现象一: 当出现 spooler Subsystem App 错误的时候,print spooler 服务自动停止,就是你在管理工具 的服务中手动启用,也会在启动后马上又自动停止,这个时候你就应该想到,你 的中过病毒了,你的 system32 下的 spoolsv.exe 和 wmpdxm.dll 已经给病毒偷梁换柱了.
解决:
一、 从好的机器上 copy 这两个文件，覆盖掉他们
二、从安装盘的 i386 里直接 copy 到你的 system32 下

现象二： 运行速度变慢，spoolsv.exe 服务的文件不指想 system32/spoolsv.exe，该进程的 CPU 占用率极其 高，机器运行速度慢，打印机偶尔不能用，服务里多了一个 Ntsevice 服务， 启动里多了一个 spoolsv 等， 且在 system32 下多了一个 spoolsv 的文件夹， 这些都表明您的机器中病毒了。 中的是木马病毒可能是 Backdoor.Ciadoor.B 解决： 这个垃圾软件利用将 msicn\msibm.dll 插入多个进程的方法对系统进行监控， system32 下创建 在 如下该死的东西： wmpdrm.dll 1116\ msicn\msibm.dll msicn\ube.exe msicn\plugins\ spoolsv\spoolsv.exe(这个还长得像微软打印服务） 注册表加入如下垃圾： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "spoolsv"="%System%\spoolsv\spoolsv.exe -printer" [HKEY_CLASSES_ROOT\CLSID\\InprocServer32] @="%System%\wmpdrm.dll" [HKEY_CLASSES_ROOT\wmpdrm.cfsbho] [HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1] [HKEY_CLASSES_ROOT\TypeLib\] [HKEY_CLASSES_ROOT\Interface\] 然后每隔 4 秒左右对以上东西进行监控，前后互相照应，让你无从下手 启动项 c:/windows/system32/spoolsv/spoolsv.exe -printer cfs2…… 相关文件、目录： %System%\wmpdrm.dll %System%\1116\ %System%\msicn\msibm.dll %System%\msicn\ube.exe %System%\msicn\plugins\ %System%\spoolsv\spoolsv.exe %System%\spoolsv\spoolsv.exe，有一个启动项： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "spoolsv"="%System%\spoolsv\spoolsv.exe -printer" 运行后会调用%System%\msicn\msibm.dll，创建%System%\1116\目录，备份用。 %System%\1116\目录是备份目录，里面是%System%\wmpdrm.dll、%System%\msicn\ 和%System%\spoolsv\spoolsv.exe 的备份。 %System%\msicn\msibm.dll，会插入多个指定进程，大约每 4 秒钟监视恢复文件（从%System%\1116\目录） 和注册表信息（启动项、BHO）： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "spoolsv" [HKEY_CLASSES_ROOT\CLSID\\InprocServer32] @="%System%\wmpdrm.dll" 注："spoolsv"的数据不会被监视，所以修改它的数据也不会被恢复，只有删除"spoolsv"才会被恢复。 还可能会从远程服务器下载文件： http://liveupdate.ourxin.com/secp.exe secp.exe 是个安装程序，安装以下文件： %System%\wmpdrm.dll %System%\msicn\ube.exe %System%\msicn\plugins\（目录里 4 个 dll 文件） %System%\wmpdrm.dll 是一个 BHO，%System%\msicn\ube.exe 像是卸载程序。 另外，在%System%\和%System%\msicn\目录里还有有一些从远程下载来的 cpz、vxd 文件，比如： ava.vxd guid.vxd plgset.vxd safep.vxd %System%\wmpdrm.dll 作为 BHO 被调用后，会尝试调用%System%\spoolsv\spoolsv.exe 和%System%\msicn\msibm.dll。 注：如果%System%\spoolsv\spoolsv.exe 没有被运行或被调用，也就不会备份还原，好像它就是用来备份 的。 另外…… 在“开始菜单”>>“程序”里 可能 会有一项“NavAngel”，里面有个快捷方式 NavAngel.lnk，指 向：%System%\spoolsv\spoolsv.exe -ctrlfun:4,3 “添加/删除程序”里有一项“NavAngel”，对应命令是：%System%\spoolsv\spoolsv.exe -ctrlfun:4,2 还有一项“WinDirected 2.0”，对应命令是：%System%\spoolsv\spoolsv.exe -uninst 还可能会有 mscache\目录，从名字看像是存放临时缓存文件的。 BHO 相关注册表信息： [HKEY_CLASSES_ROOT\CLSID\] [HKEY_CLASSES_ROOT\wmpdrm.cfsbho] [HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1] [HKEY_CLASSES_ROOT\TypeLib\] [HKEY_CLASSES_ROOT\Interface\]

判别自己是否中毒:
1、点开始－运行，输入 msconfig，回车，打开实用配置程序，选择“启动”， 感染以后会在启动 项里面发现运行 Spoolsv.exe 的启动项， 每次进入 windows 会有 NTservice 的对话框。
2、 打开系统盘， 假设 C 盘， 看是否存在 C:\WINDOWS\system32\spoolsv 文件夹， 里面有个 spoolsv.exe 文件，有“傲讯浏览器辅助工具”的字样说明，正常的 spoolsv.exe 打印 机缓冲池文件应该在 C:\WINDOWS\system32 目录下。
3，打开任务管理器，会发现 spoolsv.exe 进程，而且 CPU 占用率很高。 清除方法：
1、重新启动，开机按 F8 进入安全模式。
2、点开始－运行，输入 cmd，进入 dos。 利用 rd 命令删除以下目录（如果存在）（ 在 dos 窗口下输入：rd(空格） C:\WINDOWS\system32\spoolsv/s，回车，出现提示，输入 y 回车，即可删除整个目录。）： C:\WINDOWS\system32\msibm C:\WINDOWS\system32\spoolsv C:\WINDOWS\system32\bakcfs C:\WINDOWS\system32\msicn 利用 del 命令删除下面的文件（如果存在）（比如在 dos 窗口下输入：del(空格） C:\windows\system32\spoolsv.exe，回车，即可删除被感染的 spoolsv.exe，这个文件可以 在杀毒结束后在别的正常的机器上复制正常的 spoolsv.exe 粘贴到 C:\windows\system32 文件夹。）： C:\windows\system32\spoolsv.exe C:\WINDOWS\system32\wmpdrm.dll
3、重启按 F8 再次进入安全模式。
（1）桌面右键点击我的电脑，选择“管理”，点击“服务和应用程序”-“服务”，右键点击 NTservice，选择“属性”，修改启动类型为“禁用”。 、
（2） 点开始， 运行， 输入 regedit， 回车打开注册表， 点菜单上的编辑， 选择查找， 查找含有 spoolsv.exe 的注册表项目，删除。可以利用 F3 继续查找，将含有 spoolsv.exe 的注册表项目全部删除。
4、若以上操作完成后,仍然有该进程。请桌面右键点击我的电脑，选择“管理”，点击“服务和应 用程序”-“服务”，右键点击 print spooler，选择“属性”，先点“停 止”然后修改启动类型为手动或“禁用”。随后重复以上步骤。

现象三： 以上两中现象都没有，Spooler Subsystem App 遇到问题需要关闭，我们对此引起的不便表示抱 歉。 如果您正执行到一半，您的未保存信息可能丢失。关于此错误的其他信息，请单击此处关闭。 显示就是如此，然后机子就呆傻 2 分钟左右，正常后几分钟，就又循环一次，周而复始 估计这可能是由于已安装的打印机的驱动程序损坏了。要解决这个问题，你可以删掉打印机和它的驱动程 序并在注册表中删除一些项，具体步骤： 如果可能的话，删除所有打印机。 在打印机窗口，在文件菜单上，单击服务器属性。 在驱动器标签上，删除所有已安装的打印加驱动程序。 启动注册表编辑器（Regedit.exe）。 导出下列注册表项： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print 删除在下列项下面列出的任何项（不要把它们自己删掉）： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Environments\Windows NT x86\Drivers\Version-2 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Environments\Windows NT x86\Drivers\Version-3 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Environments\Windows NT x86\Drivers\Version-2 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Environments\Windows NT x86\Drivers\Version-3 删除在下列项下面列出的任何非默认项： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Monitors HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Monitors 默认的监督程序包括： AppleTalk Printing Devices （当装有为 Macintosh 的服务时） BJ Language Monitor Local Port PJL Language Monitor Standard TCP/IP Port USB Monitor Windows NT Fax Monitor (When a Fax Modem is installed) 要获得更多信息，有关那个项不是默认的，请点击下面的文章序号来查阅在微软知识库中对应的文章： Q260142 How to Troubleshoot Windows Printing Problems 删除在下列项中列出的任何项： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Printers 退出注册表编辑器。 重启你的计算机，并重新安装所需的打印机

只要清空C:\WINDOWS\system32\spool\PRINTERS 目录下所有的文件即可。

为避免发生此问题，请不要在打印后台文件位于 %Systemroot%\System32\Spool\Printers 文件夹中时更改它的属性。
要解决此问题，请删除只读属性，然后将该后台文件从 %Systemroot%\System32\Spool\Printers 文件夹中删除。
要删除只读属性，请右键单击 Windows 资源管理器或我的电脑中的后台文件，单击属性，单击清除只读复选框，然后单击确定。
有关如何在 Windows 2000 中删除文件的更多信息，请单击开始，单击帮助，单击索引选项卡，键入删除，然后双击删除文件主题。

RESOLUTION
要解决本文描述的问题，请按照下列步骤操作

1. 单击开始，单击运行，键入mmc，然后单击确定。
2. 在文件菜单上，单击添加/删除管理单元。
3. 依次单击添加、计算机管理、添加，然后单击完成。
4. 单击关闭，然后单击确定。
5. 依次展开计算机管理和“服务和应用程序”，然后单击服务。
6. 右键单击 Print Spooler，然后单击停止。
7. 单击开始，单击运行，在打开框中键入 %SystemRoot%\System32\spool\PRINTERS，然后单击确定。
8. 删除 %SystemRoot%\System32\spool\PRINTERS 目录下的所有文件。
9. 选择服务窗口，右键单击 Print Spooler，然后单击启动。
10. 重新执行打印操作。