木馬（mǎ）病毒SPOOLSV.EXE的解決方法前幾天感染了（le）一個spoolsv.exe的木馬病（bìng）毒，怎麽（me）殺都殺不掉，殺了又來，最後找了（le）下（xià），發現（xiàn）spoolsv.exe的最（zuì）新變種目前還沒有哪個（gè）軟（ruǎn）件能殺（shā）掉（diào），因此，將解決方法發布（bù）在這裏，希望對大家有幫助!

spoolsv.exe是一種延緩打印木馬程序，它使計算機CPU使用率達到100%，從而使風扇保持高速嘈雜運轉。目前網上提（tí）供的方（fāng）法或許（xǔ）能（néng）夠解決前期問（wèn）題，但對最新的變種現象無能（néng）為力， Ctrl+Alt+Delete停止spoolsv.exe運行進程

重啟計算機進入安全模式，在C:/windows/system32/刪除spoolsv.exe(或可用（yòng）搜索方式刪除C盤所（suǒ）有同名文件)

運（yùn）行（háng）regedit，用查找方式找到並刪除所有spoolsv文件。

我的電腦點擊（jī）右鍵，選擇（zé）管（guǎn）理 > 服務，禁用print spooler服務(目前網上提供的（de）方法僅到此)

重啟電腦進入係統常規模式，你會（huì）發現電腦還是處於高（gāo）速運轉，但在搜（sōu）索中已找不到任何（hé）spoolsv相關文（wén）件。

Ctrl+Alt+Delete，你可以在進程中找（zhǎo）到（dào）一個名為inter的後台運（yùn）行（háng）程序（xù），將其關閉即可。

強烈建議在應（yīng）用以上步驟解（jiě）決問題之後，運行反（fǎn）木馬程序掃描並（bìng）刪除感染文件。

我自己的原創方法是:在桌麵建一個TXT文件並顯示（shì）擴展名,改名為spools.exe後將文件屬性改為隻讀,將這個假的病毒覆蓋c:\winnt\system32\spoolsv\的（de）44K真病毒.好了,重新啟動電腦（nǎo）.病毒沒了.

最後發現這個有（yǒu）個公司出品了這個病毒：廣（guǎng）州傲訊信息科技有限公（gōng）司

刪除經驗：

spoolsv.exe是係統（tǒng）進程，用於將Windows打印機任務發送給本地打印機。注意spoolsv.exe也有可能是Backdoor.Ciadoor.B木馬。該木（mù）馬（mǎ）允許攻擊者訪問你的計算機，竊（qiè）取密碼和個（gè）人數據。

兩者的區別在於（yú），前者是在SYSTEM32目錄下，而木馬程序不在SYSTEM32目錄下，而（ér）是在其子目錄或其他目錄下（xià）。

手工清除方法，進入（rù）安全模式，工具---文件夾（jiá）選項---查看，將“顯示文件夾（jiá）內容（róng）”、“顯示所（suǒ）有文件及文（wén）件夾”前的勾打上（shàng），去掉“隱藏（cáng）受保護的操（cāo）作係統文（wén）件”前的勾，然後全盤（pán）查找（zhǎo）tqppmtw.fyf這個文（wén）件，找到後（hòu）刪除，另（lìng）外繼續查找spoolsv.exe文件，注意，SYSTEM32目錄下的不（bú）刪，其他的（de）全（quán）刪。最（zuì）後清空IE臨時緩存，TEMP臨時（shí）目錄和回收站就OK了。

Spoolsv.exe是一（yī）種延緩打印木馬程（chéng）序，它使計算機CPU使用率達到100%，從而（ér）使風扇保持高速嘈（cáo）雜運轉；該木（mù）馬允許攻擊者訪問你的計算機，竊取密碼和個人數據。

一（yī）、判別自己是否中毒

1、點開始－運行，輸入msconfig，回車，打開實用配置（zhì）程序，選擇“啟動（dòng）”， 感染以（yǐ）後會在啟動項裏麵發現運行Spoolsv.exe的啟動項， 每次進入windows會有NTservice的對話框。

2、打開係統盤，假設C盤，看是否存在（zài）C:\WINDOWS\system32\spoolsv文件夾，裏麵有個spoolsv.exe文件，有“傲訊瀏（liú）覽器輔（fǔ）助工具”的字樣說明，正常的spoolsv.exe打印機（jī）緩衝池文件應該在C:\WINDOWS\system32目錄下。

3，打開任務管（guǎn）理（lǐ）器，會發現spoolsv.exe進程，而且CPU占用率很高

二、清除方法

1、重新啟動，開機按F8進入安全模式。

2、點開（kāi）始－運行，輸入cmd，進入dos,利（lì）用rd命令刪除一下目錄（如果存在）

C:\WINDOWS\system32\msibm

C:\WINDOWS\system32\spoolsv

C:\WINDOWS\system32\bakcfs

C:\WINDOWS\system32\msicn

比如在dos窗口下輸入：rd(空格）C:\WINDOWS\system32\spoolsv/s，回車，出現提示，輸（shū）入y回車（chē），即可刪除整個目錄。

利用del命令刪除下麵的文件（如果存在）

C:\windows\system32\spoolsv.exe

C:\WINDOWS\system32\wmpdrm.dll

比（bǐ）如（rú）在dos窗口下輸（shū）入（rù）：del(空格）C:\windows\system32\spoolsv.exe，回車，即可刪除被（bèi）感染（rǎn）的spoolsv.exe，這個文件可（kě）以在殺毒結束後在別（bié）的正常的機器上（shàng）複製正常的spoolsv.exe粘貼到C:\windows\system32文件夾。

3、重（chóng）啟按F8再次進入安全模式

（1）桌（zhuō）麵右鍵點擊我的電腦，選擇（zé）“管理”，點擊“服務和應用程序”-“服務”，右鍵點擊NTservice，選擇“屬性”，修改啟動（dòng）類（lèi）型為“禁用”。

（2）點開始（shǐ），運行，輸入regedit，回車打開注冊表，點菜單（dān）上的編輯，選擇查找，查找含有spoolsv.exe的注冊表項目，刪除。可（kě）以利用F3繼續查找，將（jiāng）含有spoolsv.exe的注冊表（biǎo）項目全部（bù）刪除。

三、再次重新正常啟動即可

病毒清了後你的SPOOLSV.EXE文件就沒有了（le）,且（qiě）在服務（wù）裏你（nǐ）的（de）後（hòu）台打印print spooler也不能啟動（dòng）了,當然打印機也不能運行了,在運行裏（lǐ）輸入"services.msc"後,在"print spooler"服務中的"常規"項裏的"可執（zhí）行文件路（lù）徑"也變得（dé）不可用,如啟動會顯示"錯誤（wù）3:找不到係統路徑"的錯誤,這是因為你的注冊表的相關項也刪了,(在上麵（miàn）清病毒的（de）時候)

解決方法:

1:在安裝光盤裏I386目錄下把（bǎ）SPOOLSV.EX_文件複製到SYSTEM32目錄（lù）下改名為spoolsv.exe,當然也可以在別人的係統時把這個文件拷過來（lái）,還可以用NT/XP的（de）文件保護功（gōng）能,即在（zài）CMD裏鍵入SFC/SCANNOW全麵修複（fù）,反正你把這個文件恢（huī）複就（jiù）可以（yǐ）了。

2:修改注冊表即可：進入“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler”目錄下，新建一個可擴（kuò）充字符（fú）串值，取名：“ImagePath”，其值為：“C:\WINDOWS\system32\spoolsv.exe”（不要引號）再進入控製麵板中啟動打印服務即可。