¿Por qué el fondo de la impresora a menudo deja de funcionar?
Método de reparación para que el servicio en segundo plano de la impresora se detenga automáticamente
Fenómeno 1:
Cuando la aplicación del subsistema de cola de impresión tiene un error , El servicio de cola de impresión se detiene automáticamente, es decir, habilita manualmente el servicio en la herramienta de administración y el servicio se detiene automáticamente inmediatamente después de iniciarse. En este momento, debe pensar que ha sido infectado con un virus. .exe bajo su system32 y wmpdxm.dll ha sido robado por virus. exe y wmpdxm.dll han sido reemplazados por virus.
Solución:
1. Copie estos dos archivos de una buena máquina y sobrescríbalos.
2. Cópielos directamente desde i386 en el disco de instalación a su In. system32
Fenómeno 2:
La velocidad de ejecución disminuye, el archivo de servicio spoolsv.spoolsv.exe no hace referencia al archivo system32/spoolsv.exe. El uso de CPU del proceso spoolsv.exe es extremadamente alto, la máquina funciona lentamente, la impresora ocasionalmente no se puede usar, se presta más de un servicio Ntsevice, se inicia más de un spoolsv, etc., y hay varias carpetas de spoolsv en system32, todo lo cual indica que su máquina tiene un virus. Ciador.B
Solución:
Esta basura usa msicn\msibm.dll para insertar múltiples procesos para monitorear el sistema y crea la siguiente maldita cosa en system32:
wmpdrm.
1116\
msicn\msibm.dll
msicn\ube.exe
msicn\plugins \
spoolsv\spoolsv.exe (esto también se parece a Microsoft Printing Services)
Se agrega la siguiente basura al registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows \CurrentVersion\Run]
"spoolsv"="System\spoolsv\spoolsv.exe -printer"
[HKEY_CLASSES_ROOT\CLSID\\InprocServer32]
@ ="System\wmpdrm.dll"
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]
[HKEY_ CLASSES_ROOT\wmpdrm.cfsbho.1]
[HKEY_CLASSES_ROOT\ TypeLib \]
[HKEY_CLASSES_ROOT\Interface\]
Luego monitoree el contenido anterior aproximadamente cada 4 segundos, una vez antes y después, para que no pueda hacer nada.
Elemento de inicio c:/windows/system32/spoolsv/spoolsv.exe -printer
cfs2... Archivos y directorios relacionados:
System \wmpdrm. dll
System\1116\
System\msicn\msibm.dll
System\msicn\ube.exe
System\msicn \plugins\
Sistema\msicn\plugins\
Sistema\msicn\plugins\
Sistema\spoolsv\spoolsv.exe
Hay un elemento de inicio en System\spoolsv\spoolsv.exe:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="System\ spoolsv\ spoolsv.exe -printer"
Después de ejecutarlo, llama a System\msicn\msibm.dll y crea el directorio System\1116\ para realizar la copia de seguridad.
El directorio System\1116\ es el directorio de respaldo que contiene copias de seguridad de System\wmpdrm.dll, System\msicn\ y System\spoolsv\spoolsv.exe.
System\msicn\msibm.dll, que inserta varios procesos específicos y monitorea los archivos de recuperación (del directorio System\1116\) y la información de registro (elementos de inicio, BHO) aproximadamente cada 4 segundos):
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"
[HKEY_CLASSES_ROOT\CLSID\\InprocServer32]
@="System\wmpdrm.dll"
Nota: Los datos de "spoolsv" no serán monitoreados, por lo que no se pueden recuperar modificando sus datos. Sólo eliminando "spoolsv" se puede restaurar.
También puede haber archivos descargados desde el servidor remoto:
\ube.exe
System\msicn\plugins\ (hay 4 archivos dll en el directorio)
System\wmpdrm.dll es un BHO y System\msicn\ube.exe es como un desinstalador.
Además, hay archivos cpz y vxd descargados desde ubicaciones remotas en los directorios System\ y System\msicn\, como por ejemplo:
ava.vxd