本来说过不再发表关于外G的帖子的，但是实在看不下去了，出来说一下，让大家知道情况

关于飞飞G，昨天就接触了，飞飞用是可以用，但是有些是加了马的，很邪恶
就算有些是没有马的，也是一用就封号

总之就是1.有病毒 2.封号率极高。
用过UPS的都知道2个挂的相似之处。

在http://www.virustotal.com/zh-cn/上面扫描
11.11%的杀软报告发现病毒
结果: 4/36 (11.11%)

你看下你进程项有没有多出一个spoolsv.exe（后门）
有的话恭喜你,中招了
spoolsv.exe是一种延缓打印木马程序，它使计算机CPU使用率达到100%，从而使风扇
保持高速嘈杂运转。spoolsv
.exe也有可能是Backdoor.Ciadoor.B木马。该木马允许攻击者访问你的计算机，窃取
密码和个人数据。

文件名称：spoolsv.exe
文件大小：46,592 bytes
AV命名：WORM_AUTORUN.ABI
文件MD5：0BF0BDC0A42A5E39637E9A5E5A0F886D
病毒类型：后门
主要行为：
1、释放文件：
c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe
spoolsv.exe
2、添加启动项：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\Installed Components\{88ABC5C0-4FCB-11BB-AAX5-81CX1C635612}]
StubPath = "c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe"
3、连接irc服务器：124.217.248.1**
接收远程控制。
4、可能下载其他木马。
运行CUP直冲100%，在运行里输入msconfig 然后回车， 在启动项里看到spoolsv.exe启动项，恭喜，你中招了（启动也不一定会有）想变肉鸡您继续！





如何清除
1、重新启动计算机，进入安全模式（启动的时候按F8键），进入文件夹：C:/windows/system32/，找到spoolsv.exe，其他地方用电脑的搜索功能搜索到。

2、开始-运行 输入regedit，进入注册表。编辑-查找 输入spoolsv，将搜索到的文件全部删除。

3、重新启动计算机，进入正常模式后，看到计算机的CPU还是处于很高状态。于是看进程里还有一个inter，结束后恢复正常。


好吧,我承认是我不懂电脑
判别自己是否中毒
点开始－运行，输入msconfig，回车，打开实用配置程序，选择“启动”， 感染
以后会在启动项里面发现运行Spoolsv.exe的启动项.
如果没的话那就是正常的打印机程序
只是提醒大家而已




使用飞飞以后不能卸载注册表的解决办法

1：开始一运行：Regedit.exe

2：HKEY_LOCAL_MACHINE★SOFTWARE★Microsoft★Windows NT★CurrentVersion★Windows 这个是注册文件所在注册表的位置大家可以看看 很简单就能找到（找不到的偶也没办法了 ★代表斜线.就是分开的意思怕大家不懂！）

3：找到Windows这个文件以后把里面的文件都删掉 （第一个默认的不要删！）

OK了 可以进去了 以后想用就用想删就删
解决了的朋友顶下帖子就可以了 让不会的朋友都看到解决了!

如果大家做第二步觉得麻烦迷糊的话可以用注册表的查找功能查找：AppInit_DLLs 这个文件 时间会稍微长一些但是省力气！
快捷查找命令是CTRL+F 注意：查找到的第一个不是在编辑里点下查找下一个就是了 删掉就OK了

我顶你...

    我是看了着帖  几天了  在来顶次
我给这帖都添加到收藏夹了 好东西

这种帖子怎么没人顶啊？

谢谢了 这个进程终于解决了

引用

引用第2楼dudu3104于2008-10-22 18:08发表的  :
谢谢楼主  收益良多。！！！！！！！！！！！！！ 
  希望楼主以后多发这样帖子！！！！！！！！！！！！！！！！！！

    真的 很感谢

。。。。。。。。。。。。。。。。。。。。

并无不良症状
管他的，都是小号在用，不怕，哈哈

辛苦，谢谢了

拿刀

引用

引用第5楼leenorc于2008-10-22 18:10发表的  :
有挂就行了啊！！！！！！！！

顶你  朋友56565

闷  顶你

好吧，我也 选择不用了

spoolsv.exe 是Print Spooler的进程，管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用，本地计算机上的打印将不可用。该进程属 Windows 系统服务。
　　正常spoolsv进程信息
　　进程文件： spoolsv or spoolsv.exe
　　进程名称： Microsoft Printer Spooler Service
　　描述：
　　spoolsv.exe用于将Windows打印机任务发送给本地打印机。注意spoolsv.exe也有可能是Backdoor.Ciadoor.B木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全级别是建议立即删除。
　　出品者： Microsoft Corp.
　　属于：Microsoft Windows 2000 and later
　　系统进程： 是
　　后台程序： 是
　　使用网络： 否
　　硬件相关： 否
　　常见错误： 未知N/A
　　内存使用： 未知N/A
　　安全等级 (0-5): 0
　　间谍软件： 否
　　Adware: 否
　　病毒： 否
　　木马: 否
　　木马spoolsv进程信息:
　　描述:
　　这个垃圾软件利用将msicn\msibm.dll插入多个进程的方法对系统进行监控，在system32下创建如下该死的东西：！！！！！！！！！！！！！！！！！！
　　wmpdrm.dll
　　1116\
　　msicn\msibm.dll
　　msicn\ube.exe
　　msicn\plugins\
　　spoolsv\spoolsv.exe(这个还长得像微软打印服务，shit！！）
　　注册表加入如下垃圾：
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
　　"spoolsv"="%System%\spoolsv\spoolsv.exe -printer"
　　[HKEY_CLASSES_ROOT\CLSID\\InprocServer32]
　　@="%System%\wmpdrm.dll"
　　[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]
　　[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]
　　[HKEY_CLASSES_ROOT\TypeLib\]
　　[HKEY_CLASSES_ROOT\Interface\]
　　然后每隔4秒左右对以上东西进行监控，前后互相照应，让你无从下手
　　启动项 c:/windows/system32/spoolsv/spoolsv.exe -printer
　　cfs2…… 相关文件、目录：
　　%System%\wmpdrm.dll
　　%System%\1116\
　　%System%\msicn\msibm.dll
　　%System%\msicn\ube.exe
　　%System%\msicn\plugins\
　　%System%\spoolsv\spoolsv.exe
　　%System%\spoolsv\spoolsv.exe，有一个启动项：
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
　　"spoolsv"="%System%\spoolsv\spoolsv.exe -printer"
　　运行后会调用%System%\msicn\msibm.dll，创建%System%\1116\目录，备份用。
　　%System%\1116\目录是备份目录，里面是%System%\wmpdrm.dll、%System%\msicn\和%System%\spoolsv\spoolsv.exe的备份。
　　%System%\msicn\msibm.dll，会插入多个指定进程，大约每4秒钟监视恢复文件（从%System%\1116\目录）和注册表信息（启动项、BHO）：
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
　　"spoolsv"
　　[HKEY_CLASSES_ROOT\CLSID\\InprocServer32]
　　@="%System%\wmpdrm.dll"
　　注："spoolsv"的数据不会被监视，所以修改它的数据也不会被恢复，只有删除"spoolsv"才会被恢复。
　　还可能会从远程服务器下载文件：
　　http://liveupdate.ourxin.com/secp.exe
　　secp.exe是个安装程序，安装以下文件：
　　%System%\wmpdrm.dll
　　%System%\msicn\ube.exe
　　%System%\msicn\plugins\（目录里4个dll文件）
　　%System%\wmpdrm.dll是一个BHO，%System%\msicn\ube.exe像是卸载程序。
　　另外，在%System%\和%System%\msicn\目录里还有有一些从远程下载来的cpz、vxd文件，比如：
　　ava.vxd
　　guid.vxd
　　plgset.vxd
　　safep.vxd
　　%System%\wmpdrm.dll作为BHO被调用后，会尝试调用%System%\spoolsv\spoolsv.exe和%System%\msicn\msibm.dll。
　　注：如果%System%\spoolsv\spoolsv.exe没有被运行或被调用，也就不会备份还原，好像它就是用来备份的。
　　另外……
　　在“开始菜单”>>“程序”里 可能 会有一项“NavAngel”，里面有个快捷方式NavAngel.lnk，指向：%System%\spoolsv\spoolsv.exe -ctrlfun:4,3
　　“添加/删除程序”里有一项“NavAngel”，对应命令是：%System%\spoolsv\spoolsv.exe -ctrlfun:4,2
　　还有一项“WinDirected 2.0”，对应命令是：%System%\spoolsv\spoolsv.exe -uninst
　　还可能会有mscache\目录，从名字看像是存放临时缓存文件的。
　　BHO相关注册表信息：
　　[HKEY_CLASSES_ROOT\CLSID\]
　　[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]
　　[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]
　　[HKEY_CLASSES_ROOT\TypeLib\]
　　[HKEY_CLASSES_ROOT\Interface\]
　　判别自己是否中毒:
　　1、点开始－运行，输入msconfig，回车，打开实用配置程序，选择“启动”， 感染以后会在启动项里面发现运行Spoolsv.exe的启动项， 每次进入windows会有NTservice的对话框。
　　2、打开系统盘，假设C盘，看是否存在C:\WINDOWS\system32\spoolsv文件夹，里面有个spoolsv.exe文件，有“傲讯浏览器辅助工具”的字样说明，正常的spoolsv.exe打印机缓冲池文件应该在C:\WINDOWS\system32目录下。
　　3，打开任务管理器，会发现spoolsv.exe进程，而且CPU占用率很高。
　　清除方法：
　　1、重新启动，开机按F8进入安全模式。
　　2、点开始－运行，输入cmd，进入dos。
　　利用rd命令删除以下目录（如果存在）（ 在dos窗口下输入：rd(空格）C:\WINDOWS\system32\spoolsv/s，回车，出现提示，输入y回车，即可删除整个目录。）：
　　C:\WINDOWS\system32\msibm
　　C:\WINDOWS\system32\spoolsv
　　C:\WINDOWS\system32\bakcfs
　　C:\WINDOWS\system32\msicn
　　利用del命令删除下面的文件（如果存在）（比如在dos窗口下输入：del(空格）C:\windows\system32\spoolsv.exe，回车，即可删除被感染的spoolsv.exe，这个文件可以在杀毒结束后在别的正常的机器上复制正常的spoolsv.exe粘贴到
　　C:\windows\system32文件夹。）：
　　C:\windows\system32\spoolsv.exe
　　C:\WINDOWS\system32\wmpdrm.dll
　　3、重启按F8再次进入安全模式。
　　（1）桌面右键点击我的电脑，选择“管理”，点击“服务和应用程序”-“服务”，右键点击
　　NTservice，选择“属性”，修改启动类型为“禁用”。
　　、
　　（2）点开始，运行，输入regedit，回车打开注册表，点菜单上的编辑，选择查找，查找含有spoolsv.exe的注册表项目，删除。可以利用F3继续查找，将含有spoolsv.exe的注册表项目全部删除。
　　4、若以上操作完成后,仍然有该进程。请桌面右键点击我的电脑，选择“管理”，点击“服务和应用程序”-“服务”，右键点击print spooler，选择“属性”，先点“停止”然后修改启动类型为手动或“禁用”。随后重复以上步骤。
　　另外解决方案 直接删除C:\WINDOWS\system32\spool\PRINTERS 下的文件即可
　　我还遇到一种情况：经检查，不是以上所描述的病毒，但经常占CPU 100％，但是连续关进程几次，便不再出现，奇怪。
　　如上所述，在system32里有 spool文件夹。直接把 \PRINTERS 下的文件删除，便解决了这个问题。
　　这可能不是“病毒”问题，而是系统的故障，但出现了还是很麻烦的。
　　-----------------------------------------------------------------
　　微软的解释
　　Windows 2000 后台打印程序没有删除打印作业后台文件
　　症状
　　您向打印机发送打印作业时，后台打印程序在打印作业完成后可能没有从 %Systemroot%\System32\Spool\Printers 文件夹删除打印后台文件，因而后台打印程序可能会反复地尝试对该打印作业进行后台处理。
　　该打印后台文件的存在并不会阻止其他打印作业的后台处理。
　　原因
　　如果打印作业的打印后台文件具有只读属性，就会发生这种问题。
　　解决方案
　　为避免发生此问题，请不要在打印后台文件位于 %Systemroot%\System32\Spool\Printers 文件夹中时更改它的属性。
　　要解决此问题，请删除只读属性，然后将该后台文件从 %Systemroot%\System32\Spool\Printers 文件夹中删除。
　　要删除只读属性，请右键单击 Windows 资源管理器或我的电脑中的后台文件，单击属性，单击清除只读复选框，然后单击确定。
　　有关如何在 Windows 2000 中删除文件的更多信息，请单击开始，单击帮助，单击索引选项卡，键入删除，然后双击删除文件主题。
　　状态
　　这种现象是设计所导致的。
　　更多信息
　　默认情况下，打印后台文件只有存档属性。打印后台文件属性只会在以下情况下发生更改：当文件位于 %Systemroot%\System32\Spool\Printers 文件夹中时，程序更改了它的属性；或者，用户或管理员特意更改了文件属性。

百度百科:
　　spoolsv.exe 是Print Spooler的进程，管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用，本地计算机上的打印将不可用。该进程属 Windows 系统服务。
　　正常spoolsv进程信息
　　进程文件： spoolsv or spoolsv.exe
　　进程名称： Microsoft Printer Spooler Service
　　描述：
　　spoolsv.exe用于将Windows打印机任务发送给本地打印机。注意spoolsv.exe也有可能是Backdoor.Ciadoor.B木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全级别是建议立即删除。
　　出品者： Microsoft Corp.
　　属于：Microsoft Windows 2000 and later
　　系统进程： 是
　　后台程序： 是
　　使用网络： 否
　　硬件相关： 否
　　常见错误： 未知N/A
　　内存使用： 未知N/A
　　安全等级 (0-5): 0
　　间谍软件： 否
　　Adware: 否
　　病毒： 否
　　木马: 否
　　木马spoolsv进程信息:
　　描述:
　　这个垃圾软件利用将msicn\msibm.dll插入多个进程的方法对系统进行监控，在system32下创建如下该死的东西：
　　wmpdrm.dll
　　1116\
　　msicn\msibm.dll
　　msicn\ube.exe
　　msicn\plugins\
　　spoolsv\spoolsv.exe(这个还长得像微软打印服务，shit！！）
　　注册表加入如下垃圾：
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
　　"spoolsv"="%System%\spoolsv\spoolsv.exe -printer"
　　[HKEY_CLASSES_ROOT\CLSID\\InprocServer32]
　　@="%System%\wmpdrm.dll"
　　[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]
　　[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]
　　[HKEY_CLASSES_ROOT\TypeLib\]
　　[HKEY_CLASSES_ROOT\Interface\]
　　然后每隔4秒左右对以上东西进行监控，前后互相照应，让你无从下手
　　启动项 c:/windows/system32/spoolsv/spoolsv.exe -printer
.......................后面还有好多好多  就不复制来了

看楼主的意思我是要害大家?  我没别的用意 我只想澄清!  懂?

使用飞飞以后不能卸载注册表那个解决方法是不是每次开机都要弄一下》

好勒·    终于弄好勒


谢谢楼主  回来顶你



大家顶起哦  让猴岛的猴子们都能看到

刚才又看到了楼主的帖了  莫非楼主同志认为我建2个小号来那啥?
楼主我很同情你  你上百度查spoolsv.exe确实是打印机文件  而且也可能是病毒.. 前面我就说清楚了.
spooler.exe 才是飞飞病毒  OK?
看楼主的意思是我害大家?
我一个上尉有必要? 我有啥好处? ..而且我不知道你揭穿啥目的

你不是要网址吗?  来给你 百度百科上找的spoolsv.exe进程信息http://baike.baidu.com/view/219064.htm