设为首页 加入收藏

TOP

如何删除spoolsv.exe病毒
2012-11-02 21:22:10 来源: 作者: 【 】 浏览:1663次 评论:0

如何删除spoolsv.exe病毒

最近发现很多朋友中了spoolsv.exe 病毒, 这个木马删起来很麻烦,关联很多,进程好像不止一个,或者是跟系统服务相关联,不进入安全模式根本没法中止进程或删除注册表键值。中止或删掉后马上就会重建。可能是因为无法同时中止两个进程,所以一个被中止后,另一个马上监测到并重建,非常讨厌。


网上有介绍一种最简单的办法,在运行窗口里输入C:\windows\system32\spoolsv\spoolsv.exe -uninst 让它启动卸载程序自动卸掉。不过看着病毒这么顽固,实在不敢相信它会那么老实自己走干净。
删除过程大致如下:

1、进安全模式删掉启动项,最好同时中止spoolsv这项系统服务加载:右击“我的电脑”-“服务设置”,找到spoolsv后,右击禁止其加载。如果不知道注册表中的启动项位置,只要在“运行”中输入regedit打开注册表编辑器后,点“编辑”菜单下的查找,输入spoolsv找一下就行,只要左侧窗口显示打开了Run或RunOnce目录,右击该键值删掉就行,不止一处,删掉一个再查找下一个,全删掉为止。 如果误删了某些注册表键值而导致重新启动后有些功能失效,可以再重启动一次,按住F5或F8进入启动选择界面,选最下面的一项“按最后一次成功启动时的配置启动”,就可以恢复。


2、删掉病毒主程序。这步最重要,因为windows\system32\spoolsv\spoolsv.exe并不是罪魁祸首,只有把主文件找到删除才可以让它不再运行。所有病毒文件都在windows\system32下,先删掉三个文件夹1116,msicn和spoolsv,再找到wmpdrm.dll删掉。如果还怕没删干净,可以在删之前用“属性”看看windows\system32\spoolsv\spoolsv.exe是什么时候建立的,用查找命令把这一天建立在windows\system32下的文件和文件夹都查出来,有问题的就删掉,怕出问题就先放到回收站,重启正常再彻底删除。


3、金山可以自动监测到该病毒建立在C:\Documents and Settings\你的用户名\Local settings\Temporary Internet Files里的很多*.scr病毒文件,如果没有装杀毒软件,就手动清空这个文件夹。都是上网的临时文件,没用处,多了还占地方。


4、打开Internet Explorer,在“工具”菜单的“管理加载项”里禁止wmpdrm插件运行。其它看着不顺眼的也可以删,反正没坏处,只会让浏览器启动更快。不过用得着的flashget或其他工具条等要按需留下。看看插件简介里的公司名称之类,可以确定它的大体用处。

手刃病毒spoolsv.exe
下面是关于病毒的一些资料:
启动项 c:/windows/system32/spoolsv/spoolsv.exe -printer '
cfs2…… 相关文件、目录:
%System%\wmpdrm.dll ?
%System%\1116\
%System%\msicn\msibm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\
%System%\spoolsv\spoolsv.exe
%System%\spoolsv\spoolsv.exe,有一个启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer"
运行后会调用%System%\msicn\msibm.dll,创建%System%\1116\目录,备份用。
%System%\1116\目录是备份目录,里面是%System%\wmpdrm.dll、%System%\msicn\和%System%\spoolsv\spoolsv.exe的备份。
%System%\msicn\msibm.dll,会插入多个指定进程,大约每4秒钟监视恢复文件(从%System%\1116\目录)和注册表信息(启动项、BHO): [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}\InprocServer32]
@="%System%\wmpdrm.dll"
注:"spoolsv"的数据不会被监视,所以修改它的数据也不会被恢复,只有删除"spoolsv"才会被恢复。
还可能会从远程服务器下载文件: http: //liveupdate.ourxin.com/secp.exe
secp.exe是个安装程序,安装以下文件:
%System%\wmpdrm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\(目录里4个dll文件)
%System%\wmpdrm.dll是一个BHO,%System%\msicn\ube.exe像是卸载程序。
另外,在%System%\和%System%\msicn\目录里还有有一些从远程下载来的cpz、vxd文件,比如:
ava.vxd
guid.vxd
plgset.vxd
safep.vxd
%System%\wmpdrm.dll作为BHO被调用后,会尝试调用%System%\spoolsv\spoolsv.exe和%System%\msicn\msibm.dll。
注:如果%System%\spoolsv\spoolsv.exe没有被运行或被调用,也就不会备份还原,好像它就是用来备份的。
另外……
在“开始菜单” “程序”里可能会有一项“NavAngel”,里面有个快捷方式NavAngel.lnk,指向:
%System%\spoolsv\spoolsv.exe -ctrlfun:4,3
“添加/删除程序”里有一项“NavAngel”,对应命令是:
%System%\spoolsv\spoolsv.exe -ctrlfun:4,2
还有一项“WinDirected 2.0”,对应命令是:
%System%\spoolsv\spoolsv.exe -uninst
还可能会有mscache\目录,从名字看像是存放临时缓存文件的。
BHO相关注册表信息:
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho] [HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1] [HKEY_CLASSES_ROOT\TypeLib\{8B200623-3FC5-4493-8B49-DC2AD4830AF4}]
[HKEY_CLASSES_ROOT\Interface\{4A775183-9517-420E-9A13-D3DA47BB8A84}]. )
spoolsv.exe和windows的打印服务spoolsv.exe很类似,不要被它迷惑了,打印服务spoolsv.exe的目录是系统文件夹(以XP为例)system32\spoolsv.exe而此病毒的路径为system32\spoolsv\sploosv.exe

根据病毒信息提供偶得查杀方法:
1。进入系统目录system32删除文件夹spoolsv和miscn以及1116

2。开始菜单运行regedit打开注册表编辑器,找到
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer" 删除该项

3。在注册表编辑器中打开下面的分支并使用组合键ctrl+f进行查找如下内容:
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho [HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1 [HKEY_CLASSES_ROOT\TypeLib\{8B200623-3FC5-4493-8B49-DC2AD4830AF4}
[HKEY_CLASSES_ROOT\Interface\{4A775183-9517-420E-9A13-D3DA47BB8A84}
找到以后进行删除


4。运行注册表清里软件清理注册表,比如超级兔子,优化大师,恶意软件清理助手等都可以,此步骤也可以不执行

 
 
Tags:删除 spoolsv.exe 病毒 责任编辑:风花雪月
】【打印繁体】【投稿】【收藏】 【推荐】【举报】【评论】 【关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇怎么禁止网站的恶意弹出? 下一篇双击IE就出现打开方式的解决

相关栏目

最新文章

图片主题

热门文章

推荐文章

相关文章