秦晋崤之战注释及翻译:spoolsv.exe 被绑定?是中木马了吗？怎么解决？高手相助下吧！谢谢

是的。我今天刚处理了一个

今天本想下载一个“REAL文件格式转换”的软件，不慎中了一个木马，分析如下：

1、注册NT服务 WinService ，类型：自动。关联文件：%system%\WinAppService.exe
注册表位置：
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_WINSERVICE]
"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_WINSERVICE\0000]
"Service"="WinService"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="WinService"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_WINSERVICE\0000\Control]
"*NewlyCreated*"=dword:00000000

说明：（1）不能直接删除。（2）右键点 LEGACY_WINSERVICE，“权限”，勾选“完全控制”，确定。再点它即可删除。

2、添加自动启动项目
位置：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="F:\\WINDOWS\\system32\\spoolsv\\spoolsv.exe -printer"HKLU\Software\Microsoft\Wspoolsv C:\WINDOWS\system32\spoolsv\spoolsv.exe -printer

"CdnCtr"="F:\Program Files\CNNIC\Cdn\cdnup.exe"

3、删除文件：
(1)F:\WINDOWS\system32\spoolsv\spoolsv.exe “广州傲讯浏览器辅助工具”靠！！
(2)F:\Program Files\CNNIC\Cdn\cdnup.exe
(3)F:\WINDOWS\system32\WinAppService.exe

spoolsv - spoolsv.exe - 进程信息
进程文件: spoolsv or spoolsv.exe
进程名称: Printer Spooler Service
描述: Windows打印任务控制程序，用以打印机就绪。
常见错误: N/A
是否为系统进程: 是

如果目前你没有自己的打印机而且不想用这台计算机打印资料，可以在“我的电脑”右键“管理”里的“服务”项目中找到“Print Spooler（将文件加载到内存中以便迟后打印。）”找到，停止并且禁用就可以了。

后台打印程序和“资源耗尽”消息
问题描述
• 当重新启动计算机或重新启动后台打印程序服务时，接收到以下错误消息：Spoolsv.exe 无法启动。

• 当打开打印机属性时，接收到以下错误消息：“资源耗尽错误。”

• 打印文档时，接收到访问冲突 (Dr. Watson) 错误消息。Dr. Watson 日志附带错误码 C0000005 指向 Spoolsv.exe。接收到以下错误信息，后台打印程序停止：<address> 的指令引用内存在 <address>。内存不可读。
Spoolsv.exe 或“打印子系统不可用”消息
问题描述
启动 Windows Server 2003 打印服务器时，可能接收到以下错误消息：Spoolsv.exe 生成了一个错误。

而且，如果尝试查看打印机属性，可能接收到显示“打印子系统不可用”的错误消息。

问题原因

后台打印服务可能已经停止。如果服务器运行 Windows Server 2003 而使用为 Windows 98 或 Windows NT 设计的打印启动程序，则也可能发生这种问题。

问题解决方案

1.
开启注册表编辑器 (RegEdt32.exe)。

2.
定位到注册表以下键并将之删除：
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\ Control\Print\Printers\

<Trouble Printer>

3.
退出注册表编辑器。