???
楼主,正常进程中有spoolsv.exe
(具体系统目录会因操作系统不同而异)
目录:..\system32\
是不是木马相关,要视具体情况来看。
进程信息 spoolsv - spoolsv.exe
进程文件: spoolsv or spoolsv.exe
进程名称: Printer Spooler Service
描述: Windows打印任务控制程序,用以打印机就绪。
常见错误: N/A (下)
是否为系统进程: 是
这是打印机加载项的问题,在先排除不是病毒伪装的程序之后,一般出现的属于‘关于spoolsv.exe进程耗尽CPU资源’的问题……
解决办法:在控制面板-管理工具-服务中找到Printer Spooler Service,如果你没用打印机的话可以关闭这个服务。
有时Spoolsv.exe文件出错:
症状:在你想要打开打印机窗口或从任何程序中尝试打印时,却收到下面的错误消息之一:
Spoolsv.exe 产生了错误,会被 Windows 关闭。
‘由于缺乏资源打印机操作不能继续。
子系统不可用。’
解决方法:
这可能是由于已安装的打印机的驱动程序损坏了。要解决这个问题,你可以删掉打印机和它的驱动程序并在注册表中删除一些项,具体步骤:
如果可能的话,删除所有打印机。
在打印机窗口,在文件菜单上,单击服务器属性。
在驱动器标签上,删除所有已安装的打印加驱动程序。
启动注册表编辑器(Regedit.exe)。(一般不用这么彻底,系统一般正常即可,以微软文档说明为准)
导出下列注册表项:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Print
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/Print
删除在下列项下面列出的任何项(不要把列本身删掉!有用的):
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Print/Environments/Windows NT x86/Drivers/Version-2
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Print/Environments/Windows NT x86/Drivers/Version-3
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/Print/Environments/Windows NT x86/Drivers/Version-2
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/Print/Environments/Windows NT x86/Drivers/Version-3
删除在下列项下面列出的任何非默认项:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Print/Monitors
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/Print/Monitors
默认的监督程序包括:
AppleTalk Printing Devices (当装有为 Macintosh 的服务时)
BJ Language Monitor
Local Port
PJL Language Monitor
Standard TCP/IP Port
USB Monitor
Windows NT Fax Monitor (When a Fax Modem is installed)
要获得更多信息,有关那个项不是默认的,请按下面的文章序号来查阅在微软知识库中对应的文章:
Q260142 How to Troubleshoot Windows Printing Problems
删除在下列项中列出的任何项:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Print/Printers
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/Print/Printers
退出注册表编辑器。
重启你的计算机使注册表信息生效,并重新安装所需的打印机。
机器有时非打印过程中,spoolsv.exe占用cpu使用率100%,试试用下面的方法解决。
1.控制面板-管理工具-服务-print spooler-右击属性-手动-停止。
2.用regedit.exe打开注册表,找到HKEY_LOCAL_MACHINE/SYSTEM/controlset001/controol/print/printers/删除非本地的所有打印机(只留本地或所在网络中的打印机)。
3.将print spooler设置为启动。
4.查看cpu使用率为00,打印机使用也正常了。
这是解决问题的一个方法,当上面的方法不管用的时候用这个方法也不错。
病毒警告spoollv.exe及处理方法 (不短时间未见了)
病毒进程名:spoollv.exe,该病毒同以前发作的orans.sys(病毒名wordpad.exe)特征一样,发作时symantec防病毒软件不停地跳出警告窗口,提示spoolv.sys,不小心就会认为是打印服务呢,哪有在进程加载打印服务的呢?打印服务的后台进程是spoolvs.exe,而这个病毒的进程是spoolsv.exe,呵呵,是不是一字之差啊?
该病毒运行后将自己拷贝到System目录,文件名为Spoolv.exe ,并自动修改注册表HKLM/Software/Microsoft/Windows/CurrentVersion/Run
Spooler SubSystem App : Spoolv.exe
HKLM/Software/Microsoft/Windows/CurrentVersion/RunServices
Spooler SubSystem App : Spoolv.exe
这样每次开机病毒都能启动。
病毒带有黑客色彩,有多种传播途径。能自动扫描机器漏洞然后传播自己。能通过猜测弱口令传播自身,内部附带了庞大的密码字典,覆盖了很多常用的密码和几乎所有常见英文单词,总共有7389个,容易在局域网内传播。能著名聊天工具通过IRC传播。还能进行DDos攻击。
能查找注册表,获得多种著名游戏的序列号,可通过邮件发送出去。
查找并结束多种进程。其中包括防火墙和杀毒进程,如:_AVP32.EXE,_AVPM.EXE,ANTI-TROJAN.EXE,
APVXDWIN.EXE,AVNT.EXE,CFINET.EXE,CLAW95CF.EXE,ESPWATCH.EXE,F-PROT95.EXE,NAVWNT.EXE,
RAV7.EXE,VET95.EXE,NAVW32.EXE,NAVAPSVC.EXE.....几乎包括了所有知名杀毒软件。
还会结束一些著名的病毒进程,如:MSBLAST.EXE,KPF4SS.EXE,KPF4GUI.EXE,EXPLORER32.EXE,
WINSOCK2.2.EXE,WINEXEC.EXE,WINDRIVER.EXE,SYSCFG32.EXE,SYSOTRAY32.EXE,RUNDDL31.EXE...
其中MSBLAST.exe是冲击波病毒。 呵呵,厉害吧.
病毒入侵机器后通过修改注册表提高机器的安全级别,并删除所有共享文件夹,使得及其难以被其他病毒和黑客入侵。
处理方法:重起计算机,进入安全模式,显示系统所有隐藏文件,在c:/windows下找到spoollv.exe,删除并清空回收站,打开symantec防病毒软件并在威胁记录中清除所有隔离文件.重起,如果二次感染,清除方法同上。
系统及时打上补丁很重要。
5、病毒、木马、间谍软件造成CPU使用率占用100%
出现CPU占用率100% 的故障经常是因为病毒木马造成的,比如震荡波病毒。应该首先更新病毒库,对电脑进行全机扫描 。接着,在使用反间谍软件Ad—Aware,检查是否存在间谍软件。论坛上有不少朋友都遇到过svchost.exe占用CPU100%,这个往往是中毒的表现。
svchost.exe Windows中的系统服务是以动态链接库(DLL)的形式实现的,其中一些会把可执行程序指向svchost.exe,由它调用相应服务的动态链接库并加上相应参数来启动服务。正是因为它的特殊性和重要性,使它更容易成为了一些病毒木马的宿主。
6、 explorer.exe进程造成CPU使用率占用100%
在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那幺后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。
hosts文件异常
在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE/Software/Microsoft/Windows/CurrentVersion/Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表“HKEY-LOCAL-MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run”下的
Explorer 键值改为Explorer=“C:/Windows/expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER/Software/Microsoft/Windows/CurrentVersion/Run”、“HKEY-USERS/****/Software/Microsoft/Windows/CurrentVersion/Run”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINE/Software/Microsoft/Windows/CurrentVersion/Run”下找到“木马”程序的文件名,再在整个注册表中搜索即可。
进程占用CPU 100%时,可能中病毒 了
system Idle Process
进程文件: [system process] or [system process]
进程名称: Windows内存处理系统进程
描 述: Windows页面内存管理进程,拥有0级优先。
介 绍:该进程作为单线程运行在每个处理器上,并在系统不处理其它线程的时候分派处理器的时间。它的CPU占用率越大表示可供分配的CPU资源越多,数字越小则表示CPU资源紧张。
Spoolsv.exe
进程文件: spoolsv or Spoolsv.exe
进程名称: Printer Spooler Service
描 述: Windows打印任务控制程序,用以打印机就绪。
介 绍:缓冲(spooler)服务是管理缓冲池中的打印和传真作业。
Spoolsv.exe→打印任务控制程序,一般会先加载以供列表机打印前的准备工作
Spoolsv.exe,如果常增高,有可能是病毒感染所致
常见的是:
Backdoor/Byshell(又叫隐形大盗、隐形杀手、西门庆病毒)
