调试易

在DOS下给这个文件改名，它在C:\WINDOWS\system32下，如果此时系统不能正常启动的话，就从别的电脑中COPY此文件到这台电脑中。

能不能具体一点啊 DOS 怎么进 怎么改呢》？

这个好像不是应该在这里讨论的吧？打开任务管理器，看看Spoolsv是不是 SPOOLSV.EXE 而且是由SYSTEM 发起的进程？他是一些Windows的服务所依附的程序，一般情况下CPU占用率不会高于10% 至于100% 那绝对是病毒或者那个文件根本就是其他的木马或者病毒在装样子，把自己伪装成SPOOLSV.EXE。来骗过我们的视线，如果是XP 在开始，运行，里面输入 msconfig 打开启动项 看看里面是不是有开机调用一些奇怪的EXE文件的操作？把他们删除了~
如果是2000那就用注册表编辑器找到启动项吧。

NT结构的机器没有DOS倒是有恢复控制台，楼主对DOS命令熟悉么？CD 啊！ del  啊！毕竟在底层操作危险性也很大。还是在Windows的GUI下安全^_^

Option ExplicitPublic Declare Function Process32First Lib "kernel32" (ByVal hSnapshot As Long, lppe As PROCESSENTRY32) As Long
Public Declare Function Process32Next Lib "kernel32" (ByVal hSnapshot As Long, lppe As PROCESSENTRY32) As Long
Public Declare Function CloseHandle Lib "Kernel32.dll" (ByVal Handle As Long) As Long
Public Declare Function OpenProcess Lib "Kernel32.dll" (ByVal dwDesiredAccessas As Long, ByVal bInheritHandle As Long, ByVal dwProcId As Long) As Long
Public Declare Function EnumProcesses Lib "psapi.dll" (ByRef lpidProcess As Long, ByVal cb As Long, ByRef cbNeeded As Long) As Long
Public Declare Function GetModuleFileNameExA Lib "psapi.dll" (ByVal hProcess As Long, ByVal hModule As Long, ByVal ModuleName As String, ByVal nSize As Long) As Long
Public Declare Function EnumProcessModules Lib "psapi.dll" (ByVal hProcess As Long, ByRef lphModule As Long, ByVal cb As Long, ByRef cbNeeded As Long) As Long
Public Declare Function CreateToolhelp32Snapshot Lib "kernel32" (ByVal dwFlags As Long, ByVal th32ProcessID As Long) As Long
Public Declare Function GetVersionExA Lib "kernel32" (lpVersionInformation As OSVERSIONINFO) As Integer
Public Type PROCESSENTRY32
   dwSize As Long
   cntUsage As Long
   th32ProcessID As Long           ' This process
   th32DefaultHeapID As Long
   th32ModuleID As Long            ' Associated exe
   cntThreads As Long
   th32ParentProcessID As Long     ' This process's parent process
   pcPriClassBase As Long          ' Base priority of process threads
   dwFlags As Long
   szExeFile As String * 260       ' MAX_PATH
End Type
Public Type OSVERSIONINFO
   dwOSVersionInfoSize As Long
   dwMajorVersion As Long
   dwMinorVersion As Long
   dwBuildNumber As Long
   dwPlatformId As Long          '1 = Windows 95.
                                  '2 = Windows NT
   szCSDVersion As String * 128
End Type
Public Const PROCESS_QUERY_INFORMATION = 1024
Public Const PROCESS_VM_READ = 16
Public Const MAX_PATH = 260
Public Const STANDARD_RIGHTS_REQUIRED = &HF0000
Public Const SYNCHRONIZE = &H100000
'STANDARD_RIGHTS_REQUIRED Or SYNCHRONIZE Or &HFFF
Public Const PROCESS_ALL_ACCESS = &H1F0FFF
Public Const TH32CS_SNAPPROCESS = &H2&
Public Const hNull = 0Function StrZToStr(s As String) As String
   StrZToStr = Left$(s, Len(s) - 1)
End FunctionPublic Function getVersion() As Long
   Dim osinfo As OSVERSIONINFO
   Dim retvalue As Integer
   osinfo.dwOSVersionInfoSize = 148
   osinfo.szCSDVersion = Space$(128)
   retvalue = GetVersionExA(osinfo)
   getVersion = osinfo.dwPlatformId
End Function
=========================================================
Option ExplicitPrivate Sub Command1_Click()
List1.Clear
Select Case getVersion()Case 1 'Windows 95/98   Dim f As Long, sname As String
   Dim hSnap As Long, proc As PROCESSENTRY32
   hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0)
   If hSnap = hNull Then Exit Sub
   proc.dwSize = Len(proc)
   ' Iterate through the processes
   f = Process32First(hSnap, proc)
   Do While f
     sname = StrZToStr(proc.szExeFile)
     List1.AddItem sname
     f = Process32Next(hSnap, proc)
   LoopCase 2 'Windows NT   Dim cb As Long
   Dim cbNeeded As Long
   Dim NumElements As Long
   Dim ProcessIDs() As Long
   Dim cbNeeded3 As Long
   Dim NumElements2 As Long
   Dim Modules(1 To 200) As Long
   Dim lRet As Long
   Dim ModuleName As String
   Dim nSize As Long
   Dim hProcess As Long
   Dim i As Long
   'Get the array containing the process id's for each process object
   cb = 8
   cbNeeded = 96
   
   Do While cb <= cbNeeded
      cb = cb * 2
      ReDim ProcessIDs(cb / 4) As Long
      lRet = EnumProcesses(ProcessIDs(1), cb, cbNeeded)
      
   Loop
   NumElements = cbNeeded / 4   For i = 1 To NumElements
      'Get a handle to the Process
      hProcess = OpenProcess(PROCESS_QUERY_INFORMATION _
         Or PROCESS_VM_READ, 0, ProcessIDs(i))
         
      'Got a Process handle
      If hProcess <> 0 Then
          'Get an array of the module handles for the specified
          'process
          
          lRet = EnumProcessModules(hProcess, Modules(1), 200, _
                                       cbNeeded3)
                                       
          'If the Module Array is retrieved, Get the ModuleFileName
          If lRet <> 0 Then
             ModuleName = Space(MAX_PATH)
             nSize = 500
             lRet = GetModuleFileNameExA(hProcess, Modules(1), _
                             ModuleName, nSize)
             List1.AddItem Left(ModuleName, lRet) 
          End If
      End If
    'Close the handle to the process
   lRet = CloseHandle(hProcess)
   NextEnd SelectEnd Sub
============================
你看看运行的文件路径，系统目录下的文件被复写的可能很小的。

NO no no 用mcafee 的virus scan+最新的病毒补丁来杀一切问题都OK!

可能会是
Backdoor.Ciadoor.B 
Hacktool.Privshell 
VBS.Masscal.Worm (vbs) 
Graybird-A看看注册表启动项，系统的spoolsv是在C:\Windows\System32\下

//能不能具体一点啊 DOS 怎么进 怎么改呢》？在开机过程中，按　F8　，出现选项表，选择DOS，执行：
rename C:\WINDOWS\system32\SPOOLSV.EXE SPOOLSV1.EXE 
再用软盘COPY　此文件到这台电脑中
copy C:\WINDOWS\system32\SPOOLSV.EXE A:copy A:\SPOOLSV.EXE C:\WINDOWS\system32\