|簡體中文

比思論壇

 找回密碼
 按這成為會員
搜索



查看: 390|回復: 1
打印 上一主題 下一主題

关于spoolsv spooler subsystem app引起不能打印的问题解决

[複製鏈接]

55

主題

0

好友

310

積分

中學生

Rank: 3Rank: 3

  • TA的每日心情

    2022-6-17 12:38
  • 簽到天數: 308 天

    [LV.8]以壇為家I

    推廣值
    0
    貢獻值
    27
    金錢
    514
    威望
    310
    主題
    55
    樓主
    發表於 2014-8-23 12:11:04
    关于spoolsv spooler subsystem app引起不能打印的问题解决


    现象一:
              当出现spooler Subsystem App错误的时候,print spooler服务自动停止,就是你在管理工具的服务中手动启用,也会在启动后马上又自动停止,这个时候你就应该想到,你的中过病毒了,你的system32下的spoolsv.exe和wmpdxm.dll已经给病毒偷梁换柱了.

    解决:
           一、 从好的机器上copy这两个文件,覆盖掉他们
          二、从安装盘的i386里直接copy到你的system32下


    现象二:

           运行速度变慢,spoolsv.exe服务的文件不指想system32/spoolsv.exe,该进程的CPU占用率极其高,机器运行速度慢,打印机偶尔不能用,服务里多了一个Ntsevice服务,启动里多了一个spoolsv等,且在system32下多了一个spoolsv的文件夹,这些都表明您的机器中病毒了。中的是木马病毒可能是Backdoor.Ciadoor.B

    解决:
            这个垃圾软件利用将msicn\msibm.dll插入多个进程的方法对系统进行监控,在system32下创建如下该死的东西:

    wmpdrm.dll
    1116\
    msicn\msibm.dll
    msicn\ube.exe
    msicn\plugins\
    spoolsv\spoolsv.exe(这个还长得像微软打印服务)

    注册表加入如下垃圾:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "spoolsv"="%System%\spoolsv\spoolsv.exe -printer"
    [HKEY_CLASSES_ROOT\CLSID\\InprocServer32]
    @="%System%\wmpdrm.dll"
    [HKEY_CLASSES_ROOT\wmpdrm.cfsbho]
    [HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]
    [HKEY_CLASSES_ROOT\TypeLib\]
    [HKEY_CLASSES_ROOT\Interface\]

    然后每隔4秒左右对以上东西进行监控,前后互相照应,让你无从下手

    启动项 c:/windows/system32/spoolsv/spoolsv.exe -printer

    cfs2…… 相关文件、目录:

    %System%\wmpdrm.dll
    %System%\1116\
    %System%\msicn\msibm.dll
    %System%\msicn\ube.exe
    %System%\msicn\plugins\
    %System%\spoolsv\spoolsv.exe
    %System%\spoolsv\spoolsv.exe,有一个启动项:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "spoolsv"="%System%\spoolsv\spoolsv.exe -printer"

    运行后会调用%System%\msicn\msibm.dll,创建%System%\1116\目录,备份用。

    %System%\1116\目录是备份目录,里面是%System%\wmpdrm.dll、%System%\msicn\和%System%\spoolsv\spoolsv.exe的备份。

    %System%\msicn\msibm.dll,会插入多个指定进程,大约每4秒钟监视恢复文件(从%System%\1116\目录)和注册表信息(启动项、BHO):

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "spoolsv"
    [HKEY_CLASSES_ROOT\CLSID\\InprocServer32]
    @="%System%\wmpdrm.dll"

    注:"spoolsv"的数据不会被监视,所以修改它的数据也不会被恢复,只有删除"spoolsv"才会被恢复。

    还可能会从远程服务器下载文件:  

    http://liveupdate.ourxin.com/secp.exe
    secp.exe是个安装程序,安装以下文件:

    %System%\wmpdrm.dll
    %System%\msicn\ube.exe
    %System%\msicn\plugins\(目录里4个dll文件)
    %System%\wmpdrm.dll是一个BHO,%System%\msicn\ube.exe像是卸载程序。

    另外,在%System%\和%System%\msicn\目录里还有有一些从远程下载来的cpz、vxd文件,比如:

    ava.vxd
    guid.vxd
    plgset.vxd
    safep.vxd
    %System%\wmpdrm.dll作为BHO被调用后,会尝试调用%System%\spoolsv\spoolsv.exe和%System%\msicn\msibm.dll。

    注:如果%System%\spoolsv\spoolsv.exe没有被运行或被调用,也就不会备份还原,好像它就是用来备份的。

    另外……

    在“开始菜单”>>“程序”里 可能 会有一项“NavAngel”,里面有个快捷方式NavAngel.lnk,指向:%System%\spoolsv\spoolsv.exe -ctrlfun:4,3

    “添加/删除程序”里有一项“NavAngel”,对应命令是:%System%\spoolsv\spoolsv.exe -ctrlfun:4,2

    还有一项“WinDirected 2.0”,对应命令是:%System%\spoolsv\spoolsv.exe -uninst

    还可能会有mscache\目录,从名字看像是存放临时缓存文件的。

    BHO相关注册表信息:
    [HKEY_CLASSES_ROOT\CLSID\]
    [HKEY_CLASSES_ROOT\wmpdrm.cfsbho]
    [HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]
    [HKEY_CLASSES_ROOT\TypeLib\]
    [HKEY_CLASSES_ROOT\Interface\]

    判别自己是否中毒:

           1、点开始-运行,输入msconfig,回车,打开实用配置程序,选择“启动”, 感染以后会在启动项里面发现运行Spoolsv.exe的启动项, 每次进入windows会有NTservice的对话框。

           2、打开系统盘,假设C盘,看是否存在C:\WINDOWS\system32\spoolsv文件夹,里面有个spoolsv.exe文件,有“傲讯浏览器辅助工具”的字样说明,正常的spoolsv.exe打印机缓冲池文件应该在C:\WINDOWS\system32目录下。

           3,打开任务管理器,会发现spoolsv.exe进程,而且CPU占用率很高。

    清除方法:

           1、重新启动,开机按F8进入安全模式。  

           2、点开始-运行,输入cmd,进入dos。

           利用rd命令删除以下目录(如果存在)( 在dos窗口下输入:rd(空格)C:\WINDOWS\system32\spoolsv/s,回车,出现提示,输入y回车,即可删除整个目录。):

           C:\WINDOWS\system32\msibm  
           C:\WINDOWS\system32\spoolsv  
           C:\WINDOWS\system32\bakcfs  
           C:\WINDOWS\system32\msicn  

           利用del命令删除下面的文件(如果存在)(比如在dos窗口下输入:del(空格)C:\windows\system32\spoolsv.exe,回车,即可删除被感染的spoolsv.exe,这个文件可以在杀毒结束后在别的正常的机器上复制正常的spoolsv.exe粘贴到
    C:\windows\system32文件夹。):

           C:\windows\system32\spoolsv.exe  
           C:\WINDOWS\system32\wmpdrm.dll  

           3、重启按F8再次进入安全模式。
      
           (1)桌面右键点击我的电脑,选择“管理”,点击“服务和应用程序”-“服务”,右键点击
    NTservice,选择“属性”,修改启动类型为“禁用”。  

           (2)点开始,运行,输入regedit,回车打开注册表,点菜单上的编辑,选择查找,查找含有spoolsv.exe的注册表项目,删除。可以利用F3继续查找,将含有spoolsv.exe的注册表项目全部删除。  

           4、若以上操作完成后,仍然有该进程。请桌面右键点击我的电脑,选择“管理”,点击“服务和应用程序”-“服务”,右键点击print spooler,选择“属性”,先点“停止”然后修改启动类型为手动或“禁用”。随后重复以上步骤。


    现象三:

            以上两中现象都没有,Spooler Subsystem App 遇到问题需要关闭,我们对此引起的不便表示抱歉。
    如果您正执行到一半,您的未保存信息可能丢失。关于此错误的其他信息,请单击此处关闭。

    显示就是如此,然后机子就呆傻2分钟左右,正常后几分钟,就又循环一次,周而复始

    估计这可能是由于已安装的打印机的驱动程序损坏了。要解决这个问题,你可以删掉打印机和它的驱动程序并在注册表中删除一些项,具体步骤:

         如果可能的话,删除所有打印机。
         在打印机窗口,在文件菜单上,单击服务器属性。
         在驱动器标签上,删除所有已安装的打印加驱动程序。

         启动注册表编辑器(Regedit.exe)。
         导出下列注册表项:

         HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print
         HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print

         删除在下列项下面列出的任何项(不要把它们自己删掉):

         HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Environments\Windows NT x86\Drivers\Version-2
         HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Environments\Windows NT x86\Drivers\Version-3
         HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Environments\Windows NT x86\Drivers\Version-2
         HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Environments\Windows NT x86\Drivers\Version-3

         删除在下列项下面列出的任何非默认项:

         HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Monitors
         HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Monitors

         默认的监督程序包括:

         AppleTalk Printing Devices (当装有为 Macintosh 的服务时)
         BJ Language Monitor
         Local Port
         PJL Language Monitor
         Standard TCP/IP Port
         USB Monitor
         Windows NT Fax Monitor (When a Fax Modem is installed)

         要获得更多信息,有关那个项不是默认的,请点击下面的文章序号来查阅在微软知识库中对应的文章:
         Q260142 How to Troubleshoot Windows Printing Problems

         删除在下列项中列出的任何项:

         HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers
         HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Printers

         退出注册表编辑器。
         重启你的计算机,并重新安装所需的打印机。
    重要聲明:本論壇是以即時上載留言的方式運作,比思論壇對所有留言的真實性、完整性及立場等,不負任何法律責任。而一切留言之言論只代表留言者個人意見,並非本網站之立場,讀者及用戶不應信賴內容,並應自行判斷內容之真實性。於有關情形下,讀者及用戶應尋求專業意見(如涉及醫療、法律或投資等問題)。 由於本論壇受到「即時上載留言」運作方式所規限,故不能完全監察所有留言,若讀者及用戶發現有留言出現問題,請聯絡我們比思論壇有權刪除任何留言及拒絕任何人士上載留言 (刪除前或不會作事先警告及通知 ),同時亦有不刪除留言的權利,如有任何爭議,管理員擁有最終的詮釋權。用戶切勿撰寫粗言穢語、誹謗、渲染色情暴力或人身攻擊的言論,敬請自律。本網站保留一切法律權利。

    手機版| 廣告聯繫

    GMT+8, 2024-11-1 07:41 , Processed in 0.013414 second(s), 16 queries , Gzip On, Memcache On.

    Powered by Discuz! X2.5

    © 2001-2012 Comsenz Inc.

    回頂部