§ 概述

1.是一种打印机的驱动程序

2.也可能是一种病毒(又叫隐形大盗、隐形杀手、西门庆病毒)

§ 病毒查杀方法

spooslv.exe进程,spooslv病毒查杀方法

前两天电脑中病毒了，这个病毒可是令人郁闷得很，系统启动后它什么都不干，先占CPU95%以上的内存，导致电脑作任何工作都特别卡，关机都会很慢很慢！请注意这个病毒用普通的杀毒软件查不到，而且用进程查看器也找不到它的路径！我当时也没有经验，头脑一热就恢复了系统，现在知道了一些搞定它的方法，和大家共享一下，希望以后大家不要因为中了这个病毒而郁闷！

进程文件: spoolsv or Spoolsv.exe

进程名称: Printer Spooler Service

描 述: Windows打印任务控制程序，用以打印机就绪。

介 绍:缓冲(spooler)服务是管理缓冲池中的打印和传真作业。

Spoolsv.exe→打印任务控制程序，一般会先加载以供列表机打印前的准备工作Spoolsv.exe，如果常增高，有可能是病毒感染所致

目前常见的是:

Backdoor/Byshell

危害程度:中

受影响的系统: Windows 2000， Windows XP， Windows Server 2003

未受影响的系统: Windows 95， Windows 98， Windows Me， Windows NT， Windows 3.x， Macintosh， Unix， Linux

病毒危害:

1. 生成病毒文件

2. 插入正常系统文件中

3. 修改系统注册表

4. 可被黑客远程控制

5. 躲避反病毒软件的查杀

简单的后门木马，发作会删除自身程序，但将自身程序套入可执行程序内(如:exe)，并与计算机的通口(TCP端口138)挂钩，监控计算机的信息、密码，甚至是键盘操作，作为回传的信息，并不时驱动端口，以等候传进的命令，由于该木马不能判别何者是正确的端口，所以负责输出的列表机也是其驱动对象，以致Spoolsv.exe的使用异常频繁......

Backdoor.Win32.Plutor

破坏方法:感染PE文件的后门程序

病毒采用VC编写。

病毒运行后有以下行为:

1、将病毒文件复制到%WINDIR%目录下，文件名为"；Spoolsv.exe"；，并该病毒文件运行。"；Spoolsv.exe"；文件运行后释放文件名为"；mscheck.exe"；的文件到%SYSDIR%目录下，该文件的主要功能是每次激活时运行"；Spoolsv.exe"；文件。如果所运行的文件是感染了正常文件的病毒文件，病毒将会把该文件恢复并将其运行。

2、修改注册表以下键值: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun

增加数据项:"；Microsoft Script Checker"； 数据为:"；MSCHECK.EXE /START"；

修改该项注册表使"；MSCHECK.EXE"；文件每次系统激活时都将被运行，而"；MSCHECK.EXE"；用于运行"；Spoolsv.exe"；文件，从而达到病毒自激活的目的。

3、创建一个线程用于感染C盘下的PE文件，但是文件路径中包含"；winnt"；、"；Windows"；字符串的文件不感染。另外，该病毒还会枚举局域网中的共享目录并试图对这些目录下的文件进行感染。该病毒感染文件方法比较简单，将正常文件的前0x16000个字节替换为病毒文件中的数据，并将原来0x16000个字节的数据插入所感染的文件尾部。

4、试图与局域网内名为"；admin"；的邮槽联系，创建名为"；client"；的邮槽用于接收其控制端所发送的命令，为其控制端提供以下远程控制服务:

显示或隐藏指定窗口、屏幕截取、控制CDROM、关闭计算器、注销、破坏硬盘数据。那些病毒会造成CPU占有率过高

解决办法:

它一般是傲迅浏览器的一个插件，是木马,一般情况下不会发作，但是只要傲讯浏览器辅助工具运行，就会带来大量的PE或IE的木马程序，这个程序只要安装了就会在启动项里面出现，杀毒软件只会杀毒不会杀傲讯浏览器辅助工具，所以一般情况下查杀不了，也不能从开机运行程序里删除。楼上他们说的打印机程序的指向应该是system32/spoolsv.exe。这个是system32/spoolsv/spoolsv.exe,你的情况和打印机没有任何关系.删除方法：开始菜单-->运行-->输入：C:\\windows\\system32\\spoolsv\\spoolsv.exe -uninst(-uninst前是空格)弹出一对话窗口，点击卸载。如果还不行执行如下操作：

1、断开所有的网络链接

2、重启计算机进入安全模式

3、在安全模式下删除C:\\Windows\\System32\\mscache这个文件夹

4、在安全模式下，打开IE浏览器，工具——Internet选项——删除文件（所有脱机内容）

5、在控制面板的添加删除程序中找到windirected2.0（傲迅公司软件），卸载

6、重启回到正常模式，全盘查杀

• 心相印
• 心眼
• 心神
• 心神不宁
• 心神安胶囊
• 心秀
• 心积
• 心程
• 心稳
• 心空
• 心窝儿
• 心筋
• 心粗
• 心粗胆大
• 心精
• 心系
• 心细如发
• 心经济
• 心结
• 心统性情
• 心绪
• 心肌
• 心肌劳损
• 心肌梗塞并发左心室室壁瘤
• 心肌梗塞护理