木馬病毒SPOOLSV.EXE的解決方法（fǎ）前（qián）幾天感染了一個spoolsv.exe的木馬病毒，怎麽殺都（dōu）殺不掉，殺了又來，最後找（zhǎo）了下（xià），發現spoolsv.exe的最新變種目前還沒有哪個軟件能殺掉（diào），因此，將解決方法發布在這裏，希望對大家有幫助!

spoolsv.exe是一種延緩打（dǎ）印木馬程序，它使計算機CPU使用率達到100%，從（cóng）而使（shǐ）風（fēng）扇（shàn）保持高（gāo）速嘈雜（zá）運轉（zhuǎn）。目前網上提供的方（fāng）法或許能（néng）夠（gòu）解決前期問題，但對（duì）最新（xīn）的變種現（xiàn）象（xiàng）無能為（wéi）力（lì）， Ctrl+Alt+Delete停止spoolsv.exe運行（háng）進程

重啟（qǐ）計算（suàn）機進（jìn）入安全模式，在C:/windows/system32/刪除（chú）spoolsv.exe(或可用（yòng）搜（sōu）索（suǒ）方式刪除C盤所有（yǒu）同名文件)

運行（háng）regedit，用查（chá）找方式找（zhǎo）到並刪除所（suǒ）有spoolsv文件。

我的電腦點（diǎn）擊右鍵，選擇管理 > 服（fú）務，禁用print spooler服務(目前（qián）網上提供的方法僅（jǐn）到此)

重啟電（diàn）腦（nǎo）進入係統常（cháng）規模式（shì），你會（huì）發（fā）現電腦還是處（chù）於高速運轉，但在（zài）搜索中已（yǐ）找（zhǎo）不（bú）到任何spoolsv相關（guān）文件。

Ctrl+Alt+Delete，你可以在進程（chéng）中（zhōng）找到（dào）一個名為inter的後台運行程序，將其關閉即可。

強烈建（jiàn）議在（zài）應用以上步驟解決問題之後，運行反木馬程（chéng）序掃描並刪除感染文件。

我自己的（de）原創方法是（shì）:在桌麵建一個TXT文件並顯示擴展名（míng）,改名（míng）為（wéi）spools.exe後（hòu）將文件屬（shǔ）性改為（wéi）隻讀,將這個（gè）假（jiǎ）的病毒覆蓋c:\winnt\system32\spoolsv\的（de）44K真病毒.好了,重新啟動（dòng）電腦.病毒沒了.

最後（hòu）發現（xiàn）這個有個公司出品了這（zhè）個（gè）病毒：廣州（zhōu）傲訊信息科技有（yǒu）限公司

刪（shān）除經驗（yàn）：

spoolsv.exe是係統進程（chéng），用於將Windows打印（yìn）機（jī）任務（wù）發送給（gěi）本地打印機。注意spoolsv.exe也有可能（néng）是（shì）Backdoor.Ciadoor.B木馬。該（gāi）木馬允許攻（gōng）擊者（zhě）訪問你的（de）計（jì）算（suàn）機，竊取密碼和個人數據。

兩者（zhě）的區別在於（yú），前（qián）者是（shì）在SYSTEM32目錄下（xià），而木（mù）馬程序不在SYSTEM32目錄下，而是在其子目（mù）錄或其他目（mù）錄下。

手工清除（chú）方法，進（jìn）入安全模式，工具---文件夾選項---查看，將（jiāng）“顯示文（wén）件（jiàn）夾內容”、“顯示所有文件及文件夾（jiá）”前的勾打上，去掉“隱藏受保護（hù）的操作係（xì）統文件”前的勾，然後全盤查（chá）找（zhǎo）tqppmtw.fyf這（zhè）個文件，找到（dào）後刪除，另（lìng）外繼續查找spoolsv.exe文件，注意（yì），SYSTEM32目錄（lù）下的（de）不（bú）刪，其他的（de）全刪。最後清空IE臨時（shí）緩存，TEMP臨時目錄（lù）和（hé）回收站就OK了。

Spoolsv.exe是（shì）一種延緩打印木馬程序，它使計算機CPU使用率達到100%，從而使風扇保（bǎo）持高速嘈雜運轉；該木馬允許攻擊者訪（fǎng）問你（nǐ）的（de）計算機，竊（qiè）取（qǔ）密碼和個人數據。

一、判別自己是否中（zhōng）毒（dú）

1、點開始（shǐ）－運行，輸入msconfig，回車，打開實用配置程序（xù），選擇“啟動”， 感染以後會（huì）在啟（qǐ）動項裏麵發（fā）現運行Spoolsv.exe的啟動項， 每次進入windows會（huì）有（yǒu）NTservice的對話（huà）框（kuàng）。

2、打開係（xì）統盤，假設C盤（pán），看是否存在（zài）C:\WINDOWS\system32\spoolsv文件夾，裏麵有個（gè）spoolsv.exe文件，有“傲訊瀏覽器輔助工具”的字（zì）樣（yàng）說明，正常的（de）spoolsv.exe打印（yìn）機緩衝池（chí）文件應該在C:\WINDOWS\system32目錄下。

3，打開任務管理器，會發現spoolsv.exe進程，而且CPU占用率（lǜ）很（hěn）高（gāo）

二、清（qīng）除方法

1、重新啟動（dòng），開機（jī）按（àn）F8進入（rù）安全模式。

2、點開始－運行（háng），輸入cmd，進入dos,利用rd命令刪除一下目錄（lù）（如果存（cún）在（zài））

C:\WINDOWS\system32\msibm

C:\WINDOWS\system32\spoolsv

C:\WINDOWS\system32\bakcfs

C:\WINDOWS\system32\msicn

比如在dos窗口（kǒu）下輸入：rd(空格）C:\WINDOWS\system32\spoolsv/s，回車，出現提示，輸入y回（huí）車，即可刪除（chú）整個目錄。

利用del命令刪除下（xià）麵的（de）文件（如果存在）

C:\windows\system32\spoolsv.exe

C:\WINDOWS\system32\wmpdrm.dll

比如在dos窗口下輸入：del(空格）C:\windows\system32\spoolsv.exe，回（huí）車，即可刪除被感染的spoolsv.exe，這個文件可（kě）以在殺毒結束後在別的正（zhèng）常的機器（qì）上複製正常的spoolsv.exe粘貼到C:\windows\system32文（wén）件夾。

3、重啟（qǐ）按F8再次進（jìn）入安（ān）全模（mó）式

（1）桌麵（miàn）右鍵點擊我的電腦，選擇“管（guǎn）理”，點擊（jī）“服（fú）務和應用（yòng）程序（xù）”-“服務”，右鍵點擊NTservice，選擇“屬性”，修改啟動類型為（wéi）“禁用”。

（2）點開始，運（yùn）行，輸（shū）入regedit，回車打開注冊表，點菜單上（shàng）的編輯，選擇查找，查找含（hán）有spoolsv.exe的注冊表項目，刪除。可以利用F3繼續查找，將含有spoolsv.exe的注冊表項目全部刪除。

三（sān）、再次重新正常啟動即可

病毒（dú）清了（le）後（hòu）你的（de）SPOOLSV.EXE文件就沒有了,且（qiě）在服務裏（lǐ）你的後台打（dǎ）印print spooler也不能啟動了,當然打印機也不（bú）能運行（háng）了,在（zài）運行（háng）裏（lǐ）輸入"services.msc"後,在"print spooler"服務中的"常規"項裏的"可執行（háng）文件路（lù）徑"也變得不可用（yòng）,如啟（qǐ）動會（huì）顯示"錯誤3:找不到（dào）係統路徑"的（de）錯（cuò）誤,這是因為你的注（zhù）冊表的（de）相關項也（yě）刪了,(在上（shàng）麵清病毒的時候（hòu）)

解決（jué）方法:

1:在（zài）安裝光（guāng）盤裏I386目錄下把SPOOLSV.EX_文件複製到SYSTEM32目錄下改名為（wéi）spoolsv.exe,當然也（yě）可以在別人的係統時把（bǎ）這個（gè）文件拷過來,還（hái）可以用NT/XP的文（wén）件保護（hù）功能（néng）,即在CMD裏鍵入（rù）SFC/SCANNOW全麵修複,反正你把這個文件恢複（fù）就（jiù）可以了。

2:修改注冊表（biǎo）即可：進入“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler”目錄（lù）下，新（xīn）建一個可擴充字符串值，取名（míng）：“ImagePath”，其（qí）值為：“C:\WINDOWS\system32\spoolsv.exe”（不要引號（hào））再進（jìn）入控製麵（miàn）板中啟動打印服務即可。