装完系统后怎么没有spoolsv.exe进程

更新时间：2025-04-18 00:10点击：

星芒游悟带你了解cfs2，做好相应的准备，装完系统后怎么没有spoolsv.exe进程希望可以帮你解决现在所面临的一些难题。

装完系统后怎么没有spoolsv.exe进程

那是打印机的进程，你装了系统后，可能还没有进行有关的服务，所以就没喽，你试着开启有关的东东再试试！相信你会搞定的！下面的是我给你的比较全面的参考资料：spoolsv.exe用于将Windows打印机任务发送给本地打印机。注意spoolsv.exe也有可能是Backdoor.Ciadoor.B木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全级别是建议立即删除。

这个是有关打印机的服务,一般你使用有关打印功能的项目就会自动打开

spoolsv.exe 是Print Spooler的进程，管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用，本地计算机上的打印将不可用。该进程属 Windows 系统服务。

正常spoolsv进程信息

进程文件： spoolsv or spoolsv.exe

进程名称： Microsoft Printer Spooler Service

描述：

spoolsv.exe用于将Windows打印机任务发送给本地打印机。注意spoolsv.exe也有可能是Backdoor.Ciadoor.B木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全级别是建议立即删除。

出品者： Microsoft Corp.

属于：Microsoft Windows 2000 and later

系统进程：是

后台程序：是

使用网络：否

硬件相关：否

常见错误：未知N/A

内存使用：未知N/A

安全等级 (0-5): 0

间谍软件：否

Adware: 否

病毒：否

木马: 否

木马spoolsv进程信息:

描述:

这个垃圾软件利用将msicn\msibm.dll插入多个进程的方法对系统进行监控，在system32下创建如下该死的东西：

wmpdrm.dll

1116\

msicn\msibm.dll

msicn\ube.exe

msicn\plugins\

spoolsv\spoolsv.exe(这个还长得像微软打印服务，shit）

注册表加入如下垃圾：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"spoolsv"="%System%\spoolsv\spoolsv.exe -printer"

[HKEY_CLASSES_ROOT\CLSID\\InprocServer32]

@="%System%\wmpdrm.dll"

[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]

[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]

[HKEY_CLASSES_ROOT\TypeLib\]

[HKEY_CLASSES_ROOT\Interface\]

然后每隔4秒左右对东西进行监控，前后互相照应，让你无从下手

启动项 c:/windows/system32/spoolsv/spoolsv.exe -printer

cfs2…… 相关文件、目录：

%System%\wmpdrm.dll

%System%\1116\

%System%\msicn\msibm.dll

%System%\msicn\ube.exe

%System%\msicn\plugins\

%System%\spoolsv\spoolsv.exe

%System%\spoolsv\spoolsv.exe，有一个启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"spoolsv"="%System%\spoolsv\spoolsv.exe -printer"

运行后会调用%System%\msicn\msibm.dll，创建%System%\1116\目录，备份用。

%System%\1116\目录是备份目录，里面是%System%\wmpdrm.dll、%System%\msicn\和%System%\spoolsv\spoolsv.exe的备份。

%System%\msicn\msibm.dll，会插入多个指定进程，大约每4秒钟监视恢复文件（从%System%\1116\目录）和注册表信息（启动项、BHO）：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"spoolsv"

[HKEY_CLASSES_ROOT\CLSID\\InprocServer32]

@="%System%\wmpdrm.dll"

注："spoolsv"的数据不会被监视，所以修改它的数据也不会被恢复，只有删除"spoolsv"才会被恢复。

还可能会从远程服务器下载文件：

secp.exe是个安装程序，安装以下文件：

%System%\wmpdrm.dll

%System%\msicn\ube.exe

%System%\msicn\plugins\（目录里4个dll文件）

%System%\wmpdrm.dll是一个BHO，%System%\msicn\ube.exe像是卸载程序。

另外，在%System%\和%System%\msicn\目录里还有有一些从远程下载来的cpz、vxd文件，比如：

ava.vxd

guid.vxd

plgset.vxd

safep.vxd

%System%\wmpdrm.dll作为BHO被调用后，会尝试调用%System%\spoolsv\spoolsv.exe和%System%\msicn\msibm.dll。

注：如果%System%\spoolsv\spoolsv.exe没有被运行或被调用，也就不会备份还原，好像它就是用来备份的。

另外……

在“开始菜单”>>“程序”里可能会有一项“NavAngel”，里面有个快捷方式NavAngel.lnk，指向：%System%\spoolsv\spoolsv.exe -ctrlfun:4,3

“添加/删除程序”里有一项“NavAngel”，对应命令是：%System%\spoolsv\spoolsv.exe -ctrlfun:4,2

还有一项“WinDirected 2.0”，对应命令是：%System%\spoolsv\spoolsv.exe -uninst

还可能会有mscache\目录，从名字看像是存放临时缓存文件的。

BHO相关注册表信息：

[HKEY_CLASSES_ROOT\CLSID\]

[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]

[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]

[HKEY_CLASSES_ROOT\TypeLib\]

[HKEY_CLASSES_ROOT\Interface\]

判别自己是否中毒:

1、点开始－运行，输入msconfig，回车，打开实用配置程序，选择“启动”，感染以后会在启动项里面发现运行Spoolsv.exe的启动项，每次进入windows会有NTservice的对话框。

2、打开系统盘，假设C盘，看是否存在C:\WINDOWS\system32\spoolsv文件夹，里面有个spoolsv.exe文件，有“傲讯浏览器辅助工具”的字样说明，正常的spoolsv.exe打印机缓冲池文件应该在C:\WINDOWS\system32目录下。

3，打开任务管理器，会发现spoolsv.exe进程，而且CPU占用率很高。

清除方法：

1、重新启动，开机按F8进入安全模式。

2、点开始－运行，输入cmd，进入dos。

利用rd命令删除以下目录（如果存在）（在dos窗口下输入：rd(空格）C:\WINDOWS\system32\spoolsv/s，回车，出现提示，输入y回车，即可删除整个目录。）：

C:\WINDOWS\system32\msibm

C:\WINDOWS\system32\spoolsv

C:\WINDOWS\system32\bakcfs

C:\WINDOWS\system32\msicn

利用del命令删除下面的文件（如果存在）（比如在dos窗口下输入：del(空格）C:\windows\system32\spoolsv.exe，回车，即可删除被感染的spoolsv.exe，这个文件可以在杀毒结束后在别的正常的机器上复制正常的spoolsv.exe粘贴到

C:\windows\system32文件夹。）：

C:\windows\system32\spoolsv.exe

C:\WINDOWS\system32\wmpdrm.dll

3、重启按F8再次进入安全模式。

（1）桌面右键点击我的电脑，选择“管理”，点击“服务和应用程序”-“服务”，右键点击

NTservice，选择“属性”，修改启动类型为“禁用”。

、

（2）点开始，运行，输入regedit，回车打开注册表，点菜单上的编辑，选择查找，查找含有spoolsv.exe的注册表项目，删除。可以利用F3继续查找，将含有spoolsv.exe的注册表项目全部删除。

4、若操作完成后,仍然有该进程。请桌面右键点击我的电脑，选择“管理”，点击“服务和应用程序”-“服务”，右键点击print spooler，选择“属性”，先点“停止”然后修改启动类型为手动或“禁用”。随后重复步骤。

附:系统常见进程

taskmgr.exe用于Windows任务管理器。它显示你系统中正在运行的进程。该程序使用Ctrl+Alt+Del打开，这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题!

hh.exe是微软Windows帮助工具，用于你使用帮助!

Wuauclt.exe是Windows自动升级管理程序。该进程会不断在线检测更新。删除该进程将使你无法得到最新更新信息!

System Idle不是一个进程，更多用于统计剩余的CPU资源情况。无法删除该进程!

smss.exe是微软Windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。注意：smss.exe也可能是Win32.Ladex.a木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。

csrss.exe是微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务。这个程序对你系统的正常运行是非常重要的。注意：csrss.exe也有可能是W32.Netsky.AB@mm、W32.Webus Trojan、Win32.Ladex.a等病毒创建的。该病毒通过Email邮件进行传播，当你打开附件时，即被感染。该蠕虫会在受害者机器上建立SMTP服务，用以自身传播。该病毒允许攻击者访问你的计算机，窃取木马和个人数据。

WinLogon.exe是Windows NT登陆管理器。它用于处理你系统的登陆和登陆过程。该进程在你系统的作用是非常重要的。注意：winlogon.exe也可能是W32.Netsky.D@mm蠕虫病毒。该病毒通过Email邮件传播，当你打开病毒发送的附件时，即会被感染。该病毒会创建SMTP引擎在受害者的计算机上，群发邮件进行传播。该病毒允许攻击者访问你的计算机，窃取密码和个人数据。

services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。注意：services也可能是W32.Randex.R(储存在%systemroot%\system32\目录)和Sober.P (储存在%systemroot%\Connection Wizard\Status\目录)木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。

lsass.exe是一个系统进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意：lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的，病毒通过软盘、群发邮件和P2P文件共享进行传播。

svchost.exe是一个属于微软Windows操作系统的系统程序，用于执行DLL文件。这个程序对你系统的正常运行是非常重要的。注意：svchost.exe也有可能是W32.Welchia.Worm病毒，它利用Windows LSASS漏洞，制造缓冲区溢出，导致你计算机关机。

alg.exe是微软Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙。这个程序对你系统的正常运行是非常重要的

conime.exe是输入法编辑器相关程序。注意：conime.exe同时可能是一个bfghost1.0远程控制后门程序。此程序允许攻击者访问你的计算机，窃取密码和个人数据