北大2016届优秀学生:手动清楚了spoolv.exe病毒，恢复后仍然在

小心wmpdrm.dll(广告插件)

浏览器插件中加载了wmpdrm.dll。结束Max.exe 到system32目录下找到wmpdrm.dll，删除，显示无法删除，程序正在使用。

网上查相关资料：
wmpdrm.dll相关文件、目录：
%System%\wmpdrm.dll
%System%\1116\
%System%\msicn\msibm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\
%System%\spoolsv\spoolsv.exe
有一个启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer"
是不是和打印差不多，只是路径不一样，打印是在system32下

删除这条启项，可笑的是过几秒钟这个启动项又重新添加到注册表里，那个System32\下的1116文件也是，删掉马上自制一份。看来这样是无法清除的，还有进程没有结束，在explorer进程（windows运行必需进程）也有wmpdrm.dll，看来正常模式下是很难清除。

重启 F8 把上面所说的文件目录全部删除，重启运行浏览器。终于OK。

注：
1、有些恶意程序会有两进程同时运行，他们会互相监控，当你结束一个时，另一个进程马上又会把你结束掉那个进程恢复，所以，当你运用好多工具也搞不定时，不要再浪费时间，进安全模式。
2、不要指望杀毒软件能解决一切，他们重在病毒的防护上，对一些恶意程序无能为力，有些根本都查不出来，别说杀了。所以不要说我有杀毒软件就可以高枕无忧了，即便你经常升级杀毒也不行，还是那句老话，一切还是小心为上，不要安装一些来厉不明白的程序。

先停止系统进程spoolv.exe
然后删除windows/system32/spoolv.exe
然后删除注册表中所有spoolv有关的项目（搜索就行）
这个进程和打印机有关的进程，一般用不到，这个木马就是用了这个漏洞吧。

最后把系统服务里的Print Spooler禁用。