瑞星卡卡安全论坛

用木马云查杀杀了一会，发现太慢，然后终止了。结果硬盘读个不停，就像还在杀一样。重启后一样。
进程里没有“kaka.exe”。。。。把"tray.exe“终止掉后，终于不读盘了。。。。

这是BUG，还是我误会了？

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727)

spoolsv.exe这个文件，老是被瑞星截获要访问网络。这个文件是在c:\windows\system32下的。提交给瑞星后说是安全文件。

我的c:\windows\system32\spool下面，没有这个文件。网上有人说不是在spool下面的话，就有可能是木马。

有这种说法么？这个spoolsv.exe，就昨天一天老是要“上网”。。。

关于安全助手问题，请卸载安全助手后重新安装并升级至最新版本观察，如仍有问题，请在：http://bbs.ikaka.com/showforum-20046.aspx发帖反馈。

关于spoolsv.exe问题，请将该文件压缩后跟帖上传分析。

spoolsv.exe在这里

附件: spoolsv.rar (2011-6-8 12:48:01, 22.17 K)
该附件被下载次数 365

。把这个家伙的进程干掉，一会又出来了。但瑞星今天没说它要上网了。

重装安全助手，终止云查杀后，网络流量监控里看到tray.exe和RavMonD.exe都在1K多地上传（下载么？看不出来）。

俺又把tray.exe干掉，等了差不多3分钟，硬盘终于恢复正常了。旧版本的tray.exe被干掉的话，硬盘灯狂闪只不过才持续不到1分钟啊。。。。。

样本已收集分析，关于安全助手的问题请加Q:86898582为您远程。

远程时你能检测到我的硬盘读写情况么？

另：现在硬盘又开始狂读了。我发现流量监控里RavMonD.exe和Tray.exe都有流量，所以我用瑞星全功能将RavMonD.exe和Tray.exe禁止上网了。结果禁不了。瑞星自己的东西不让禁么？

现在RavMonD.exe的连接数是22个，总流量刚从3.48M上升到3.49M，Tray.exe的连接数是16个，刚从144.55K升到147.3K。。。。

rsmain.exe我也禁了，但也是有流量

样本经分析确认不是病毒，RavMonD.exe显示的系统联网程序的总流量。楼主用什么工具查看的流量，请提供截图。

看看这个图，

tray.exe是安全助手进程，不建议禁止。如果不希望有流量，可以关闭助手的云安全，不要使用漏洞修复，关闭升级。