spoolsv.exe 进程

spoolsv.exe在xp下的正常程序大小是57k，而大小为44k的是木马（隐身大盗）程序，一般藏于cwindowssystem32spoolsv文件夹，另外该木马为防被删还设置有备份程序tqppmtw.fyf藏于windows32文件夹

方法一：
该木马手工清除办法：首先删除cwindowssystem32spoolsv文件夹，而非单独删除cwindowssystem32spoolsv下的spoolsv.exe（44k）文件，然后打开任务管理器，将spoolsv进程优先级调为最低；最后迅速删除其备份文件tqppmtw.fyf并关闭spoolsv进程即可。

你机器里这样的东西是因为这个进程被木马杀客这样的木马查杀软件查到了，但由于它的特殊性，软件没有直接删除它，而将它屏蔽了－－－你如果想重新使用这个spoolsv.exe你只需将后面的“_被屏蔽木马”Delete掉就可以了。
把spoolsv.exe文件删了就没事了.确实如此.但没了这文件就不能打印了! 后来终于找到了解决方法. 解决方法其实很简单： 1. 就是清空 CWINDOWSsystem32spoolPRINTERS 目录下所有的文件； 删完记得重启

方法二：
spoolsv.exe是一种延缓打印木马程序，它使计算机CPU使用率达到100%，从而使风扇保持高速嘈杂运转。目前网上提供的方法或许能够解决前期问题，但对最新的变种现象无能为力，Ctrl+Alt+Delete停止spoolsv.exe运行进程。重启计算机进入安全模式，在Cwindowssystem32删除spoolsv.exe(或可用搜索方式删除C盘所有同名文件) 。运行regedit，用查找方式找到并删除所有spoolsv文件。我的电脑点击右键，选择管理，服务，禁用print spooler服务(目前网上提供的方法仅到此) 。重启电脑进入系统常规模式，你会发现电脑还是处于高速运转，但在搜索中已找不到任何spoolsv相关文件。Ctrl+Alt+Delete，你可以在进程中找到一个名为inter的后台运行程序，将其关闭即可。

强烈建议在应用以上步骤解决问题之后，运行反木马程序扫描并删除感染文件。

方法三：
以c盘系统为例
请打开你的电脑看看WINDOWSsystem32文件夹里有没有这几个文件夹
CWINDOWSsystem32msibm
CWINDOWSsystem32msicn
CWINDOWSsystem32mscache
CWINDOWSsystem32spoolsv
CWINDOWSsystem321116

首先进入安全模式，控制面板，打开添加或删除程序，卸载WinDirected 2.0。这个是罪魁祸首。删除 cwindowssystem32spoolsv文件夹
删除cwindowsexploer.exe程序。（很像explorer.exe）
删除%System%wmpdrm.dll
好了，以上是关键部分。

下面是关于病毒的一些资料：
启动项 cwindowssystem32spoolsvspoolsv.exe -printer
cfs2…… 相关文件、目录：
%System%wmpdrm.dll
%System%1116
%System%msicnmsibm.dll
%System%msicnube.exe
%System%msicnplugins
%System%spoolsvspoolsv.exe
%System%spoolsvspoolsv.exe，有一个启动项：
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
spoolsv=%System%spoolsvspoolsv.exe -printer
运行后会调用%System%msicnmsibm.dll，创建%System%1116目录，备份用。
%System%1116目录是备份目录，里面是%System%wmpdrm.dll、%System%msicn和%System%spoolsvspoolsv.exe的备份。
%System%msicnmsibm.dll，会插入多个指定进程，大约每4秒钟监视恢复文件（从%System%1116目录）和注册表信息（启动项、BHO）：
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
spoolsv
[HKEY_CLASSES_ROOTCLSID{0E674588-66B7-4E19-9D0E-2053B800F69F}InprocServer32]
@=%System%wmpdrm.dll
注：spoolsv的数据不会被监视，所以修改它的数据也不会被恢复，只有删除spoolsv才会被恢复。
还可能会从远程服务器下载文件：
http fileliveupdate.ourxin.comsecp.exe
secp.exe是个安装程序，安装以下文件：
%System%wmpdrm.dll
%System%msicnube.exe
%System%msicnplugins（目录里4个dll文件）
%System%wmpdrm.dll是一个BHO，%System%msicnube.exe像是卸载程序。
另外，在%System%和%System%msicn目录里还有有一些从远程下载来的cpz、vxd文件，比如：
ava.vxd
guid.vxd
plgset.vxd
safep.vxd
%System%wmpdrm.dll作为BHO被调用后，会尝试调用%System%spoolsvspoolsv.exe和%System%msicnmsibm.dll。
注：如果%System%spoolsvspoolsv.exe没有被运行或被调用，也就不会备份还原，好像它就是用来备份的。
另外……
在“开始菜单”“程序”里 可能 会有一项“NavAngel”，里面有个快捷方式NavAngel.lnk，指向：
%System%spoolsvspoolsv.exe -ctrlfun4,3
“添加删除程序”里有一项“NavAngel”，对应命令是：
%System%spoolsvspoolsv.exe -ctrlfun4,2
还有一项“WinDirected 2.0”，对应命令是：
%System%spoolsvspoolsv.exe -uninst
还可能会有mscache目录，从名字看像是存放临时缓存文件的。
BHO相关注册表信息：
[HKEY_CLASSES_ROOTCLSID{0E674588-66B7-4E19-9D0E-2053B800F69F}]
[HKEY_CLASSES_ROOTwmpdrm.cfsbho]
[HKEY_CLASSES_ROOTwmpdrm.cfsbho.1]
[HKEY_CLASSES_ROOTTypeLib{8B200623-3FC5-4493-8B49-DC2AD4830AF4}]
[HKEY_CLASSES_ROOTInterface{4A775183-9517-420E-9A13-D3DA47BB8A84}].
spoolsv.exe和windows的打印服务spoolsv.exe很类似，不要被它迷惑了，打印服务spoolsv.exe的目录是系统文件夹（以XP为例）system32spoolsv.exe而此病毒的路径为system32spoolsvsploosv.exe
根据病毒信息提供偶得查杀方法
1。进入系统目录system32删除文件夹spoolsv和miscn以及1116
2。开始菜单运行regedit打开注册表编辑器，找到
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
spoolsv=%System%spoolsvspoolsv.exe -printer 删除该项
3。在注册表编辑器中打开下面的分支并使用组合键ctrl+f进行查找如下内容：
[HKEY_CLASSES_ROOTCLSID{0E674588-66B7-4E19-9D0E-2053B800F69F}
[HKEY_CLASSES_ROOTwmpdrm.cfsbho
[HKEY_CLASSES_ROOTwmpdrm.cfsbho.1
[HKEY_CLASSES_ROOTTypeLib{8B200623-3FC5-4493-8B49-DC2AD4830AF4}
[HKEY_CLASSES_ROOTInterface{4A775183-9517-420E-9A13-D3DA47BB8A84}
找到以后进行删除
4。运行注册表清里软件清理注册表，比如超级兔子，优化大师，恶意软件清理助手等都可以，此步骤也可以不执行