Spoolsv.exe及Spoolsv.exe木马详解

Spoolsv.exe是一个系统进程，用于把系统的打印任务发送到打印机执行，是电脑中控制打印工作的进程。但值得注意的是，Spoolsv.exe也有可能是Backdoor.Ciadoor.B木马，一种延缓打印的木马程序，该木马能够使用户的电脑CPU占用率达到100%，从而导致CPU风扇高速嘈闹地运转，并且允许攻击者访问你的电脑，盗取个人资料及密码。 +&1#ob"6lq  
IMy!8$\u  
一、判断Spoolsv.exe是否木马 NfCo)C-t  
[H`5mY@  
　　要判断Spoolsv.exe是否木马的方法很简单，只要判断该进程的路径就可以知道了。 6iH]N*]S^  
h9. Yux  
　　正常系统进程Spoolsv.exe其路径为C:windowssystems32spoolsv.exe。 N45@)s!F9j  
vL;=qkTCQ  
　　木马Spoolsv.exe进程的路径为C:WINDOWSsystem32spoolsvspoolsv.exe V<n#%!M5gV  
D/2;b;-  
　　1.打开系统盘，查看是否存在“C:/Windowssystem32spoolsv”的文件夹，里面还有一个Spoolsv.exe的文件，并且显示“傲讯浏览器辅助工具”的说明字样。 7Z81+I|&8  
VhgcvS@V  
　　2.按下Ctrl+Alt+Delete键，打开任务管理器，查看Spoolsv.exe进程的CPU占用率是否很高。符合以上两点的话，那么用户的电脑很可能已经受到Spoolsv.exe木马的入侵了。 X5Y. o&  
LXc;`]  
二、清除Spoolsv.exe木马的方法 ,;=is.h9  
6k1_dRu  
　　1.首先重新启动电脑，按F8进入安全模式。 'HWPuWW  
p|)j{nc  
　　2.单击“开始—运行”命令，输入CMD，打开DOS窗口 iA"H*0  
`|[UF^9  
　　3.输入cd，按下Enter键，退回C:根目录。 'GZ,  
8vvNn>Q  
　　4.使用rd命令，删除以下目录。rd命令使用方法：如输入“rd c:windowssystem32spoolsv/s”按Enter键出现提示，按Y确认删除即可，如图所示。 Vgj[m4l  
ab_EH}j1\q  
　　C:WINDOWSsystem32msibm !ZN"(0#qz  
AeW_W0j  
　　C:WINDOWSsystem32spoolsv evyA#~o  
A6Wtzt2i  
　　C:WINDOWSsystem32akcfs Wb{8WPS  
'&y+,2?;Y[  
　　C:WINDOWSsystem32msicn 0n)UvJ  
=vKSvQP@)  
　　5.使用del命令删除以下文件。del命令使用方法：如输入“del c:windowssystem32spoolsv.exe”按下Enter键即可删除受感染的spoolsv.exe文件。 s:sk`~2<gd  
WTC/mcS  
　　C:windowssystem32spoolsv.exe 0t00X/  
z-kB!~r  
　　C:WINDOWSsystem32wmpdrm.dll ~0{F,R.$  
RJOyPZ]  
　　6.重新启动电脑进入安全模式。右键单击”我的电脑“，选择“管理”打开“计算机管理”对话框，选择“服务和应用程序—服务”，在右边找到“NTservice”设置其属性中的启动类型为“禁用”。 $0;Dk,  
{/qq*0wa  
　　7.单击“开始—运行”命令，输入regedit，开注册表。选择“编辑—选择查找”，查找含有spoolsv.exe的注册表项目并删除。可以利用F3继续查找，将含有spoolsv.exe的注册表项目全部删除。 wOl]N2<  
ur/:aI  
　　8.如果执行以上操作后，电脑仍然有spoolsv.exe进程运行，右键单击“我的电脑”，选择“管理”，点击“服务和应用程序—服务”，右键单击print spooler，选择“属性”，单击“停止”按钮，然后修改启动类型为“手动”或“禁用”。然后重复以上操作。