spoolsv.exe

系統進程： 是

後台程序： 是

使用網絡： 否

硬件相關： 否

常見錯誤： 未知N/A

內存使用： 未知N/A

Adware: 否

病毒： 否

木馬: 否

spoolsv.exe用於將Windows打印機任務發送給本地打印機，緩存打印數據等 ^[1]  ，通常情況下他會隨着系統啓動啓動。注意spoolsv.exe也有可能是Backdoor.Ciadoor.B木馬。該木馬允許攻擊者訪問你的計算機，竊取密碼和個人數據。該進程的安全級別是建議立即刪除。

描述:

這個垃圾軟件利用將msicn\msibm.dll插入多個進程的方法對系統進行監控，在system32下創建如下的東西：

1116\

msicn\msibm.dll

msicn\ube.exe

msicn\plugins\

spoolsv\spoolsv.exe（這個還長得像微軟打印服務，shit！！）

註冊表加入如下垃圾：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

[HKEY_CLASSES_ROOT\CLSID\\InprocServer32]

@="%System%\wmpdrm.dll"

[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]

[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]

[HKEY_CLASSES_ROOT\TypeLib\]

[HKEY_CLASSES_ROOT\Interface\]

然後每隔4秒左右對以上東西進行監控，前後互相照應，讓你無從下手

啓動項 c:/windows/system32/spoolsv/spoolsv.exe -printer

cfs2…… 相關文件、目錄：

%System%\wmpdrm.dll

%System%\1116\

%System%\msicn\msibm.dll

%System%\msicn\ube.exe

%System%\msicn\plugins\

%System%\spoolsv\spoolsv.exe

%System%\spoolsv\spoolsv.exe，有一個啓動項：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

運行後會調用%System%\msicn\msibm.dll，創建%System%\1116\目錄，備份用。

%System%\1116\目錄是備份目錄，裏面是%System%\wmpdrm.dll、%System%\msicn\和%System%\spoolsv\spoolsv.exe的備份。

%System%\msicn\msibm.dll，會插入多個指定進程，大約每4秒鐘監視恢復文件（從%System%\1116\目錄）和註冊表信息（啓動項、BHO）：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"spoolsv"

[HKEY_CLASSES_ROOT\CLSID\\InprocServer32]

@="%System%\wmpdrm.dll"

注："spoolsv"的數據不會被監視，所以修改它的數據也不會被恢復，只有刪除"spoolsv"才會被恢復。

secp.exe是個安裝程序，安裝以下文件：

%System%\wmpdrm.dll

%System%\msicn\ube.exe

%System%\msicn\plugins\（目錄裏4個dll文件）

%System%\wmpdrm.dll是一個BHO，%System%\msicn\ube.exe像是卸載程序。

另外，在%System%\和%System%\msicn\目錄裏還有有一些從遠程下載來的cpz、vxd文件，比如：

ava.vxd

guid.vxd

plgset.vxd

safep.vxd

%System%\wmpdrm.dll作為BHO被調用後，會嘗試調用%System%\spoolsv\spoolsv.exe和%System%\msicn\msibm.dll。

注：如果%System%\spoolsv\spoolsv.exe沒有被運行或被調用，也就不會備份還原，好像它就是用來備份的。

另外……

在“開始菜單”＞＞“程序”裏 可能 會有一項“NavAngel”，裏面有個快捷方式NavAngel.lnk，指向：%System%\spoolsv\spoolsv.exe -ctrlfun:4,3

“添加/刪除程序”裏有一項“NavAngel”，對應命令是：%System%\spoolsv\spoolsv.exe -ctrlfun:4,2

還有一項“WinDirected 2.0”，對應命令是：%System%\spoolsv\spoolsv.exe -uninst

還可能會有mscache\目錄，從名字看像是存放臨時緩存文件的。

BHO相關注冊表信息：

[HKEY_CLASSES_ROOT\CLSID\]

[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]

[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]

[HKEY_CLASSES_ROOT\TypeLib\]

[HKEY_CLASSES_ROOT\Interface\]

1、點開始－運行，輸入msconfig，回車，打開實用配置程序，選擇“啓動”， 感染以後會在啓動項裏面發現運行Spoolsv.exe的啓動項， 每次進入windows會有NTservice的對話框。

2、打開系統盤，假設C盤，看是否存在C:\WINDOWS\system32\spoolsv文件夾，裏面有個spoolsv.exe文件，有“傲訊瀏覽器輔助工具”的字樣説明，正常的spoolsv.exe打印機緩衝池文件應該在C:\WINDOWS\system32目錄下。

3，打開任務管理器，會發現spoolsv.exe進程，而且CPU佔用率很高。

1、重新啓動，開機按F8進入安全模式。

2、點開始－運行，輸入cmd，進入dos。

利用rd命令刪除以下目錄（如果存在）（ 在dos窗口下輸入：rd（空格）C:\WINDOWS\system32\spoolsv/s，回車，出現提示，輸入y回車，即可刪除整個目錄。）：

C:\WINDOWS\system32\msibm

C:\WINDOWS\system32\spoolsv

C:\WINDOWS\system32\bakcfs

C:\WINDOWS\system32\msicn

利用del命令刪除下面的文件（如果存在）比如在dos窗口下輸入：del（空格）C:\windows\system32\spoolsv.exe，回車，即可刪除被感染的spoolsv.exe，這個文件可以在殺毒結束後在別的正常的機器上覆制正常的spoolsv.exe粘貼到

C:\windows\system32文件夾。

C:\windows\system32\spoolsv.exe

C:\WINDOWS\system32\wmpdrm.dll

3、重啓按F8再次進入安全模式。

（1）桌面右鍵點擊我的電腦，選擇“管理”，點擊“服務和應用程序”-“服務”，右鍵點擊

NTservice，選擇“屬性”，修改啓動類型為“禁用”。

、

（2）點開始，運行，輸入regedit，回車打開註冊表，點菜單上的編輯，選擇查找，查找含有spoolsv.exe的註冊表項目，刪除。可以利用F3繼續查找，將含有spoolsv.exe的註冊表項目全部刪除。

4、若以上操作完成後,仍然有該進程。請桌面右鍵點擊我的電腦，選擇“管理”，點擊“服務和應用程序”-“服務”，右鍵點擊print spooler，選擇“屬性”，先點“停止”然後修改啓動類型為手動或“禁用”。隨後重複以上步驟。

我還遇到一種情況：經檢查，不是以上所描述的病毒，但經常佔CPU 100%，但是連續關進程幾次，便不再出現，奇怪。

如上所述，在system32裏有 spool文件夾。直接把 \PRINTERS 下的文件刪除，便解決了這個問題。

這可能不是“病毒”問題，而是系統的故障，但出現了還是很麻煩的。

病毒清了後你的SPOOLSV.EXE文件就沒有了，且在服務裏你的後台打印print spooler也不能啓動了，當然打印機也不能運行了，在運行裏輸入“services.msc”後，在“print spooler”服務中的“常規”項裏的“可執行文件路徑”也變得不可用，如啓動會顯示“錯誤3:找不到系統路徑”的錯誤，這是因為你的註冊表的相關項也刪了，（在上面清病毒的時候）

解決方法：

1:在安裝光盤裏I386目錄下把SPOOLSV.EX_文件複製到SYSTEM32目錄下改名為spoolsv.exe,當然也可以在別人的系統時把這個文件拷過來，還可以用NT/XP的文件保護功能，即在CMD裏鍵入SFC/SCANNOW全面修復，反正你把這個文件恢復就可以了。

2:修改註冊表即可：進入“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler”目錄下，新建一個可擴充字符串值，取名：“ImagePath”，其值為：“C:\WINDOWS\system32\spoolsv.exe”（不要引號）再進入控制面板中啓動打印服務即可。

前幾天，太太的筆記本遇到了spoolsv.exe佔cpu 99%的的問題，要我幫她重新安裝操作系統。我是懶得重裝的，所以在網上搜索了一下：大部分關於這個問題的文章都是將相關打印後台服務給禁用解決的，可是這樣就不能打印了，豈不有點因噎廢食？ 後來從國外網站上找到了這篇文章：tim's journal: spoolsv.exe hogging 99% of cpu - the fix

解決方法其實很簡單，假設你已經使用了殺毒軟件排除了病毒和已經使用防間諜軟件排除了惡意軟件的影響：

而原因在Microsoft網站上也有文檔説明：Windows後台打印程序沒有刪除打印作業後台文件導致的打印程序可能會反覆地嘗試對該打印作業進行後台處理

微軟的解釋

Windows 2000後台打印程序沒有刪除打印作業後台文件

症狀

您向打印機發送打印作業時，後台打印程序在打印作業完成後可能沒有從 文件夾刪除打印後台文件，因而後台打印程序可能會反覆地嘗試對該打印作業進行後台處理。

該打印後台文件的存在並不會阻止其他打印作業的後台處理。

如果打印作業的打印後台文件具有隻讀屬性，就會發生這種問題。

解決方案

為避免發生此問題，請不要在打印後台文件位於文件夾中時更改它的屬性。

要解決此問題，請刪除只讀屬性，然後將該後台文件從文件夾中刪除。

要刪除只讀屬性，請右鍵單擊 Windows資源管理器或我的電腦中的後台文件，單擊屬性，單擊清除只讀複選框，然後單擊確定。

有關如何在 Windows 2000 中刪除文件的更多信息，請單擊開始，單擊幫助，單擊索引選項卡，鍵入刪除，然後雙擊刪除文件主題。

狀態

這種現象是設計所導致的。

更多信息

默認情況下，打印後台文件只有存檔屬性。打印後台文件屬性只會在以下情況下發生更改：當文件位於 文件夾中時，程序更改了它的屬性；或者，用户或管理員特意更改了文件屬性。

回到頂端

1:在安裝光盤裏I386目錄下把SPOOLSV.EX_文件複製到SYSTEM32目錄下改名為spoolsv.exe,當然也可以在別人的系統時把這個文件拷過來, 可以NT/XP的文件保護功能,即在CMD裏鍵入SFC/SCANNOW全面修復,反正 你把這個文件恢復就可以了。

2:修改註冊表,在新建一個可擴充字符串值取名為“ImagePath”然後在多字符串值再修改為(%systemRoot%\system32\spoolsv.exe)或者=“c:\windows\system32\spoolsv.exe”就可以了,再在電腦服務裏面把Print Sppooler啓動一下服務就可以了

按照我給 説的方法, 就可以打印

------------------------------------------------------------------

如果只想解決CPU100%的問題.那刪了不錯.是可以解決.但是要真正解決實質的問題,如下操作:

打開文件後將其Printers下的文件全部刪除.便可解決!

這是一個盜號木馬導致，其感染相關文件並加載起來，一旦殺毒軟件刪除被感染的文件，就會導致相關組件缺失，導致運行網遊時彈出系統文件丟失提示或者打印機不能使用

電腦系統文件經常會受到病毒的侵擾，導致系統文件丟失、損壞。從網上下載系統文件進行替換，可能會因為系統文件版本與操作系統不相符造成不兼容的情況；建議使用專業的系統文件修復工具進行修復。

1、下載可牛殺毒系統急救箱。

2、點擊“開始急救”，進行一鍵式修復，智能匹配與操作系統相符的系統文件。

3、使用可牛免費殺毒對電腦進行全面掃描，清除電腦中存在的潛在危險。

也可以使用金山網盾進行修復：

第一步：下載包含瀏覽器修復功能的金山網盾

第二步 安裝金山網盾3.5,安裝完以後點擊主界面右側的【修復瀏覽器】的按鈕 （或者點擊【瀏覽器修復】選項卡－點擊【立即掃描】）

第三步 發現威脅，點擊【立即處理】按鈕，修復完成以後，根據提示重啓系統或者鍵盤按 【F5】刷新桌面。