2006-09
26

电脑重生记(木马+光驱消失)

By xrspook @ 16:59:43 归类于: 烂日记

搞定了spoolsv木马

这2个星期我真的是郁闷到了极点,自从从校园网的同学那里拷回来了个《罪恶之城》和一个《食品加工机械与设备》的课件以后电脑就发疯的慢,简直慢到无法理解。用尽了任何的杀毒软件,卡巴斯基用5.0杀过N遍后没反应,再用6.0杀,继续无功而返。木马专杀从金山的用到Ewido,依然没有发现问题。我甚至把所有盘都整碎过了,还是无进展,晕啊~~~~~ 幸亏2天前认识的志愿者朋友说出了个重点——CPU的使用率怎么是100%?的确是个问题,看看别人的CPU使用率都只是很低很低,而我的CPU是AMD 1.41GHz不应该是这个模样啊!

于是从那时开始,我开始查杀木马,木马查出了及格,广告软件查出了一大堆,但问题还是不能解决。自己认为是高手的已经问过,同学认为是高手的办法也是无能为力。于是无奈的时候只好Ctrl+Alt+Delete再次打开已经看过N*N遍的任务管理器里面的进程。曾经很多很多次仔细地对比自己的进程和别人的进程,的确没有什么特别的。msconfig下的“服务”和“启动”也对照过很多很多次,没有效果,真的令人好伤心。开机F8进入安全模式甚至比进入正常模式的次数还要多,问题一直都没有解决。

但最后一次观察“进程”我发现了个叫做“SPOOLSV.EXE”的怪物,岂有此理,内存它才占那么几MB,但CPU就占了99%!!!!别的进程全部都是“0%”而它一个进占了99%!!!!


并非我的截图,但我的情况也差不了多少:(
来自:http://bbs.ngacn.com/read.php?tid=646668

我的电脑还怎么会正常。开网页要不断地“结束程序”,开Word根本无法编辑,因为几乎每步操作都会导致“没有回应”。但Excel和Photoshop却能正常运作,卡巴斯基老是闪个不停,开“我的电脑”那个灯足足要摇动8次才可以打开,所以不得已之下只能把分区磁盘都用快捷方式放在桌面。我经验告诉我,那个该死的“SPOOLSV.EXE”就是罪魁祸首!于是把它的大名在搜索一找,果然大名鼎鼎,以下就是对它的描述:

进程文件: spoolsv or spoolsv.exe
进程名称: Microsoft Printer Spooler Service
进程类别:其他进程
英文描述:
 
spoolsv.exe is a Microsoft Windows system executable which handles the printing process to your local printers. Note: spoolsv.exe is also a process which is registered as the Backdoor.Ciadoor.B Trojan. This Trojan allows attackers to access your com
中文参考:
spoolsv.exe用于将Windows打印机任务发送给本地打印机。注意spoolsv.exe也有可能是Backdoor.Ciadoor.B木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全级别是建议立即删除。
出品者:Microsoft Corp.
属于:Microsoft Windows 2000 and later
系统进程:Yes
后台程序:Yes
网络相关:No
常见错误:N/A
内存使用:N/A
安全等级 (0-5): 0
间谍软件:No
广告软件:No
病毒:No
木马:No

资源来自:http://www.acfile.com/s/spoolsv/

难怪杀毒软件和木马软件都对其无可奈何,哎~~~~ 必须手动删除。

又是一番搜索,找到了,解决方法如下:

1. 我的电脑→右键→管理→服务和应用程序→双击→服务→双击→Print Spooler→停止此服务(在窗口左边)→双击Print Spooler→启用类型→已禁用(以上步骤属于不用打印机的人,把这个服务禁掉,高枕无忧),如此操作以后再看看进程,哦,我的天啊!终于正常了!!!!
2. 对于使用打印机的人要禁止这个服务当然行不通,所以还有后续步骤:我的电脑→系统盘→WINDOWS→system32→spool→PRINTERS→删除里面的所有文件(里面应该是没有文件的!刚刚我删文件的时候留意了一下,spool文件夹是2004年创建的,而PRINTERS文件夹里面的文件全部都是2006-09-18创建的,和我电脑开始瘫痪的时间吻合,如果怕删除不干净可以做以下操作:工具(任一文件夹内都有的)→文件夹选项→查看→显示所有文件和文件夹→你能看到所有文件了,看过证实后可以把文件夹选项修改过来)
3. (接2操作,如只执行1则无须执行3)重复1的步骤,把Print Spooler服务再次启动,这次,再看看进程,你会发现SPOOLSV.EXE不见了,取而代之的是spoolsv.exe(注意我的大小写),它的CPU使用量是0%,而内存使用量也只有那么几百KB。

以上操作经过我自己的试验,没有问题,请放心!不过网上还有些更为保险的方法,但作为新手的我们,这些操作我觉得就够了。

除了电脑慢得半死以外这两个星期我还面临着光驱在系统消失的噩号!设备管理器里光驱驱动器上打着叹号。设备状态为:Windows 无法加载这个硬件的设备驱动程序。驱动程序可能已损坏或不见了。 (代码 39)把光驱拆下来重装也没用,但可以从光驱启动,即DOS环境下光驱没事,排除是硬件问题。

又找了一大轮,终于也找到了解决办法:我的电脑→属性→硬件→设备管理器→DVD/CD-ROM驱动器→卸载你有叹号的驱动器(不用害怕,照做就是)→开始→运行→regedit→HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E9
65-E325-11CE-BFC1-08002BE10318}→删除LOWER FILTER(我的电脑就只有这项)和UPPER FILTER(看过别人没事的电脑,都没有这两项)→回到设备管理器→DVD/CD-ROM驱动器→右键→扫描检测硬件改动→大功告成,那个该死的黄色叹号消失了,打开我的电脑你又找到了久违的光驱了!!!!!

一天之内把半死半残废的电脑从地狱中救了出来,谢天谢地啊!!!!!又增长了不少知识啊!!!!!这段日子的经历告诉我其实电脑出现问题不一定找身边的高手就能解决,如果我们自己能仔细观察,再加上互联网,我们任何人都可以成为自己的救命英雄。要相信自己,相信互联网!重装不一定是最好的办法,经历磨难的系统更显宝贵!

10 条评论

  1. 小枉

    恭喜恭喜~~~
    xrspook 对 小枉 的回复: 2006-09-26 21:41:36
    :)))))

  2. tenliq

    恭喜..
    动手能力强^O^!
    xrspook 对 tenliq 的回复: 2006-09-27 17:44:10
    都是网络的功劳。

  3. tenliq

    忘了说了,spoolsv.exe这程序并不存在大小写的区别,
    主要是看任务管理器里进程的路径,当然直接从任务管理器里是无法看到路径的,可以使用第三方软件,如兔子等,
    系统文件有固定的路径,而病毒一般是在其他路径.
    并且如果存在着打印队列,也会造成这个进程占用大量的CPU.
    xrspook 对 tenliq 的回复: 2006-09-27 17:45:34
    今天开电脑的时候也发现spoolsv.exe变为了大写的SPOOLSV.EXE,但也没出问题,但现在CPU不会有问题了。

    谢谢指点:))

  4. 着急者

    终于找回久违的光驱了。。。。
    非常感谢!!!!!
    又找了一大轮,终于也找到了解决办法:我的电脑→属性→硬件→设备管理器→DVD/CD-ROM驱动器→卸载你有叹号的驱动器(不用害怕,照做就是)→开始→运行→regedit→HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E9
    65-E325-11CE-BFC1-08002BE10318}→删除LOWER FILTER(我的电脑就只有这项)和UPPER FILTER(看过别人没事的电脑,都没有这两项)→回到设备管理器→DVD/CD-ROM驱动器→右键→扫描检测硬件改动→大功告成,那个该死的黄色叹号消失了,打开我的电脑你又找到了久违的光驱了!!!!!
    xrspook 对 着急者 的回复: 2006-10-25 18:02:10
    :))))) 恭喜你拉!

  5. 非洲树蛙

    写的很好,看了以后照着做,解决了我的CPU高占用问题,并且找回了我的物理光驱和虚拟光驱。
    只不过木马我是用江民杀毒升级到11月30日杀除的。最后一步在设备管理器里没有DVD/CD-ROM驱动器项,右键点击第一行的计算机小图标再扫描检测硬件改动光驱就回来了。
    xrspook 对 非洲树蛙 的回复: 2006-12-01 18:28:29
    我用的是卡巴斯基不用江民,了解一下一些手动的方法也是好的,呵呵。

  6. 寒紫凝月

    ^_^
    说出来该谢谢你嘞,我的电脑和你的电脑毛病一样,我在网上搜了好半天都没找到解决办法 可是来到你这里一看 哇 把我兴奋的哦 嘻嘻 谢谢你啊
    xrspook 对 寒紫凝月 的回复: 2007-04-06 23:06:30
    方法有用就好,能真的帮助你,我十分荣幸:)

  7. shiqiao

    恢复光驱的方法真管用!我刚要找那个,太感谢了!!
    xrspook 对 shiqiao 的回复: 2007-04-27 14:33:24
    好用就行:)

  8. CX

    我照你的方法结果把光驱那个盘符一起卸载了 现在关于光驱的任何东西都看不见了 怎么办啊 可以帮帮我吗
    xrspook 对 CX 的回复: 2007-10-23 13:16:36
    你有没有进行“扫描检测硬件改动”啊,删除东西以后要重新搜索光驱硬件的喔。

  9. feiyoshang

    非常感谢xrspook的办法!俺终于找回光驱了!
    xrspook 对 feiyoshang 的回复: 2007-11-06 18:45:23
    恭喜!

  10. 新安州

    太谢谢你了!!
    我的光驱回来了!!
    你的办法太管用了!
    xrspook 对 新安州 的回复: 2009-02-22 16:12:10
    你助你微薄之力我也很高兴。

Reply

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

© 2004 - 2024 我的天 | Theme by xrspook | Power by WordPress