如何删除spoolsv.exe病毒

最近发现很多朋友中了spoolsv.exe 病毒, 这个木马删起来很麻烦，关联很多，进程好像不止一个，或者是跟系统服务相关联，不进入安全模式根本没法中止进程或删除注册表键值。中止或删掉后马上就会重建。可能是因为无法同时中止两个进程，所以一个被中止后，另一个马上监测到并重建，非常讨厌。

网上有介绍一种最简单的办法，在运行窗口里输入C:\windows\system32\spoolsv\spoolsv.exe -uninst 让它启动卸载程序自动卸掉。不过看着病毒这么顽固，实在不敢相信它会那么老实自己走干净。
删除过程大致如下：

1、进安全模式删掉启动项，最好同时中止spoolsv这项系统服务加载：右击“我的电脑”－“服务设置”，找到spoolsv后，右击禁止其加载。如果不知道注册表中的启动项位置，只要在“运行”中输入regedit打开注册表编辑器后，点“编辑”菜单下的查找，输入spoolsv找一下就行，只要左侧窗口显示打开了Run或RunOnce目录，右击该键值删掉就行，不止一处，删掉一个再查找下一个，全删掉为止。 如果误删了某些注册表键值而导致重新启动后有些功能失效，可以再重启动一次，按住F5或F8进入启动选择界面，选最下面的一项“按最后一次成功启动时的配置启动”，就可以恢复。

2、删掉病毒主程序。这步最重要，因为windows\system32\spoolsv\spoolsv.exe并不是罪魁祸首，只有把主文件找到删除才可以让它不再运行。所有病毒文件都在windows\system32下，先删掉三个文件夹1116，msicn和spoolsv，再找到wmpdrm.dll删掉。如果还怕没删干净，可以在删之前用“属性”看看windows\system32\spoolsv\spoolsv.exe是什么时候建立的，用查找命令把这一天建立在windows\system32下的文件和文件夹都查出来，有问题的就删掉，怕出问题就先放到回收站，重启正常再彻底删除。

3、金山可以自动监测到该病毒建立在C:\Documents and Settings\你的用户名\Local settings\Temporary Internet Files里的很多*.scr病毒文件，如果没有装杀毒软件，就手动清空这个文件夹。都是上网的临时文件，没用处，多了还占地方。

4、打开Internet Explorer，在“工具”菜单的“管理加载项”里禁止wmpdrm插件运行。其它看着不顺眼的也可以删，反正没坏处，只会让浏览器启动更快。不过用得着的flashget或其他工具条等要按需留下。看看插件简介里的公司名称之类，可以确定它的大体用处。

手刃病毒spoolsv.exe
下面是关于病毒的一些资料：
启动项 c:/windows/system32/spoolsv/spoolsv.exe -printer '
cfs2…… 相关文件、目录：
%System%\wmpdrm.dll ?
%System%\1116\
%System%\msicn\msibm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\
%System%\spoolsv\spoolsv.exe
%System%\spoolsv\spoolsv.exe，有一个启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer"
运行后会调用%System%\msicn\msibm.dll，创建%System%\1116\目录，备份用。
%System%\1116\目录是备份目录，里面是%System%\wmpdrm.dll、%System%\msicn\和%System%\spoolsv\spoolsv.exe的备份。
%System%\msicn\msibm.dll，会插入多个指定进程，大约每4秒钟监视恢复文件（从%System%\1116\目录）和注册表信息（启动项、BHO）： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}\InprocServer32]
@="%System%\wmpdrm.dll"
注："spoolsv"的数据不会被监视，所以修改它的数据也不会被恢复，只有删除"spoolsv"才会被恢复。
还可能会从远程服务器下载文件： http: //liveupdate.ourxin.com/secp.exe
secp.exe是个安装程序，安装以下文件：
%System%\wmpdrm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\（目录里4个dll文件）
%System%\wmpdrm.dll是一个BHO，%System%\msicn\ube.exe像是卸载程序。
另外，在%System%\和%System%\msicn\目录里还有有一些从远程下载来的cpz、vxd文件，比如：
ava.vxd
guid.vxd
plgset.vxd
safep.vxd
%System%\wmpdrm.dll作为BHO被调用后，会尝试调用%System%\spoolsv\spoolsv.exe和%System%\msicn\msibm.dll。
注：如果%System%\spoolsv\spoolsv.exe没有被运行或被调用，也就不会备份还原，好像它就是用来备份的。
另外……
在“开始菜单” “程序”里可能会有一项“NavAngel”，里面有个快捷方式NavAngel.lnk，指向：
%System%\spoolsv\spoolsv.exe -ctrlfun:4,3
“添加/删除程序”里有一项“NavAngel”，对应命令是：
%System%\spoolsv\spoolsv.exe -ctrlfun:4,2
还有一项“WinDirected 2.0”，对应命令是：
%System%\spoolsv\spoolsv.exe -uninst
还可能会有mscache\目录，从名字看像是存放临时缓存文件的。
BHO相关注册表信息：
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho] [HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1] [HKEY_CLASSES_ROOT\TypeLib\{8B200623-3FC5-4493-8B49-DC2AD4830AF4}]
[HKEY_CLASSES_ROOT\Interface\{4A775183-9517-420E-9A13-D3DA47BB8A84}]. )
spoolsv.exe和windows的打印服务spoolsv.exe很类似，不要被它迷惑了，打印服务spoolsv.exe的目录是系统文件夹（以XP为例）system32\spoolsv.exe而此病毒的路径为system32\spoolsv\sploosv.exe

根据病毒信息提供偶得查杀方法:
1。进入系统目录system32删除文件夹spoolsv和miscn以及1116

2。开始菜单运行regedit打开注册表编辑器，找到
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer" 删除该项

3。在注册表编辑器中打开下面的分支并使用组合键ctrl+f进行查找如下内容：
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho [HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1 [HKEY_CLASSES_ROOT\TypeLib\{8B200623-3FC5-4493-8B49-DC2AD4830AF4}
[HKEY_CLASSES_ROOT\Interface\{4A775183-9517-420E-9A13-D3DA47BB8A84}
找到以后进行删除

4。运行注册表清里软件清理注册表，比如超级兔子，优化大师，恶意软件清理助手等都可以，此步骤也可以不执行