瑞星卡卡安全论坛

win32.downloader.rvdog.cs ，被QQ医生检查出来，但是杀不掉，瑞星，360，金山都不管用，我用windows清理助手后，把日志放在附件里，请各位帮帮小女子的忙，哎~~~谢谢

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2)

附件: SREngLOG2.log

如果它查出的病毒文件是C:\WINDOWS\system32\spoolsv.exe

那可能是误报

建议：
这贴里下载那个我在27楼提供的清理临时文件工具ATF-Cleaner-cn ：http://bbs.ikaka.com/showtopic-8442813.aspx

这 里 下 载 W i n d o w s 清 理 助 手 ，清理你那系统。
http://www.arswp.com/

工具下载后，尽量去安全模式下操作清理。

应该是病毒，我的CPU使用率已经是80多了~~
您是不是之前也解决过类似问题？可以发个连接给我么？谢谢啦，我试过以后再来请教！

滑稽
你就是不愿意去看QQ医生检查出来的东西到底是什么。

给个文件路径啊~~

看过了，就是你说的那个，然后下载了您帖子里27楼的软件，清理了之后，现在CPU使用率降低了，但是进程还有44个，请问下，这样正常么？如果是，那我就放心了，谢谢你的帮忙，您的帖子超管用的~~

文件路径是这个C:\WINDOWS\system32\spoolsv.exe

那个是系统正常的后台打印机服务程序

已看各家论坛有求助的了。

应该是误报。

为安全起见，你将C:\WINDOWS\system32\spoolsv.exe 文件上传到这两地方测试一下，看结果怎样，提示无毒，就应该是误报了。

http://www.virustotal.com/zh-cn/


http://virscan.org/

这两个启动项最好禁止了 ，我也不知道是什么
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    <PixelInstall><
>  [N/A]
    <Reboot><
>  [N/A]
这个启动文件夹也最好禁止了
[RAS程序快捷方式刷新]
  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\RAS程序快捷方式刷新.lnk --> C:\WINDOWS\Installer\{4A298160-EA7E-466F-B59D-FE4EC58B85C5}\Icon4A298160.exe [N/A]><N>
下面这个驱动要删除并干掉文件
[KBaseZS / KBaseZS][Running/Disabled]
  <\??\C:\Documents and Settings\Owner\Local Settings\Temporary Internet Files\Content.IE5\24P3O1MC\KBaseZS.sys><N/A>

看看  <\??\C:\Documents and Settings\Owner\Local Settings\Temporary Internet Files\Content.IE5\24P3O1MC\KBaseZS.sys><N/A>
这个还有没  一定要干掉~

文件 spoolsv.exe 接收于 2008.05.20 00:52:24 (CET)
当前状态: 完成

结果: 0/31 (0.00%)
格式化文本 打印结果 
反病毒引擎 版本 最后更新 扫描结果
AhnLab-V3 2008.5.20.0 2008.05.19 -
AntiVir 7.8.0.19 2008.05.19 -
Authentium 5.1.0.4 2008.05.19 -
Avast 4.8.1195.0 2008.05.19 -
AVG 7.5.0.516 2008.05.19 -
BitDefender 7.2 2008.05.19 -
CAT-QuickHeal 9.50 2008.05.19 -
ClamAV 0.92.1 2008.05.19 -
DrWeb 4.44.0.09170 2008.05.20 -
eSafe 7.0.15.0 2008.05.19 -
eTrust-Vet 31.4.5796 2008.05.16 -
Ewido 4.0 2008.05.19 -
F-Prot 4.4.2.54 2008.05.16 -
Fortinet 3.14.0.0 2008.05.20 -
GData 2.0.7306.1023 2008.05.20 -
Ikarus T3.1.1.26.0 2008.05.19 -
Kaspersky 7.0.0.125 2008.05.19 -
McAfee 5298 2008.05.19 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3110 2008.05.19 -
Norman 5.80.02 2008.05.19 -
Panda 9.0.0.4 2008.05.19 -
Prevx1 V2 2008.05.20 -
Rising 20.45.02.00 2008.05.19 -
Sophos 4.29.0 2008.05.20 -
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.20 -
TheHacker 6.2.92.313 2008.05.19 -
VBA32 3.12.6.6 2008.05.19 -
VirusBuster 4.3.26:9 2008.05.19 -
Webwasher-Gateway 6.6.2 2008.05.19 -
附加信息
File size: 57856 bytes
MD5...: da81ec57acd4cdc3d4c51cf3d409af9f
SHA1..: 7047ed8bd91f3e57972483feaa56e3499cd8c668
SHA256: 521257429493f31516ede549869efa4b7a262f6a69ea1e82a9c875456c10e702
SHA512: e8c16e68a8844a5eeb1d6e8a1aecb01972a26fb67c111ddc8b32c5368ec8681b
f8d248042be9ab87ee2d98404d62dcd88990d527ba66ffdf77d6f0f7f5c92394
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100461b
timedatestamp.....: 0x42aa27fc (Fri Jun 10 23:53:32 2005)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xba70 0xbc00 5.93 70ace146704d1e88dc38fe6de39d5234
.data 0xd000 0x13b4 0x1400 2.24 0fa5684c132ff9a6ade42f1de6a4ea4b
.rsrc 0xf000 0xc78 0xe00 6.19 a897c19712dda21ea8ae94d31e1fdb1f

( 6 imports )
> ADVAPI32.dll: SetServiceStatus, RegQueryValueExW, AllocateAndInitializeSid, FreeSid, InitializeSecurityDescriptor, SetSecurityDescriptorOwner, SetSecurityDescriptorGroup, GetLengthSid, InitializeAcl, AddAccessAllowedAce, AddAccessDeniedAce, GetAce, SetSecurityDescriptorDacl, GetSecurityDescriptorLength, MakeSelfRelativeSD, RegDisablePredefinedCache, RegOpenKeyExW, RegCloseKey, RegisterServiceCtrlHandlerExW, StartServiceCtrlDispatcherW
> GDI32.dll: bMakePathNameW, GdiInitSpool, GdiGetSpoolMessage
> KERNEL32.dll: GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, GetCurrentProcessId, SetUnhandledExceptionFilter, GetModuleHandleA, GetCurrentThreadId, GetTickCount, UnhandledExceptionFilter, QueryPerformanceCounter, FreeLibrary, InterlockedExchange, GetModuleHandleW, GetLastError, ExitThread, CloseHandle, WaitForSingleObject, CreateEventW, CreateThread, ExitProcess, Sleep, OpenEventW, LoadLibraryA, InitializeCriticalSection, LocalFree, LocalAlloc, SetEvent, LeaveCriticalSection, EnterCriticalSection, SetLastError, OpenProcess, InterlockedIncrement, RaiseException, InterlockedDecrement, GetProcAddress, GetSystemDirectoryW
> msvcrt.dll: __initenv, _exit, __getmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _controlfp, _XcptFilter, wcsrchr, wcslen, _c_exit, _stricmp, _wcsnicmp, _except_handler3
> ntdll.dll: RtlValidRelativeSecurityDescriptor
> RPCRT4.dll: RpcServerRegisterIf2, I_RpcBindingIsClientLocal, I_RpcSessionStrictContextHandle, RpcRaiseException, RpcImpersonateClient, RpcRevertToSelf, NdrServerCall2, RpcServerUseProtseqEpA, I_RpcSsDontSerializeContext, RpcMgmtSetServerStackSize, RpcServerListen

( 12 exports )
YDriverUnloadComplete, YEndDocPrinter, YFlushPrinter, YGetPrinter, YGetPrinterDriver2, YGetPrinterDriverDirectory, YReadPrinter, YSeekPrinter, YSetJob, YSetPort, YSplReadPrinter, YWritePrinter

:default8: 这是测试报告，我完全不懂

文件信息
文件名称 :  spoolsv.exe
文件大小 :  57856 byte
文件类型 :  MS-DOS executable (EXE), OS/2 or MS Windows
MD5 :  da81ec57acd4cdc3d4c51cf3d409af9f
SHA1 :  7047ed8bd91f3e57972483feaa56e3499cd8c668
扫描结果
扫描结果 :  3%的杀软(1/36)报告发现病毒
软件名称 引擎版本 病毒库版本 病毒库时间 扫描结果 时间
a-squared 3.5.0.18 2008.05.19 2008-05-19 - 40.581
AntiVir 7.8.0.19 7.0.4.62 2008-05-19 - 4.144
Arcavir 1.0.4 200805191554 2008-05-19 - 3.215
AVAST 1.0.8 080520-0 2008-05-20 - 6.333
AVG 7.5.51.442 269.23.21/1456 2008-05-20 - 10.692
BitDefender 7.60825.1202785 7.19080 2008-05-20 - 20.259
CA (VET) 9.0.0.143 31.4.5806 2008-05-20 - 40.772
ClamAV  0.93 7178 2008-05-20 - 0.023
Comodo 2.11 2.0.0.530 2008-05-20 - 40.523
CP Secure 1.1.0.715 2008.05.20 2008-05-20 - 16.747
Dr.WEB 4.44.0.9170 2008.05.20 2008-05-20 - 16.097
ewido 4.0.0.2 2008.05.19 2008-05-19 - 40.997
F-PROT 4.4.1.52 20080519 2008-05-19 - 3.172
F-SECURE 5.51.6100 2008.05.19.08 2008-05-19 - 0.045
IKARUS T3.1.01.26 2008.05.20.70780 2008-05-20 - 7.026
Microsoft 1.3520 2008.05.20 2008-05-20 - 38.645
MKS_VIR 2.01 2008.05.19 2008-05-19 - 3.780
NORMAN 5.92.06 5.92.00 2008-05-18 - 16.398
nProtect 2008-05-20.00 1470970 2008-05-20 - 40.348
Prevx V2 20080520 2008-05-20 TROJAN.DOWNLOADER.GEN 14.457
QuickHeal 9.00 2008.05.19 2008-05-19 - 2.925
SOPHOS 2.73.0 4.29 2008-05-20 - 6.744
The Hacker 6.2.92 v00314 2008-05-20 - 11.156
VBA32 3.12.6.6 20080519.1355 2008-05-19 - 7.552
ViRobot 20080519 2008.05.19 2008-05-19 - 40.305
VirusBuster 4.3.19:9 9.127.22/11.0 2008-05-19 - 4.013
卡巴斯基 5.5.10 2008.05.20 2008-05-20 - 30.881
安博士V3 2008.05.20.01 2008.05.20 2008-05-20 - 40.544
江民杀毒 10.00.650 2008.05.20 2008-05-20 - 15.860
熊猫卫士 9.04.03.0001 2008.05.19 2008-05-19 - 40.649
瑞星 20.0 20.45.11.00 2008-05-20 - 2.578
赛门铁克 1.3.0.24 20080519.003 2008-05-19 - 0.886
趋势 8.500-1001 5.288.02 2008-05-19 - 0.044
迈克菲 5.2.00 5298 2008-05-19 - 2.312
金山毒霸 2008.1.14.15 2008.5.19.14 2008-05-19 - 40.798
飞塔 2.81-3.11 9.102 2008-05-20 - 40.416
注意: 就算报告发现病毒，也可能是杀软误报，请根据查毒结果自行判断

复制到剪贴板

谢谢“没有名字的人”！我正在找，我一电脑半文盲，难啊

没问题。
可以确定是误报了

你试着升级QQ医生，看看这几天是否会不再误报了。

好的，谢谢“天月来了”版主，嘿嘿，现在轻松了~~~:default14:
主要当时是在公司，发现病毒报告的时候压力超大，在同事们异样的眼光中，哎~~~

在公司中毒是很正常的~~~

瑞星很好用，我次次升级，从换了新电脑就没中过毒~~~
本来对电脑什么的不太懂，对专业论坛也不感兴趣，这次经过大家指点，我发现有些问题是可以这样一点一点解决的，嘿嘿嘿，以后要常来看看，恩恩，谢谢啦

现在瑞星好了
就在这个月初瑞星经常被干掉~我就中过一个VSTAaa.exe的东西~
后面好象瑞星在主防里写了规则才没被干掉了