各位反病毒专家、深受病毒之害的朋友们
你们好:
今天我在这里希望讲述一下我的遭遇,和我对流氓软件的一些看法。
最近一段时间一个名为Spoolsv.exe的病毒大面积感染我们公司的电脑,以至于正常上班工作都无法进行。通过查找该进程的相关资料得知,该进程其实就是我们使用打印机的进程。在电脑运行期间该进程占用大量CPU资源,以至电脑彻底瘫痪,不能正常工作。进一步的调查我们发现其实该病毒本身Spoolsv.exe是由一个名为“广州傲讯信息科技有限公司”开发的恶意流氓软件。由于我与这个病毒打交道也有一段时间了,我亲眼目睹在被感染电脑下的c:\windows\system32\spoolsv目录下的spoolsv.exe本文件在点击另外一个病毒关联程序之后该spoolsv.exe病毒本文件就立即变为,提示有“广州傲讯信息科技有限公司”字样的程序。该程序可以说十分狡猾,有的被感染电脑并没有c:\windows\system32\spoolsv这个文件夹,但是c:\windows\system32\spool文件夹却并不能够清空,也就是说在c:\windows\system32\spool这个文件夹下也存在着病毒程序。但是如果清空c:\windows\system32\spool文件夹,或者关闭进程管理器中占用大量CPU资源的spoolsv.exe程序,那么就一味这该电脑将无法使用打印机!!!这是一个非常恶劣的病毒。屡次使用瑞星杀毒(正版最新版本)都无法查杀,现在好像还没有一款杀毒软件能够查杀它,至少瑞星连看都看不见这个病毒。要么瑞星当着个病毒真的是系统进程中的一个毕竟它是注射到打印机进程当中的,要么看见了当成没看见,知道也不管。这不能说明瑞星的杀毒能力差,而是瑞星对这种软件的态度和看法上,试问什么样的病毒不能是根本无法解决的?瑞星不是没有能力而是对于这种恶意的流氓软件界定问题上!我们知道瑞星从来不查杀流氓软件,比如说3721、雅虎助手、百度搜霸等(其实以上所举的软件根本算不上流氓,在多数情况下以上软件还是进行例行通知我们是否进行安装的)。我们会发现这个病毒(spoolsv.exe)与这些软件有着本质的区别,spoolsv.exe病毒是注射到spoolsv电脑打印机打印进程当中的,该技术早在几年前就已经开发出来。如果关闭该进程那么打印机将无法使用,但是4秒钟之后进程就会弹跳出来继续执行——说明一个问题——这不是一个正常软件所具有的功能——具备守护进程!!!其次它的传播是以蠕虫的形式在网络中蔓延,几乎在我所接触的电脑中都发现感染有该病毒!!!!!之后一旦不慎安装他的关联文件,就会在不知明的情况下弹出广告窗口,这个广告窗口很小弹出的位置就在任务管理器上方、屏幕的右下角。用户根本不知道是什么程序弹出了这个广告。这说明该病毒其实不仅仅是一个病毒而是以营利为目的的恶性病毒!!!!!而且还署名了开发公司。气焰极其嚣张!!!因为他们知道如果有人追查下来,他们最多是一个流氓软件,而流氓软件在瑞星这样的杀毒软件中是不被查杀的;就其根本在流氓软件这里,国家法律还不完善,并没有相关的制裁方案,因此他们就可以为所欲为了。但是,如果是接触过一点计算机的人都明白这个“广州傲讯信息科技有限公司”开发的软件其实就是利用病毒在广告。现在该公司竟然否认这件事情,说是某病毒软件绑定该公司的软件。简直就是在放屁!你们公司做广告怎么做到我的电脑上来了,我怎么一点都不知道?第二别人的病毒绑定你们公司的软件干什么?免费为你们的公司做广告?现在在网络上造成恶劣后果了,开始矢口否认,这不是耍赖是什么?如果说安装了你们的软件那个该死的spoolsv.exe退出进程也可以啊,至少释放掉我们电脑上的资源啊,至少让我们看看你们广告哈,电脑感染严重的连启动都不能进行下去,甚至有可能感染打印机的缓存器!像这种spoolsv.exe病毒而且以营利为目的恶性病毒,国家计算机安全部门应该首先予以严厉打击。它的性质远远比病毒更为恶劣,不仅具有病毒性质而且具有盈利性质在这里我呼吁国家计算机应急管理中心和瑞星的相关工作人员们,希望你们能够早日对这个病毒引起重视!现在这个病毒已经在国内的互联网上蔓延,不久就有可能出现大规模的爆发,该病毒不仅可以自我复制,自我传播而且还可以自动下载另外一些其他的病毒,造成的危害及其严重。该病毒如果在一家公司造成的损害仅以1万元来计算的话,那么中国这么多公司哪怕仅有1000公司感染,产生的损失就是1000万,可惜病毒是不计数的,有多少电脑感染多少电脑,可以想象国内的损失将十分巨大,所以现在该是制止这种病毒蔓延的时候了,请看一看互联网上关于spoolsv.exe病毒求助的帖子吧,你会发现,这种病毒早就已经爆发了。不要在犹豫他是否是流氓软件了,它就是纯粹的一个病毒,而且还是以盈利为目的的病毒程序。现在也已经不是借助个人力量手动可以查杀的掉的,即使根据网络提供的方法,虽然可以在一定时间内系统正常工作,但是还是可以再次感染的。毕竟手动更本无法查杀计算机硬盘的所有角落,要知道现在硬盘有多大!该病毒随便在一个目录下存在副本就可以再次感染计算机,这就是病毒的性质!所以必须借助于工具对硬盘全面杀除这种病毒。具备这种能力的也只有国家职能部门和专业的病毒查杀软件的制作商们。真心希望早日看到一个纯净的绿色的网络电脑空间!在此提供手动杀除的方法,以及相关资料:SPOOLSV.EXE病毒解决方法
前几天电脑的cpu利用率突然一直保持100%,任务管理器查看了一下发现是spoolsv.exe
这个进程,查了一下发现的打印服务程序,可以将该进程关掉,但是就不能打印了,再次
启动打印服务,症状依然。网上查了一下:
spoolsv.exe是一种延缓打印木马程序,它使计算机CPU使用率达到100%,从而使风扇
保持高速嘈杂运转。目前网上提供的方法或许能够解决前期问题,但对最新的变种现
象无能为力, Ctrl+Alt+Delete停止spoolsv.exe运行进程。
解决方法:
木马病毒SPOOLSV.EXE的解决方法前几天感染了一个spoolsv.exe的木马病毒,怎么杀
都杀不掉,杀了又来,最后找了下,发现spoolsv.exe的最新变种目前还没有哪个软
件能杀掉,因此,将解决方法发布在这里,希望对大家有帮助!
spoolsv.exe是一种延缓打印木马程序,它使计算机CPU使用率达到100%,从而使风扇
保持高速嘈杂运转。目前网上提供的方法或许能够解决前期问题,但对最新的变种现
象无能为力, Ctrl+Alt+Delete停止spoolsv.exe运行进程
重启计算机进入安全模式,在C:/windows/system32/删除spoolsv.exe(或可用搜索方
式删除C盘所有同名文件)
运行regedit,用查找方式找到并删除所有spoolsv文件。
我的电脑点击右键,选择管理 > 服务,禁用print spooler服务(目前网上提供的方
法仅到此)
重启电脑进入系统常规模式,你会发现电脑还是处于高速运转,但在搜索中已找不到
任何spoolsv相关文件。
Ctrl+Alt+Delete,你可以在进程中找到一个名为inter的后台运行程序,将其关闭即
可。
强烈建议在应用以上步骤解决问题之后,运行反木马程序扫描并删除感染文件。
我自己的原创方法是:在桌面建一个TXT文件并显示扩展名,改名为spools.exe后将文
件属性改为只读,将这个假的病毒覆盖c:\winnt\system32\spoolsv\的44K真病毒.好
了,重新启动电脑.病毒没了.
最后发现这个有个公司出品了这个病毒:广州傲讯信息科技有限公司
删除经验:
spoolsv.exe是系统进程,用于将Windows打印机任务发送给本地打印机。注意spoolsv
.exe也有可能是Backdoor.Ciadoor.B木马。该木马允许攻击者访问你的计算机,窃取
密码和个人数据。
两者的区别在于,前者是在SYSTEM32目录下,而木马程序不在SYSTEM32目录下,而是
在其子目录或其他目录下。
手工清除方法,进入安全模式,工具---文件夹选项---查看,将“显示文件夹内容”
、“显示所有文件及文件夹”前的勾打上,去掉“隐藏受保护的操作系统文件”前的
勾,然后全盘查找tqppmtw.fyf这个文件,找到后删除,另外继续查找spoolsv.exe文
件,注意,SYSTEM32目录下的不删,其他的全删。最后清空IE临时缓存,TEMP临时目
录和回收站就OK了。
Spoolsv.exe是一种延缓打印木马程序,它使计算机CPU使用率达到100%,从而使风扇
保持高速嘈杂运转;该木马允许攻击者访问你的计算机,窃取密码和个人数据。
一、判别自己是否中毒
1、点开始-运行,输入msconfig,回车,打开实用配置程序,选择“启动”, 感染
以后会在启动项里面发现运行Spoolsv.exe的启动项, 每次进入windows会有NTservice
的对话框。
2、打开系统盘,假设C盘,看是否存在C:\WINDOWS\system32\spoolsv文件夹,里面
有个spoolsv.exe文件,有“傲讯浏览器辅助工具”的字样说明,正常的spoolsv.exe
打印机缓冲池文件应该在C:\WINDOWS\system32目录下。
3,打开任务管理器,会发现spoolsv.exe进程,而且CPU占用率很高
二、清除方法
1、重新启动,开机按F8进入安全模式。
2、点开始-运行,输入cmd,进入dos,利用rd命令删除一下目录(如果存在)
C:\WINDOWS\system32\msibm
C:\WINDOWS\system32\spoolsv
C:\WINDOWS\system32\bakcfs
C:\WINDOWS\system32\msicn
比如在dos窗口下输入:rd(空格)C:\WINDOWS\system32\spoolsv/s,回车,出现提
示,输入y回车,即可删除整个目录。
利用del命令删除下面的文件(如果存在)
C:\windows\system32\spoolsv.exe
C:\WINDOWS\system32\wmpdrm.dll
比如在dos窗口下输入:del(空格)C:\windows\system32\spoolsv.exe,回车,即可
删除被感染的spoolsv.exe,这个文件可以在杀毒结束后在别的正常的机器上复制正
常的spoolsv.exe粘贴到C:\windows\system32文件夹。
3、重启按F8再次进入安全模式
(1)桌面右键点击我的电脑,选择“管理”,点击“服务和应用程序”-“服务”,
右键点击NTservice,选择“属性”,修改启动类型为“禁用”。
(2)点开始,运行,输入regedit,回车打开注册表,点菜单上的编辑,选择查找,
查找含有spoolsv.exe的注册表项目,删除。可以利用F3继续查找,将含有spoolsv.
exe的注册表项目全部删除。
三、再次重新正常启动即可
病毒清了后你的SPOOLSV.EXE文件就没有了,且在服务里你的后台打印print spooler
也不能启动了,当然打印机也不能运行了,在运行里输入"services.msc"后,在"print
spooler"服务中的"常规"项里的"可执行文件路径"也变得不可用,如启动会显示"错
误3:找不到系统路径"的错误,这是因为你的注册表的相关项也删了,(在上面清病毒的
时候)
解决方法:
1:在安装光盘里I386目录下把SPOOLSV.EX_文件复制到SYSTEM32目录下改名为spoolsv
.exe,当然也可以在别人的系统时把这个文件拷过来,还可以用NT/XP的文件保护功能
,即在CMD里键入SFC/SCANNOW全面修复,反正你把这个文件恢复就可以了。本帖已经提
供了无毒的spoolsv.exe下载。
2:修改注册表即可:进入“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\Spooler”目录下,新建一个可扩充字符串值,取名:“ImagePath”,其值为:“
C:\WINDOWS\system32\spoolsv.exe”(不要引号)再进入控制面板中启动打印服务
即可
这种方法非常繁琐,
其实最简单的方法是:
清空 C:\WINDOWS\system32\spool\PRINTERS 目录下所有的文件;
前提是:
已经使用了杀毒软件排除了病毒和已经使用防间谍软件排除了恶意软件。
该文件已提交国家计算机病毒应急处理中心
