這次中的是病毒spoolsv.exe 下面是關于病毒的一些資料： 啟動項 c:/windows/system32/spoolsv/spoolsv.exe -printer
cfs2…… 相關文件、目錄：
%System%\wmpdrm.dll
%System%\1116\
%System%\msicn\msibm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\
%System%\spoolsv\spoolsv.exe
%System%\spoolsv\spoolsv.exe，有一個啟動項：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer"
運行后會調用%System%\msicn\msibm.dll，創建%System%\1116\目錄，備份用。
%System%\1116\目錄是備份目錄，里面是%System%\wmpdrm.dll、%System%\msicn\和%System%\spoolsv\spoolsv.exe的備份。
%System%\msicn\msibm.dll，會插入多個指定進程，大約每4秒鐘監視恢復文件（從%System%\1116\目錄）和注冊表信息（啟動項、BHO）：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}\InprocServer32]
@="%System%\wmpdrm.dll"
注："spoolsv"的數據不會被監視，所以修改它的數據也不會被恢復，只有刪除"spoolsv"才會被恢復。
還可能會從遠程服務器下載文件：
http: //liveupdate.ourxin.com/secp.exe
secp.exe是個安裝程序，安裝以下文件：
%System%\wmpdrm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\（目錄里4個dll文件）
%System%\wmpdrm.dll是一個BHO，%System%\msicn\ube.exe像是卸載程序。
另外，在%System%\和%System%\msicn\目錄里還有有一些從遠程下載來的cpz、vxd文件，比如：
ava.vxd
guid.vxd
plgset.vxd
safep.vxd
%System%\wmpdrm.dll作為BHO被調用后，會嘗試調用%System%\spoolsv\spoolsv.exe和%System%\msicn\msibm.dll。
注：如果%System%\spoolsv\spoolsv.exe沒有被運行或被調用，也就不會備份還原，好像它就是用來備份的。
另外……
在“開始菜單”>>“程序”里 可能 會有一項“NavAngel”，里面有個快捷方式NavAngel.lnk，指向：
%System%\spoolsv\spoolsv.exe -ctrlfun:4,3
“添加/刪除程序”里有一項“NavAngel”，對應命令是：
%System%\spoolsv\spoolsv.exe -ctrlfun:4,2
還有一項“WinDirected 2.0”，對應命令是：
%System%\spoolsv\spoolsv.exe -uninst
還可能會有mscache\目錄，從名字看像是存放臨時緩存文件的。
BHO相關注冊表信息：
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]
[HKEY_CLASSES_ROOT\TypeLib\{8B200623-3FC5-4493-8B49-DC2AD4830AF4}]
[HKEY_CLASSES_ROOT\Interface\{4A775183-9517-420E-9A13-D3DA47BB8A84}]. spoolsv.exe和windows的打印服務spoolsv.exe很類似，不要被它迷惑了，打印服務spoolsv.exe的目錄是系統文件夾（以XP為例）system32\spoolsv.exe而此病毒的路徑為system32\spoolsv\sploosv.exe 根據病毒信息提供偶得查殺方法: 1。進入系統目錄system32刪除文件夾spoolsv和miscn以及1116 2。開始菜單運行regedit打開注冊表編輯器，找到 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer" 刪除該項 3。在注冊表編輯器中打開下面的分支并使用組合鍵ctrl+f進行查找如下內容： [HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1
[HKEY_CLASSES_ROOT\TypeLib\{8B200623-3FC5-4493-8B49-DC2AD4830AF4}
[HKEY_CLASSES_ROOT\Interface\{4A775183-9517-420E-9A13-D3DA47BB8A84} 找到以后進行刪除 4。運行注冊表清里軟件清理注冊表，比如超級兔子，優化大師，惡意軟件清理助手等都可以，此步驟也可以不執行

總結

以上是生活随笔為你收集整理的嘿嘿，又中毒了spoolsv.exe的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。