描述:
spoolsv.exe用于将Windows打印机任务发送给本地打印机。注意spoolsv.exe也有可能是Backdoor.Ciadoor.B木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全级别是建议立即删除。
关于spoolsv.exe
xp下的正常程序大小是57k
而大小为44k的是木马(隐身大盗)程序,一般藏于c:\windows\system32\spoolsv文件夹,另外该木马为防被删还设置有备份程序tqppmtw.fyf藏于windows32文件夹
该木马手工清除办法:首先删除c:\windows\system32\spoolsv文件夹,而非单独删除c:\windows\system32\spoolsv下的spoolsv.exe(44k)文件,然后打开任务管理器,将spoolsv进程优先级调为最低;最后迅速删除其备份文件tqppmtw.fyf并关闭spoolsv进程即可。
你机器里这样的东西是因为这个进程被木马杀客这样的木马查杀软件查到了,但由于它的特殊性,软件没有直接删除它,而将它屏蔽了---你如果想重新使用这个spoolsv.exe你只需将后面的“_被屏蔽木马”Delete掉就可以了。
来源:中华网络安全联盟作者:jacoo
-----------------------------
故障描述:
每次开机以后发现spoolsv.exe进程消耗了大量的CPU资源(70),严重影响了系统的运行,怀疑是计算机病毒。
故障检查:
根据他的描述,我首先检查了PrintSpooler服务的加载方式等内容。
打开注册表编辑器
定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler
检查这个键以及子键的内容是否正确。
经查,故障系统的键完全正确,没有问题。但是为什么会有spoolsv.exe进程消耗了大量的CPU资源的问题呢?
有人可能会问,spoolsv.exe进程是不是计算机病毒的进程,这一点很容易确认的。正确的spoolsv.exe进程的映像文件路径肯定是SystemRoot\System32\spoolsv.exe,因为根据WindowsSystemFileCheck的原理,如果说SystemRoot\System32\spoolsv.exe被替换的话,Windows系统文件保护装置会从DllCache里面把正确的文件替换。所以在大多数情况下是可以相信SystemRoot\System32\spoolsv.exe文件是正确的。而故障系统spoolsv.exe进程的映像文件路径的确是SystemRoot\System32\spoolsv.exe,因此spoolsv.exe进程没有问题。
*注:有些特殊的方法可以绕开这个保护,这里不进行讨论。
根据以往知识,我们知道PrintSpooler服务是用于维护一个打印列表的。所以我怀疑是由于某个打印列表造成了PrintSpooler服务占用了大量的CPU资源。在进行以下尝试以后我大致知道的问题的原因:
先启动PrintSpooler服务,让spoolsv.exe进程消耗大量的CPU资源。
这个时候启动ProcessExplorer,然后选择spoolsv.exe进程,双击这个进程,再选择线程选项卡。在线程选项卡里面,我发现CreateThreadAPI函数的调用占用了很高的CPU资源。问题应该就出在这里,由于某种特殊的原因,导致CreateThread在创建线程的时候出现了死循环,从而导致spoolsv.exe进程消耗大量的CPU资源。
再,我们知道每当创建一个打印任务以后,会在SystemRoot\System32\spool\PRINTERS目录下创建2个文件,扩展名分别为SHD和SPL。如果估计没错,肯定是这里出现问题了。远程控制,打开SystemRoot\System32\spool\PRINTERS目录检查,果然发现有2个文件,扩展名分别为SHD和SPL,如果删除这2个文件会不会解决spoolsv.exe进程消耗大量的CPU资源的问题呢?
故障处理:
尝试先把PrintSpooler服务停止掉,然后再把SystemRoot\System32\spool\PRINTERS目录下的SHD和SPL文件删除,重新启动PrintSpooler服务,故障排除。
故障分析:
PrintSpooler服务启动的时候会检查打印队列,如果发现有未完成的队列则会尝试执行,如果队列文件被破坏,则可造成PrintSpooler服务执行的时候出现死循环,导致spoolsv.exe进程消耗大量的CPU资源.
SPL文件为当前脱机文件,包含当前打印任务。
161
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
