache\目录,从名字看像是存放临时缓存文件的。
BHO相关注册表信息:
[HKEY_CLASSES_ROOT\CLSID\]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]
[HKEY_CLASSES_ROOT\TypeLib\]
[HKEY_CLASSES_ROOT\Interface\]
判别自己是否中毒:
1、点开始-运行,输入msconfig,回车,打开实用配置程序,选择“启动”, 感染以后会在启动项里面发现运行Spoolsv.exe的启动项, 每次进入windows会有NTservice的对话框。
2、打开系统盘,假设C盘,看是否存在C:\WINDOWS\system32\spoolsv文件夹,里面有个spoolsv.exe文件,有“傲讯浏览器辅助工具”的字样说明,正常的spoolsv.exe打印机缓冲池文件应该在C:\WINDOWS\system32目录下。
3,打开任务管理器,会发现spoolsv.exe进程,而且CPU占用率很高。
清除方法:
1、重新启动,开机按F8进入安全模式。
2、点开始-运行,输入cmd,进入dos。
利用rd命令删除以下目录(如果存在)( 在dos窗口下输入:rd(空格)C:\WINDOWS\system32\spoolsv/s,回车,出现提示,输入y回车,即可删除整个目录。):
C:\WINDOWS\system32\msibm
C:\WINDOWS\system32\spoolsv
C:\WINDOWS\system32\bakcfs
C:\WINDOWS\system32\msicn
利用del命令删除下面的文件(如果存在)(比如在dos窗口下输入:del(空格)C:\windows\system32\spoolsv.exe,回车,即可删除被感染的spoolsv.exe,这个文件可以在杀毒结束后在别的正常的机器上复制正常的spoolsv.exe粘贴到
C:\windows\system32文件夹。):
C:\windows\system32\spoolsv.exe
C:\WINDOWS\system32\wmpdrm.dll
3、重启按F8再次进入安全模式。
(1)桌面右键点击我的电脑,选择“管理”,点击“服务和应用程序”-“服务”,右键点击
NTservice,选择“属性”,修改启动类型为“禁用”。
、
(2)点开始,运行,输入regedit,回车打开注册表,点菜单上的编辑,选择查找,查找含有spoolsv.exe的注册表项目,删除。可以利用F3继续查找,将含有spoolsv.exe的注册表项目全部删除。
4、若以上操作完成后,仍然有该进程。请桌面右键点击我的电脑,选择“管理”,点击“服务和应用程序”-“服务”,右键点击print spooler,选择“属性”,先点“停止”然后修改启动类型为手动或“禁用”。随后重复以上步骤。
另外解决方案 直接删除C:\WINDOWS\system32\spool\PRINTERS 下的文件即可
我还遇到一种情况:经检查,不是以上所描述的病毒,但经常占CPU 100%,但是连续关进程几次,便不再出现,奇怪。
如上所述,在system32里有 spool文件夹。直接把 \PRINTERS 下的文件删除,便解决了这个问题。
这可能不是“病毒”问题,而是系统的故障,但出现了还是很麻烦的。
-----------------------------------------------------------------
微软的解释
Windows 2000 后台打印程序没有删除打印作业后台文件
症状
您向打印机发送打印作业时,后台打印程序在打印作业完成后可能没有从 %Systemroot%\System32\Spool\Printers 文件夹删除打印后台文件,因而后台打印程序可能会反复地尝试对该打印作业进行后台处理。
该打印后台文件的存在并不会阻止其他打印作业的后台处理。
原因
如果打印作业的打印后台文件具有只读属性,就会发生这种问题。
解决方案
为避免发生此问题,请不要在打印后台文件位于 %Systemroot%\System32\Spool\Printers 文件夹中时更改它的属性。
要解决此问题,请删除只读属性,然后将该后台文件从 %Systemroot%\System32\Spool\Printers 文件夹中删除。
要删除只读属性,请右键单击 Windows 资源管理器或我的电脑中的后台文件,单击属性,单击清除只读复选框,然后单击确定。
有关如何在 Windows 2000 中删除文件的更多信息,请单击开始,单击帮助,单击索引选项卡,键入删除,然后双击删除文件主题。
状态
这种现象是设计所导致的。
更多信息
默认情况下,打印后台文件只有存档属性。打印后台文件属性只会在以下情况下发生更改:当文件位于 %Systemroot%\System32\Spool\Printers 文件夹中时,程序更改了它的属性;或者,用户或管理员特意更改了文件属性。
回到顶端
[1][2][3]1:在安装光盘里I386目录下把SPOOLSV.EX_文件复制到SYSTEM32目录下改名为spoolsv.exe,当然也可以在别人的系统时把这个文件拷过来, 可以NT/XP的文件保护功能,即在CMD里键入SFC/SCANNOW全面修复,反正 你把这个文件恢复就可以了。
2:修改注册表,在新建一个可扩充字符串值取名为“ImagePath”然后在多字符串值再修改为(%systemRoot%\system32\spoolsv.exe)或者=“c:\windows\system32\spoolsv.exe”就可以了,再在电脑服务里面把Print Sppooler启动一下服务就可以了
按照我给 说的方法, 就可以打印
------------------------------------------------------------------
如果只想解决CPU100%的问题.那删了不错.是可以解决.但是要真正解决实质的问题,如下操作:
在运行里打%Systemroot%\System32\Spool\Printers
打开文件后将其Printers下的文件全部删除.便可解决!
热心网友
时间:2022-06-17 02:59
你这是打印机对的
但是如果是sp00lsv 注意:中间是“零零”不是“欧欧”!
那是病毒
病毒简介:
Backdoor.GrayBird.ad ( 灰鸽子)服务端 运行后会打开后门端口,等待攻击者的远程控制。如果服务端 采用自动上线配置,通过生成服务端时设定的 URL ,主动连接到远程攻击者接受控制,因为其利用 “ 反弹端口原理 ” ,所以可穿过某些防火墙。
攻击者连接成功后便可 监控服务端屏幕,截获 oicq,icq, 及网络游戏,邮箱,上网账号等敏感信息,并且具有读写文件,修改注册表功能, 同时还可在服务端开启 Socks5 及 FTP 服务,是一种危险性较高的木马。
行为描述:
拷贝服务端到系统,路径可能为 %System%, %Windows%, %temp% ,服务端名称可能为GrayPigeon.exe, GrayPigeon.bat, GrayPigeon.com, Winlogo.EXE, Windows.EXE,RAVMOND.EXE, SP00LSV.EXE, SVCH0ST.EXE
向注册表添加键值,随系统启动:
如果是 NT 系统,将向如下 3 个启动项中添加键值:
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
如果是 win9x 系统,将向 win.ini 中添加键值。
在随机端口开设后门,等待攻击者远程连接。
你可以去下个最新的MCAFEE来杀掉它,MCAFEE是灰鸽子的克星!
手动修改:
1.若是98/me,重启进安全模式,若是2000/xp,用任务管理器结束Svch0st.exe进程。
2.运行杀毒软件进行全面扫描
3.删除以下键值:
1)
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
下的
\"svchost\"=\"%System%\\Svch0st.exe\"
\"winlogon\"=\"%System%\\Winlogon.exe\"
\"system\"=\"%System%\\Explorer.exe\"
2)(对于Windows NT/2000/XP)
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows
下的
\"run\"=\"%system%\\svch0st.EXE\"
对于Windows NT/2000/XP,至此一切OK!
4.(对于Windows98/Me)
1)(仅对于Me)
删除C:\\Windows\\Recent folder文件夹下的Win.ini文件
2)开始-运行,edit c:\\windows\\win.ini,
在[windows]区域中,找到类似
run=C:\\WINDOWS\\SYSTEM\\SVCH0ST.EXE 的一项,删除之,保存退出。
至此一切OK
希望你的问题能解决!
热心网友
时间:2022-06-17 03:00
spoolsv.exe 是Print Spooler的进程,管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,本地计算机上的打印将不可用。该进程属 Windows 系统服务。
热心网友
时间:2022-06-17 03:00
这个是打印机进程,但是不排除是其他病毒的进程名和他一样的。
建议安装一个优化博士,让工程师帮您远程维护看看,电脑其他问题也能得到解决。 说不定就是一些病毒或者恶意软件搞的鬼。
热心网友
时间:2022-06-17 03:01
也可能是病毒假冒的或病毒加载DLL的
查每个spoolsv.exe进程的文件地址和DLL加载信息