打印机木马

Spoolsv.exe是Windows 进程，用于把 系统的打印 任务发送到 打印机执行，是电脑中控制打印工作的 进程。但值得注意的是，Spoolsv.exe也有可能是Backdoor.Ciadoor.B木马，一种 延缓打印的木马程序，该木马能够使用户的电脑CPU 占用率达到 100%，从而导致 CPU风扇高速 嘈闹地 运转，并且 允许攻击者访问你的计算机，盗取 个人资料及 密码。

“打印机木马”主要通过 电子邮件、 挂马网站等 途径传播，其目的是刷 广告流量，但同时也会影响电脑 连接的打印机，使其在没有指定打印 内容的情况下不停 工作，因此会 输出毫无意义的内容。

该恶意软件会打开PC机打印 程序中的一个文件，于是 Windows操作系统将向打印机发出做好打印 准备的命令。由于用户并没有为打印机指定具体打印 内容，于是打印机就会打印出一大堆 毫无意义的 内容，而且在打印机所装上 纸张耗尽之前，打印 活动不会停止。

网络安全公司称， 恶意软件感染 PC机的途径很多，其中包括用户打开含有 恶意代码附件的 电子邮件、 访问含有恶意代码的 网站、打开含有恶意代码的视频内容等等。用户一旦被 感染，则 浏览器将指向相关广告页面，恶意软件散布者通常是通过这种方式来获得收入。

正常系统进程Spoolsv.exe其路径为C：\windows\systems32\spoolsv.exe。木马Spoolsv.exe进程的路径为C：\WINDOWS\ system32\ spoolsv\spoolsv.exe

开始－运行，输入 msconfig，回车，打开实用配置程序，选择“启动”， 感染以后会在启动项里面发现运行Spoolsv.exe的启动项， 每次进入Windows会有NTservice的对话框。

打开系统盘，假设C盘，看是否存在C:Windows/system32/spoolsv文件夹，里面有个spoolsv.exe文件，有“傲讯浏览器辅助工具”的字样说明，正常的spoolsv.exe打印机缓冲池文件应该在C: Windows/system32目录下。

打开 任务管理器，会发现spoolsv.exe进程，而且CPU占用率很高。

重新启动电脑，按 F8进入安全模式。单击“开始—运行” 命令，输入 CMD，打开 DOS窗口。输入 cd，按下Enter键，退回 C：根目录。使用rd命令，删除以下目录。rd命令使用方法：如输入“rd c：\windows\system32\spoolsv/s”按Enter键出现提示，按 Y确认删除即可。

使用del命令删除以下文件。 del命令使用方法：如输入“delc：\windows\system32\spoolsv.exe”按下Enter键即可删除受感染的spoolsv.exe文件。

重新启动电脑进入 安全模式。右键单击” 我的电脑“，选择“管理”打开“ 计算机管理”对话框，选择“服务和应用程序—服务”，在右边找到 “NTservice”设置其属性中的启动类型为“ 禁用”。

单击“ 开始—运行”命令，输入 regedit，打开 注册表。选择“编辑—选择查找”，查找含有spoolsv.exe的注册表项目并删除。可以利用 F3继续查找，将含有spoolsv.exe的注册表项目全部删除。

如果执行以上操作后，电脑仍然有 spoolsv.exe进程运行，右键单击“ 我的电脑”，选择“管理”，点击“服务和应用程序—服务”，右键单击 print spooler，选择“ 属性”，单击“停止” 按钮，然后修改启动类型为“ 手动”或“ 禁用”。然后重复以上 操作。