導航:首頁 > 配伺服器 > 57k什麼伺服器

57k什麼伺服器

發布時間:2022-12-30 12:17:14

『壹』 win7共享列印機列印時間延遲

這個問題我初步判斷應該是文件載入至內存時間延遲導致的。
大家知道,列印機列印文件,都是先把文件裝載至系統內存的。然後再一個個的列印。所以,假如當系統內存滿了的時候,列印文件就不會存在內存里,而列印機當然也不會正常列印了!
開頭了~接下來該解決問題了。
進入電腦,發覺,系統運行太慢了,幾乎處於假死狀態,趕緊打開系統管理器,發覺CPU使用100%,查看了下,發覺是spoolsv.exe這個進程使用了資源。
這里一定要說下什麼是spoolsv.exe了,這個東東是個系統進程,主要用於緩存列印文件的。spoolsv.exe的運行佔用CPU 100%的情況很可能是中了木馬。
不過,說個題外話,這個系統裝了卡巴斯基這個牛哄哄的殺毒軟體,按常理來說,應該不會中什麼木馬病毒的。事實也證明,我的想法是正確的。當然,這是後話了。
為了安全起見,我還是先把網斷了,開動ewido anti-spyware專殺木馬的軟體,掃除了一番,沒發覺木馬病毒,
然後到windows\system32下,也沒發覺病毒喜歡開的spoolsv的文件夾,在啟動項裡面也沒發覺spoolsv.exe的啟動進程。而且,注冊表項也很正常。由此,我初步判斷,應該不是系統造成的。再看下系統信息,內存只有256M,而用戶這台電腦運行十分緩慢,後台的進程很多(足有40餘項),系統也沒有優化,打開一個窗口都要等上一頓茶的工夫。由此可知,列印機延遲列印的原因是內存不足造成的。
為了解決問題,趕緊把這個電腦進行了一番優化,該刪的刪,不該刪的也刪。幾頓茶的工夫,終於搞定了。再列印幾張紙,一切正常~~~~
順便描述下什麼是spoolsv.exe病毒了。由於偶喜歡偷懶,就貼上來吧。~!~~~
病毒spoolsv.exe的查殺
關鍵詞: spoolsv.exe

正常的spoolsv.exe大小是57k,用於將Windows列印機任務發送給本地列印機。如果spoolsv.exe大小為44k則是Backdoor.Ciadoor.B木馬,藏於c:\windows\system32\spoolsv文件夾,為防被刪還設置有備份程序tqppmtw.fyf藏於windows32文件夾。該木馬允許攻擊者訪問你的計算機,竊取密碼和個人數據。

【關於病毒:】

啟動項 c:/windows/system32/spoolsv/spoolsv.exe -printer

相關文件、目錄:
%System%\wmpdrm.dll
%System%\1116\
%System%\msicn\msibm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\
%System%\spoolsv\spoolsv.exe
%System%\spoolsv\spoolsv.exe

啟動運行後會調用%System%\msicn\msibm.dll,創建%System%\1116\目錄,備份用。%System%\1116\目錄是備份目錄,裡面是%System%\wmpdrm.dll、%System%\msicn\和%System%\spoolsv\spoolsv.exe的備份。 %System%\msicn\msibm.dll會插入多個指定進程,大約每4秒鍾監視恢復文件(從%System%\1116\目錄)和注冊表信息(啟動項、BHO):[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"spoolsv"[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}\InprocServer32] @="%System%\wmpdrm.dll" 註:"spoolsv"的數據不會被監視,所以修改它的數據也不會被恢復,只有刪除"spoolsv"才會被恢復。

還可能會從遠程伺服器下載文件:h ttp://liveupdate.ourxin.com/secp.exe
secp.exe是個安裝程序,安裝以下文件:
%System%\wmpdrm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\(目錄里4個dll文件)
%System%\wmpdrm.dll是一個BHO,%System%\msicn\ube.exe像是卸載程序。
另外,在%System%\和%System%\msicn\目錄里還有有一些從遠程下載來的cpz、vxd文件,比如: ava.vxd guid.vxd plgset.vxd safep.vxd

%System%\wmpdrm.dll作為BHO被調用後,會嘗試調用%System%\spoolsv\spoolsv.exe和%System%\msicn\msibm.dll。註:如果%System%\spoolsv\spoolsv.exe沒有被運行或被調用,也就不會備份還原,好像它就是用來備份的。

另外在「開始菜單」->「程序」里可能會有一項「NavAngel」,裡面有個快捷方式NavAngel.lnk,指向:%System%\spoolsv\spoolsv.exe -ctrlfun:4,3 「添加/刪除程序」里有一項「NavAngel」,對應命令是:%System%\spoolsv\spoolsv.exe -ctrlfun:4,2 還有一項「WinDirected 2.0」,對應命令是:%System%\spoolsv\spoolsv.exe -uninst

還可能會有mscache\目錄,從名字看像是存放臨時緩存文件的。

要注意:spoolsv.exe和windows的列印服務spoolsv.exe很類似,不要被它迷惑了,列印服務spoolsv.exe的目錄是系統文件夾(以XP為例)system32\spoolsv.exe而此病毒的路徑為system32\spoolsv\sploosv.exe
【查殺方法:】
第一種:
1、在安全模式下進入系統目錄system32刪除文件夾spoolsv和miscn以及1116
2、開始菜單運行regedit打開注冊表編輯器,找到
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="%System%\spoolsv\spoolsv.exe-printer" 刪除該項
3、在注冊表中搜索spoolsv文件夾(注意是文件夾不是文件),刪除
4、在注冊表編輯器中打開下面的分支並使用組合鍵ctrl+f進行查找如下內容:
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1
[HKEY_CLASSES_ROOT\TypeLib\{8B200623-3FC5-4493-8B49-DC2AD4830AF4}
[HKEY_CLASSES_ROOT\Interface\{4A775183-9517-420E-9A13-D3DA47BB8A84}找到以後進行刪除
5、運行注冊表清里軟體清理注冊表,比如超級兔子,優化大師,惡意軟體清理助手等都可以,此步驟也可以不執行。

第二種:

在桌面建一個TXT文件並顯示擴展名,改名為spools.exe後將文件屬性改為只讀,將這個假的病毒覆蓋c:\winnt\system32\spoolsv\的44K真病毒.。這種雖然方便但是遺留隱患。

第三種:
首先刪除c:\windows\system32\spoolsv文件夾,而非單獨刪除c:\windows\system32\spoolsv下的spoolsv.exe(44k)文件,然後打開任務管理器,將spoolsv進程優先順序調為最低;最後迅速刪除其備份文件tqppmtw.fyf並關閉spoolsv進程即可。

閱讀全文

與57k什麼伺服器相關的資料

熱點內容
iosAndroidjava 瀏覽:400
外賣員轉型做程序員 瀏覽:927
看房用什麼app准 瀏覽:157
雞蛋解壓玩具測評 瀏覽:705
阿里雲發布arm伺服器晶元 瀏覽:756
對加密貨幣平台的態度 瀏覽:373
刺客信條pdf 瀏覽:453
湛江頭條程序員 瀏覽:162
裝上加密狗就死機 瀏覽:927
windows程序員轉linux 瀏覽:568
androidusb驅動xp 瀏覽:947
單片機的數字電壓表設計 瀏覽:792
成功連接伺服器是什麼意思 瀏覽:892
如何審定伺服器訪問許可權 瀏覽:687
姜梓童陳一鳴程序員 瀏覽:921
青島程序員駐場開發哪家好 瀏覽:474
stc89c52單片機介紹 瀏覽:21
linux編譯路徑比 瀏覽:970
程序員上班自己帶電腦 瀏覽:495
如何在伺服器上搭建svn伺服器 瀏覽:108