大家好，阿林来为大家解答以上问题，进程spoolsv.exe，spoolsv exe专杀很多人还不知道，现在让我们一起来看看吧！

spoolsv.exe斯波尔沃：号工艺文件

名称：打印机后台打印程序服务

描述： Windows打印作业控制程序，使打印机准备就绪。

简介：后台打印程序服务用于管理缓冲池中的打印和传真作业。

Spoolsv.exe打印任务控制程序，通常是列表机打印前先加载准备。Spoolsv.exe，如果它经常增加，可能是由病毒感染引起的。

目前常见的是：

后门/Byshell(又名隐形贼、隐形黑仔、西门庆病毒)

危害程度3360。

受影响的系统： Windows 2000、Windows XP、Windows Server 2003

病毒危害：

1.生成病毒文件

2.将其插入到正常的系统文件中。

3.修改系统注册表

4.它可以被黑客远程控制

5.避免杀毒软件的查杀

简单的后门木马在攻击时会删除自己的程序，但会将自己的程序设置成可执行程序(如：exe)并与电脑的通用端口(TCP端口138)挂钩，监控电脑的信息、密码，甚至键盘操作。作为返回的信息，它会不时地驱动端口等待传入的命令。因为木马分不清哪个端口是正确的，所以负责输出的列表机也是它的驱动。

后门。Win32.Plutor

方法：破坏被感染PE文件的后门程序，病毒用VC编写。

病毒运行后，有以下行为3360

1.将病毒文件复制到%WINDIR%目录，文件名为；spoolsv . exe '；运行病毒文件。spoolsv . exe '；文件在运行后被释放。文件名为'；mscheck . exe '；文件复制到%SYSDIR%目录。这个文件的主要功能是每次激活时运行；spoolsv . exe '；文件。如果正在运行的文件是感染了正常文件的病毒文件，病毒将恢复文件并运行它。

2.在注册表中修改以下键值3360

HKEY _本地_机器软件微软视窗安全版本运行

添加数据项3360’；“Microsoft脚本检查器”；数据是：’；MSCHECK.EXE/START '；

将注册表修改为“；MSCHECK。EXE '；文件系统将在每次激活时运行，以及'；MSCHECK。EXE '；用于运行'；spoolsv . exe '；文件，从而达到病毒自我激活的目的。

3.创建一个线程感染c盘下的PE文件，但文件路径包含'；win nt '；';windows '；字符串文件未被感染。此外，该病毒还会枚举局域网中的共享目录，并试图感染这些目录下的文件。病毒感染文件的方法比较简单。正常文件的前0x 16000字节被病毒文件中的数据替换，原来的0x 16000字节数据被插入到被感染文件的尾部。

4.正在尝试与名称“”通信；admin '；邮件槽联系人，创建名称'；客户端'；的邮件槽用于接收其控制终端发送的命令，并为其控制终端提供以下远程控制服务：

或者显示隐藏指定窗口，截屏，控制CDROM，关闭计算器，注销，销毁硬盘数据。

本文到此结束，希望对大家有所帮助。