设为首页收藏本站
开启辅助访问 切换到宽版

无忧启动论坛

 找回密码
 注册
搜索
无忧启动论坛»论坛 ::数码生活:: Windows技术讨论区 新手求助:'(
系统gho:最纯净好用系统下载站投放广告、加入VIP会员,请联系 微信:wuyouceo
返回列表 发新帖
查看: 3566|回复: 15
打印 上一主题 下一主题

新手求助:'(

[复制链接]
wanglei
跳转到指定楼层
1#
发表于 2006-8-18 15:58:45 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
加入VIP会员,获无忧币,赠积分,送勋章,下载无限制,获论坛最高级会员权限 !
系统老是自动加载一个启动项目:c:\winnt\sysytem32\spoolsv\spoolsv.exe -printer



这是个什么东西啊,怎么弄掉啊:'(:'(:'(:'(
回复

使用道具 举报

2#
发表于 2006-8-18 20:55:03 | 只看该作者
没有必要重复发帖吧!
回复

使用道具 举报

3#
发表于 2006-8-18 23:02:49 | 只看该作者
spoolsv.exe是系统关键进程,printer是打印吧。但没见过这样加的。可能是病毒。
回复

使用道具 举报

6618
4#
发表于 2006-8-19 00:31:15 | 只看该作者
这是6618在网上找的帖子:

下面是关于病毒的一些资料:
启动项 c:/windows/system32/spoolsv/spoolsv.exe -printer
cfs2…… 相关文件、目录:
%System%\wmpdrm.dll
%System%\1116\
%System%\msicn\msibm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\
%System%\spoolsv\spoolsv.exe
%System%\spoolsv\spoolsv.exe,有一个启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer"
运行后会调用%System%\msicn\msibm.dll,创建%System%\1116\目录,备份用。
%System%\1116\目录是备份目录,里面是%System%\wmpdrm.dll、%System%\msicn\和%System%\spoolsv\spoolsv.exe的备份。
%System%\msicn\msibm.dll,会插入多个指定进程,大约每4秒钟监视恢复文件(从%System%\1116\目录)和注册表信息(启动项、BHO):
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}\InprocServer32]
@="%System%\wmpdrm.dll"
注:"spoolsv"的数据不会被监视,所以修改它的数据也不会被恢复,只有删除"spoolsv"才会被恢复。
还可能会从远程服务器下载文件:
http: //liveupdate.ourxin.com/secp.exe
secp.exe是个安装程序,安装以下文件:
%System%\wmpdrm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\(目录里4个dll文件)
%System%\wmpdrm.dll是一个BHO,%System%\msicn\ube.exe像是卸载程序。
另外,在%System%\和%System%\msicn\目录里还有有一些从远程下载来的cpz、vxd文件,比如:
ava.vxd
guid.vxd
plgset.vxd
safep.vxd
%System%\wmpdrm.dll作为BHO被调用后,会尝试调用%System%\spoolsv\spoolsv.exe和%System%\msicn\msibm.dll。
注:如果%System%\spoolsv\spoolsv.exe没有被运行或被调用,也就不会备份还原,好像它就是用来备份的。
另外……
在“开始菜单”>>“程序”里 可能 会有一项“NavAngel”,里面有个快捷方式NavAngel.lnk,指向:
%System%\spoolsv\spoolsv.exe -ctrlfun:4,3
“添加/删除程序”里有一项“NavAngel”,对应命令是:
%System%\spoolsv\spoolsv.exe -ctrlfun:4,2
还有一项“WinDirected 2.0”,对应命令是:
%System%\spoolsv\spoolsv.exe -uninst
还可能会有mscache\目录,从名字看像是存放临时缓存文件的。
BHO相关注册表信息:
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]
[HKEY_CLASSES_ROOT\TypeLib\{8B200623-3FC5-4493-8B49-DC2AD4830AF4}]
[HKEY_CLASSES_ROOT\Interface\{4A775183-9517-420E-9A13-D3DA47BB8A84}].
spoolsv.exe和windows的打印服务spoolsv.exe很类似,不要被它迷惑了,打印服务spoolsv.exe的目录是系统文件夹(以XP为例)system32\spoolsv.exe而此病毒的路径为system32\spoolsv\sploosv.exe
回复

使用道具 举报

6618
5#
发表于 2006-8-19 00:32:19 | 只看该作者
另一篇帖子:
查杀病毒spoolsv.exe -f  

最近突发诚心,想学学编程。好容易找到一个vb,delphi等速打熟练的软件,却要注册。想想随便搜个破

解或者注册码得了,无奈垃圾站和垃圾软件太多。下载一个默认一安装,什么yaho,BAIDU搜索,桌面背

景天气一股脑被安装上去。NND,我清

按老思路,一般把启动项和新服务k掉就可以,结果C:\windows\system32\spoolsv\spoolsv.exe -f删

了好几次怎么都会自动恢复。上网查一下,是个新东西,怪不得NORTON不杀呢。网上多是安全模式进去云

云,xp下进一次安全模式慢的跟猪似的。想想有什么新鲜办法,仔细分析了下关联的那些程序

%System%\wmpdrm.dll
%System%\1116\
%System%\msicn\msibm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\ 
%System%\spoolsv\spoolsv.exe
%System%\spoolsv\spoolsv.exe,启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer" 开机启动

一般来说一定是dll做鬼,icesword查了半天,没监到什么新鲜进程和东西。那就一个一个手工删除吧
rd xxx目录 /s
或者rm /s /Q xxx目录都可以,当删到c:\windows\system32\msicn\msibm.dll 的时候,被禁止了,看

来就是它。级别最高,当是"老板"。如果NTFS分区,给它分配下权限,guest组丢过去,重启一下应该就

可以。可俺是FAT32,想一想硬盘里还有个宝贝降级/删除的东西CopyLock(宝贝啊,大家可以自己google)
msibm.dll一删,默认重启动。接着把%sysroot%下的那些关联文件/目录一删除,msconfig里的启动项

里spoolsv\spoolsv.exe -printer一停

hoho,世界终于清净了~~~
回复

使用道具 举报

6618
6#
发表于 2006-8-19 00:44:02 | 只看该作者
以下是6618私人给的东东:
先用KILLBOX删掉msibm.dll,重启删除后,再用我给的批处理删除相关的病毒,最后运行MSCONFIG去掉病毒在注册表中的自启项,这两个东东在附件中下载,KILLBOX的使用方法看下帖:

killbox.rar

68.6 KB, 下载次数: 45, 下载积分: 无忧币 -2

del.rar

141 Bytes, 下载次数: 45, 下载积分: 无忧币 -2

回复

使用道具 举报

6618
7#
发表于 2006-8-19 00:46:00 | 只看该作者
朋友,你还是新人?顺便再灌灌水,好久不见了!
不行再跟帖,请看下图:

[ 本帖最后由 6618 于 2006-8-19 12:47 AM 编辑 ]

killbox.JPG (32.77 KB, 下载次数: 22)

killbox.JPG
回复

使用道具 举报

wanglei
8#
 楼主| 发表于 2006-8-19 11:00:50 | 只看该作者
谢谢66,昨天晚上喝醉了,现在才来,我去试试先
回复

使用道具 举报

wanglei
9#
 楼主| 发表于 2006-8-19 11:03:35 | 只看该作者
原帖由 老毛桃 于 2006-8-18 08:55 PM 发表
没有必要重复发帖吧!

毛桃对我有偏见么:@:@:@我好久都没来了,什么叫重复发贴:'(:'(:'(
回复

使用道具 举报

10#
发表于 2006-8-19 13:14:30 | 只看该作者
原帖由 wanglei 于 2006-8-19 11:03 发表

毛桃对我有偏见么:@:@:@我好久都没来了,什么叫重复发贴:'(:'(:'(

呵呵,楼主不要见外,因为我看你昨天发的是两个完全一样的帖子,又看你不是新来的了,所以。。。
回复

使用道具 举报

wanglei
11#
 楼主| 发表于 2006-8-19 13:15:36 | 只看该作者
谢谢66,已经搞定,心情不错,KFC了下:lol:lol
回复

使用道具 举报

wanglei
12#
 楼主| 发表于 2006-8-19 13:19:07 | 只看该作者
原帖由 老毛桃 于 2006-8-19 01:14 PM 发表

呵呵,楼主不要见外,因为我看你昨天发的是两个完全一样的帖子,又看你不是新来的了,所以。。。

着急了:L看网页没刷出来,可能多发了一次:lol
回复

使用道具 举报

6618
13#
发表于 2006-8-19 18:26:56 | 只看该作者
原帖由 wanglei 于 2006-8-19 01:15 PM 发表
谢谢66,已经搞定,心情不错,KFC了下:lol:lol

哈哈,都是老朋友了,不用客气,搞定了就好。
回复

使用道具 举报

14#
发表于 2006-12-8 08:10:42 | 只看该作者
我遇到的情况与楼主不太一样,没有发现spoolsv文件夹,也没有那几个文件和文件夹。但现象一样。还有,“显示隐藏文件”设置后,不起作用。
回复

使用道具 举报

15#
发表于 2006-12-8 14:04:40 | 只看该作者
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

16#
发表于 2006-12-8 14:11:49 | 只看该作者
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2026-2-6 02:33

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表