sploosv.exe和wmpdrm.dllC:\WINDOWS\system32\spoolsv.exeO4 - 启动项HKLM\\Run: [spoolsv] C:\WINDOWS\system32\spoolsv\spoolsv.exe -printer这个标识为傲讯浏览器辅助工具，删都删不去，4s自动恢复。－－－－－－－－－－－－C:\WINDOWS\system32\wmpdrm.dll这个式maxthon的插件，也是2次重启后自动恢复，老是造成网页访问ccmd:\\runjavascript....错误。求助，谢谢。（不知道是否有人回答过）

第一个是打印机缓存程序，不是浏览器辅助工具也，第二个你可以禁止错误报告啊！

C:\WINDOWS\system32\spoolsv\这个目录不是spoolsv该在的目录,用冰刃删除这个目录（记得先备份）然后用冰刃把wmpdrm.dll这个删除

冰刃也无效，spoolsv文件夹无法删除，文件spoolsv和wmpdrm是删了就恢复，注册表spoolsv启动项删除即恢复。发现一篇相关文章，1116删了也无效，继续求助。http://ylsmqss.blogchina.com/index.html[转]spoolsv目录下的spoolsv.exe关键词： spoolsv spoolsv.exe msicn msibm msibm.dll 昨天从用户那里收到一个可疑程序，spoolsv目录下的spoolsv.exe，看上去像是之前说到过的cfs广告程序的第二个版本，spoolsv.exe的版本信息里写有“傲讯浏览器辅助工具”、“广州傲讯信息科技有限公司”等字样。spoolsv.exe在启动项中：[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<%System%\spoolsv\spoolsv.exe -printer>运行后会调用%System%\msicn\msibm.dll之前的版本是%System%\msibm\目录，相关链接：http://ylsmqss.blogchina.com/3868547.html－－－－－－－－－－－－－－[转]再来说一下cfs2…… 相关文件、目录：%System%\wmpdrm.dll%System%\1116\%System%\msicn\msibm.dll%System%\msicn\ube.exe%System%\msicn\plugins\%System%\spoolsv\spoolsv.exe%System%\spoolsv\spoolsv.exe，有一个启动项：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"spoolsv"="%System%\spoolsv\spoolsv.exe -printer"运行后会调用%System%\msicn\msibm.dll，创建%System%\1116\目录，备份用。%System%\1116\目录是备份目录，里面是%System%\wmpdrm.dll、%System%\msicn\和%System%\spoolsv\spoolsv.exe的备份。%System%\msicn\msibm.dll，会插入多个指定进程，大约每4秒钟监视恢复文件（从%System%\1116\目录）和注册表信息（启动项、BHO）：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"spoolsv"[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}\InprocServer32]@="%System%\wmpdrm.dll"注："spoolsv"的数据不会被监视，所以修改它的数据也不会被恢复，只有删除"spoolsv"才会被恢复。还可能会从远程服务器下载文件：http://liveupdate.ourxin.com/secp.exesecp.exe是个安装程序，安装以下文件：%System%\wmpdrm.dll%System%\msicn\ube.exe%System%\msicn\plugins\（目录里4个dll文件）%System%\wmpdrm.dll是一个BHO，%System%\msicn\ube.exe像是卸载程序。另外，在%System%\和%System%\msicn\目录里还有有一些从远程下载来的cpz、vxd文件，比如：ava.vxdguid.vxdplgset.vxdsafep.vxd%System%\wmpdrm.dll作为BHO被调用后，会尝试调用%System%\spoolsv\spoolsv.exe和%System%\msicn\msibm.dll。注：如果%System%\spoolsv\spoolsv.exe没有被运行或被调用，也就不会备份还原，好像它就是用来备份的。另外……在“开始菜单”>>“程序”里会有一项“NavAngel”，里面有个快捷方式NavAngel.lnk，指向：%System%\spoolsv\spoolsv.exe -ctrlfun:4,3“添加/删除程序”里有一项“NavAngel”，对应命令是：%System%\spoolsv\spoolsv.exe -ctrlfun:4,2还有一项“WinDirected 2.0”，对应命令是：%System%\spoolsv\spoolsv.exe -uninst还可能会有mscache\目录，从名字看像是存放临时缓存文件的。BHO相关注册表信息：[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}][HKEY_CLASSES_ROOT\wmpdrm.cfsbho][HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1][HKEY_CLASSES_ROOT\TypeLib\{8B200623-3FC5-4493-8B49-DC2AD4830AF4}][HKEY_CLASSES_ROOT\Interface\{4A775183-9517-420E-9A13-D3DA47BB8A84}]写完了，发现，很乱……

似乎是搞定了，哈！～就看会不会复发了。在安全模式下其实已经删掉文件和启动注册表了。只是wmpdrm在Maxthon的插件目录里还有一个，删掉就可以了，C:\WINDOWS\system32\spoolsv.exe 是正常进程，有问题的是spoolsv.exe的启动项已经没了。