篇一:spoolsv病毒解决办法
spool病毒解决办法
Spoolsv.exe是一种延缓打印木马程序,它使计算机CPU使用率达到100%,从而使风扇保持高速嘈杂运转;该木马允许攻击者访问你的计算机,窃取密码和个人数据。
一、判别自己是否中毒
1、运行msconfig,打开实用配置程序,选择“启动”, 感染以后会在启动项里面发现运行Spoolsv.exe的启动项。
2、打开系统盘,假设C盘,看是否存在C:\WINDOWS\system32\spoolsv文件夹,里面有个spoolsv.exe文件,有“傲讯浏览器辅助工具”的字样说明,正常的spoolsv.exe打印机缓冲池文件应该在C:\WINDOWS\system32目录下。
3,打开任务管理器,会发现spoolsv.exe进程,而且CPU占用率很高
二、清除方法
1、重新启动,开机按F8进入安全模式。
2、点开始-运行,输入cmd,进入dos,利用rd命令删除一下目录(如果存在) C:\WINDOWS\system32\spoolsv
比如在dos窗口下输入:rd(空格)C:\WINDOWS\system32\spoolsv/s,回车,出现提示,输入y回车,即可删除整个目录。
利用del命令删除下面的文件(如果存在)
C:\windows\system32\spoolsv.exe
C:\WINDOWS\system32\wmpdrm.dll
比如在dos窗口下输入:del(空格)C:\windows\system32\spoolsv.exe,回车,即可删除被感染的spoolsv.exe,这个文件可以在杀毒结束后在别的正常的机器上复制正常的spoolsv.exe粘贴到C:\windows\system32文件夹。
3、重启按F8再次进入安全模式
(1)桌面右键点击我的电脑,选择“管理”,点击“服务和应用程序”-“服务”,右键点击NTservice,选择“属性”,修改启动类型为“禁用”。
(2)点开始,运行,输入regedit,回车打开注册表,点菜单上的编辑,选择查找,查找含有spoolsv.exe的注册表项目,删除。可以利用F3继续查找,将含有spoolsv.exe的注册表项目全部删除。
三、再次重新正常启动即可
病毒清了后你的SPOOLSV.EXE文件就没有了,且在服务里你的后台打印print spooler也不能启动了,当然打印机也不能运行了,在运行里输入"services.msc"后,在"print spooler"服务中的"常规"项里的"可执行文件路径"也变得不可用,如启动会显示"错误3:找不到系统路径"的错误,这是因为你的注册表的相关项也删了,(在上面清病毒的时候)
解决方法:
1:在安装光盘里I386目录下把SPOOLSV.EX_文件复制到SYSTEM32目录下改名为
spoolsv.exe,当然也可以在别人的系统时把这个文件拷过来,还可以用NT/XP的文件保护功能,即在CMD里键入SFC/SCANNOW全面修复,反正你把这个文件恢复就可以了 2:修改注册表,在
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Spooler]下加一个"ImagePath"="c:\windows\system32\spoolsv.exe"就可以了,再打开看看,你的打印可以用了吧。
四、启动Print Spooler服务就可以正常打印了。
第二种方法:
打开我的电脑,在地址栏输入:%SystemRoot%/System32/spool/PRINTERS按回车键,进入PRINTERS文件夹,把里面的所有文件都删除掉。右键单击“我的电脑”,选择计算机管理。在弹出的界面上选择“服务和应用程序”。重新启动后台打印机程序服务:Print Spooler
篇二:WINDOWSsystem32spools.exe中病毒处理办法简介
WINDOWSsystem32spools.exe中病毒处理办法简介
判别自己是否中毒
1、点开始-运行,输入msconfig,回车,打开实用配置程序,选择“启动”, 感染以后会在启动项里面发现运行Spoolsv.exe的启动项, 每次进入windows会有NTservice的对话框。
2、打开系统盘,假设C盘,看是否存在C:\WINDOWS\system32\spoolsv文件夹,里面有个spoolsv.exe文件,有“傲讯浏览器辅助工具”的字样说明,正常的spoolsv.exe打印机缓冲池文件应该在C:\WINDOWS\system32目录下。3,打开任务管理器,会发现spoolsv.exe进程,而且CPU占用率很高。
解决方案
(1)重新启动,开机按F8进入安全模式。 在没有中病毒的电脑上找到 C:\windows\system32\spoolsv.exe,将spoolsv.exe考到你的U盘,替换被感染的spoolsv.exe
(2)点开始,运行,输入regedit,回车打开注册表,点菜单上的编辑,选择查找,查找含有spoolsv.exe的注册表项目,删除。可以利用F3继续查找,将含有spoolsv.exe的注册表项目全部删除。
(3)若以上操作完成后,仍然有该进程。请桌面右键点击我的电脑,选择“管理”,点击“服务和应用程序”-“服务”,右键点击print spooler,选择“属性”,先点“停止”然后修改启动类型为手动或“禁用”。(我处理是没有检查这一步也没问题)
另外解决方案 直接删除C:\WINDOWS\system32\spool\PRINTERS 下的文件即可我还遇到一种情况:经检查,不是以上所描述的病毒,但经常占CPU 100%,但是连续关进程几次,便不再出现,奇怪,
如上所述,在system32里有 spool文件夹。直接把 \PRINTERS 下的文件删除,便解决了这个问题。这可能不是“病毒”问题,而是系统的故障,但出现了还是很麻烦的。
杀毒后处理
病毒清了后问题你的SPOOLSV.EXE文件就没有了,且在服务里你的后台打印print spooler也不能启动了,当然打印机也不能运行了,在运行里输入“services.msc”后,在“print spooler”服务中的“常规”项里的“可执行文件路径”也变得不可用,如启动会显示“错误3:找不到系统路径”的错误,这是因为你的注册表的相关项也删了,(在上面清病毒的时候)
解决方法:1:在安装光盘里I386目录下把SPOOLSV.EX_文件复制到SYSTEM32目录下改名为spoolsv.exe,当然也可以在别人的系统时把这个文件拷过来,还可以用NT/XP的文件保护功能,即在CMD里键入SFC/SCANNOW全面修复,反正你把这个文件恢复就可以了。(之前用替换的就不要这部了,使用删除的需要)
2:修改注册表即可:运行regedit进入
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler”目录下,新建一个可扩充字符串值,取名:“ImagePath”,其值为:
“C:\WINDOWS\system32\spoolsv.exe”(不要引号)再进入控制面板中启动打印服务即可。(就是添加搜索打印机)
到此问题OK!!!
附:有的电脑设置没有选择安全模式启动
解决方案:
1、在Windows环境下,点击“开始”菜单,然后点击“运行”;
2、输入msconfig,然后点击“确定”按钮;
3、点击“Boot.ini”标签;
4、选择"/SAFEBOOT";
5、然后点击“确定”按钮保存退出,重新启动计算机;
启动时再按F8就会有选择了,取消高级选项菜单只需重复前面操作选除SAFEBOOT就行啦
篇三:病毒文件夹模仿者解决方法
“文件夹模仿者”(win32.troj.fakefoldert.yl.1406378),这是一个可借助U盘传播的木马程序。该毒还通过将自己的文件伪装成文件夹图标,欺骗用户点击。
你试试看用瑞星在安全模式下全盘杀毒
进入安全模式的方法是
1、在计算机开启BIOS加载完之后,迅速按下F8键,在出现的WindowsXP高级选项菜单中选择“安全模式”;
2、如果有多系统引导,在选择WindowsXP启动时,当按下回车键,就应该迅速地按下F8键(最好两只手进行操作),在出现的WindowsXP高级选项菜单中选择“安全模式”。
摘要:今天突然发现计算机有点异常,只要一打开Windows资源管理器左侧的文件夹,Explorer.exe就会崩溃,检查了一下发现中了W32.Downadup.autorun病毒。尽管机器安装了最新版本的瑞星杀毒软件,但是根本就检测不到该病毒。Symantec可以检测到,但是单位的涉密计算机就不允许安装国外的杀毒软件,只能用瑞星。在网上搜索了一下,在Symantec的网站上可以下载杀毒软件包。下回来运行了一下,可以把病毒删除了,下面是删除的日志文件:
全文:/zealsoft/archive/2009/05/11/1454194.html 我说过瑞星杀不了的病毒,结果发现换成Symentec,也会有杀不了的病毒。今天就碰上一个:Win32.Troj.FakeFolderT.yo.1406378。这个病毒的症状就是你插入一个新U盘,它就会在U盘上建立几个和U盘上目录同名的.EXE文件,从而达到传播的目的。这是个病毒变种,最新的Symentec也没有查出来。金山的在线杀毒可以查出来,但是如果想杀需要交钱。这点不如Symentec厚道,Symentec查出的病毒大多提供免费的杀毒工具,买不买没关系
这个病毒的清除似乎不难,先在任务管理器中找到一个文件名为随机生成的数字的进程,我的机器上为6261B2.EXE,然后直接关闭这个进程。然后在
Windows\System32的某个随机数目录中删除掉这个.EXE文件。再清楚掉注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中的对应项就可以了。重新启动,检查一下新插入的U盘没有产生病毒文件就说明删除了。
展开描述:模仿文件夹图标,欺骗用户点击
症状:U盘文件夹图标被替换,杀毒后文件夹丢失
卡巴命名:Trojan-Dropper.Win32.Flystud.ko、Virus.BAT.Agent.af
瑞星命名:Trojan.Win32.ECode.ee\n、Trojan.Win32.ECode.ee\n
NOD32命名:Trojan.Win32.FlyStudio.NJS、Worm.Win32.AutoRun.FlyStudio.FQ
McAfee命名:W32.Autorun.worm.dqvirus、W32.Autorun.worm.evvirus
此毒为Win32.Troj.FakeFolderT.yl.1407388(文件夹模仿者)的一款变种,感染该毒后的所有症状完全一致。
出处:PConline 2009年11月17日 作者:金山毒霸 责任编辑:huanghaiming
Win32.troj.fakefoldert.yo.1406378(文件夹模仿者变种)
展开描述: 模仿文件夹图标,欺骗用户点击
症状:U盘文件夹图标被替换,杀毒后文件夹丢失
卡巴命名: Trojan-Dropper.Win32.Flystud.ko、Virus.BAT.Agent.af
瑞星命名:Trojan.Win32.ECode.ee\n、Trojan.Win32.ECode.ee\n
NOD32命名:Trojan.Win32.FlyStudio.NJS、Worm.Win32.AutoRun.FlyStudio.FQ
McAfee命名: W32.Autorun.worm.dq virus、W32.Autorun.worm.ev virus
此毒为Win32.Troj.FakeFolderT.yl.1407388(文件夹模仿者)的一款变种,感染该毒后的所有症状完全一致。
Win32.induc.a.820224 (Delphi梦魇)
展开描述:感染Delphi环境,从源头污染程序
症状:无任何症状
卡巴命名:Virus.Win32.Induc.a
NOD32命名:virus.Win32.Induc.A
这是一个针对Delphi程序员的病毒“Delphi梦魇”,它专门感染Delphi程序员的电脑,一旦成功,程序员今后写出的任何程序,都将带有该毒。
当随着被感染文件进入电脑系统,“Delphi梦魇”就开始检验系统中是否有Delphi环境。它通过循环检测注册表键值的方法查找dephi 的安装目录,如果找到dephi,就将恶意代码前排插入SysConst.pas
文件,这个文件编译的时候,会生成SysConst.dcu,而这个文件会被添加到每个新的dephi工程中。于是,Delphi程序员们所编写的程序就全部带毒了。
该毒不具备破坏能行为,但由于其在技术和攻击方式上的突破,已经成为一些不法黑客借鉴和改造的对象,基于该毒改写的下载器已经在技术上实现,一旦被广泛利用,后果难以想像。而且目前国内除金山毒霸外,尚无别的杀软厂家具备查杀该毒的能力,这更加重了国内网络的危险。
Win32.troj.gameolt.ct.73816 (在线盗号器ZT)
展开描述:盗窃网游账号
症状:找不到系统COMRes.dll文件
卡巴命名:Trojan-Dropper.Win32.Agent.ayqa、HEUR.Trojan.Win32.Generic
瑞星命名:Trojan.PSW.Win32.DNFOnLine.bl\n
NOD32命名:Trojan.Win32.PSW.OnLineGames.NRD
McAfee命名:PWS-OnlineGames.ek trojan、Generic Dropper.eb trojan
10月份,关于“C:\WINDOWS\system32\COMRes.dll”的询问量有所增加。很多用户发现自己电脑里的这个文件丢失了,造成系统异常,这其实是病毒感染造成的。某些下载器和盗号木马在运行过程中感染了这一文件,对其造成严重破坏,无法正常修复。而Win32.troj.gameolt.ct.73816 (在线盗号器ZT)就是一个这种类型的木马。
此毒近来频繁出现在网游玩家的电脑中,它一旦运行就会搜索多款流行网游的进程注入,执行盗窃账号的任务。金山毒霸反病毒工程师对该毒进行分析后,发现它主要是由一些木马下载器下载到用户电脑中的,而这些下载器又多半与一些游戏外挂插件捆绑。
因此,避免遭遇该毒的最好办法就是不要下载那些未经游戏运营商认证的插件,以免被此毒混入电脑。如果您电脑上的毒霸频繁报告发现该毒,可使用金山清理专家中的垃圾文件清理功能,清空系统缓存。并下载运行免费的金山急救箱对可能存在的下载器母体进行灭活。然后,从网上或其它正常电脑上复制COMRes.dll文件到自己电脑的相应路径下,再重启系统即可。
Win32.troj.cfgt.ex.38507 (CFG网游盗号器变种)
展开描述:依靠网页挂马传播,盗窃网游帐号
症状:游戏密码失效,装备丢失,网游帐号被盗
卡巴命名:Trojan-GameThief.Win32.Magania.Bdax、Trojan-PSW.Win32.LdPinch.afvu
瑞星命名:Trojan.PSW.Win32.GameOL.zql\n、Trojan.PSW.Win32.XYOnline.alv\n
NOD32命名:Trojan.Win32.PSW.OnLineGames.NRD
“CFG网游盗号器变种”(win32.troj.cfgt.ex.38507)本月继续在TOP榜中保持上月的排名。这款盗号木马主要依靠网页挂马传播,能盗取多款流行网游的账号和木马。如果用户系统中存在安全漏洞,就很容易受到脚本下载器的攻击。然后脚本下载器就会直接下载此毒,或者先下载一个类似宝马下载器这样的普通下载器,再下载此盗号木马。
如果毒霸频繁提示发现此毒,表明系统中很可能存在未知的下载器,造成每次删除后又再次下载。这种情况不用慌,只需安装并运行金山安全实验室免费提供的“金山急救箱”,对未知下载器进行灭活,即可解决问题。
Win32.troj.onlinegamest.oc.53400(网游帐号吞吃兽)
展开描述:盗取帐号
症状:游戏装备丢失,帐号密码总输不对
卡巴命名:Trojan-GameThief.Win32.Magania.bsvr、HEUR.Trojan.Win32.Generic
瑞星命名:Trojan.PSW.Win32.GameOL.yjw\n
NOD32命名:Trojan.Win32.PSW.OnLineGames.NRD
McAfee命名: PWS-OnlineGames.ek trojan
这款盗号木马也是安全月报中的老面孔了,在上期月报中我们就对它做过介绍,所不同的是,本月它的感染量下降了一半。该毒会盗取多款著名游戏的账号密码信息,然后发送到病毒作者指定的地址。该毒依靠挂马下载器和捆绑于其它文件的下载器的帮助,入侵用户电脑,盗窃游戏账号后将其发送到病毒作者指定的地址,随后很快就会被职业的洗号者将游戏账号中可自由交易的物品全部盗走,用户即时找回账号,能得到的也只剩一个“一丝不挂”的游戏角色。
如发现系统中有此毒无法彻底删除,很可能是有未知下载器不断将该毒下载到电脑中,可下载运行金山安全实验室的“金山急救箱”,将下载器灭活,同时运行清理专家的漏洞检查功能,查看是否有安全漏洞需要更新。
Win32.troj.startpaget.ze.180224(IE主页篡改器ZE)
展开描述:修改IE主页,弹出广告页面
症状:IE弹出广告页面,桌面出现网页文件
卡巴命名:Trojan.Win32.StartPage.eel、Trojan.Win32.StartPage.eex
瑞星命名:Trojan.Clicker.Win32.Agent.eze\n
NOD32命名:Trojan.Win32.StartPage.NNY
“IE主页篡改器ZE”(win32.troj.startpaget.ze.180224)这个广告程序在9月底时开始流行,近日又开始频频现身。
该毒主要是随着一些小型软件传播,病毒团伙将该毒捆绑在某些受欢迎的小程序里,当用户下载这些程序时,该毒就跟着混进电脑。然后它就修改IE浏览器的数据,将主页锁定为病毒作者规定的地址。这样一来,用户每次打开IE浏览器都要被迫浏览广告页面,为这些网站“贡献”流量。而病毒团伙也就可以从中获取提成,牟取不义之财。
避免遭遇该毒的最简单办法,是不要去那些不知名的小型下载站点或不良网站,这些地方提供的视频播放器或工具多半包含此毒或类似的病毒木马。
十大影响较大的被挂马网站
此榜中的网站,均曾在10月遭到过病毒团伙攻击,并被挂上脚本木马。我们从记录到的挂马网站中,按知名度、访问量人数,以及网站代表性进行综合评估,选出十个,得出此榜。其中一些网站的挂马,截止本期月报截稿时尚未清除。
其中,中国农民工维权网、福建省医药价格信息网、成都市劳动保障信息网等网站这些网站属于社会服务性质,对他们下手,某种程度上显示出黑客在道德方面的缺失。而公安现役部队招募报名系统被挂马,则有可能造成应征者的个人信息泄露。
中国农民工维权网 hxxp://.cn
齐鲁晚报 hxxp://old.qlwb.com.cn/tianqi
沧州住房公积金管理中心 hxxp://czgjj.net/ywlc.asp?ywlc=5
中国华东进出口商品交易会hxxp:///
免费论文网友情提示:本网站所有内容为共享上传提供,不涉及任何商业利益,本站对此不承担任何保证责任!
Copyright © www.csmayi.cn Corporation, All Rights Reserved 共享时代 共享你我他 版权所有