瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 这个spoolsv.exe怎么这么难弄呀!达人请出手帮帮我。

123   2  /  3  页   跳转

这个spoolsv.exe怎么这么难弄呀!达人请出手帮帮我。

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-02-01 14:17 | 短消息 资料
字号: 11楼

【回复“caocaocao”的帖子】
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<PcSync><; > [N/A]
<xvcclip><; > [N/A]
这是什么?

[Print Spooler / Spooler][Stopped/Disabled]
<><N/A>
[Windows Media Player / Windows Media Player][Stopped/Disabled]
<C:\windows\system32\com\player><N/A>
删除这两个驱动。重启后,删除C:\windows\system32\com\player。


[GMSIPCI / GMSIPCI][Stopped/Manual Start]
<\??\H:\INSTALL\GMSIPCI.SYS><N/A>
[NTACCESS / NTACCESS][Stopped/Manual Start]
<\??\H:\NTACCESS.sys><N/A>
[SetupNTGLM7X / SetupNTGLM7X][Stopped/Manual Start]
<\??\H:\NTGLM7X.sys><N/A>
不认识的驱动

[NetGroup Packet Filter Driver / NPF][Stopped/Manual Start]
<system32\drivers\npf.sys><CACE Technologies>
删除这个驱动。重启后,删除C:\windows\system32\drivers\npf.sys。

另:请将那个C:\WINDOWS\SPOOLSV.EXE打包,加密(解压密码用:123),发到:baohelin@yahoo.com.cn
gototop
 
caocaocao
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2006-07-29
  • 来自:
发表于: 2007-02-01 19:09 | 只看楼主 短消息 资料
字号: 12楼

PcSync这个东西是安装NOKIApcsuite时安装的文件
xvcclip这个我也不知道
GMSIPCI / GMSIPCI][Stopped/Manual Start]
<\??\H:\INSTALL\GMSIPCI.SYS><N/A>
[NTACCESS / NTACCESS][Stopped/Manual Start]
<\??\H:\NTACCESS.sys><N/A>
[SetupNTGLM7X / SetupNTGLM7X][Stopped/Manual Start]
<\??\H:\NTGLM7X.sys><N/A>
不认识的驱动
这一段是安装某个驱动时(H:是光驱号)留下的东西,木马克星也老是报告这个东西,但是没办法找到删除。用的是随机的正版,应该不是病毒之类的东西。(因为安装的多了,一时想不起是那个硬件或者数码产品的驱动,不好意思)
C:\windows\system32\com\player没有找到
gototop
 
caocaocao
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2006-07-29
  • 来自:
发表于: 2007-02-03 11:15 | 只看楼主 短消息 资料
字号: 13楼

报告版主:偶把那个npf.sys干掉后,这两天都没看见这个讨厌的spoolsv.exe出来了,可是在这之前偶忘了保存样本,唉!自我鄙视中......
PS:一旦发现再次中毒,我立即给您发送病毒样本。
谢谢您的指点!!!
gototop
 
caocaocao
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2006-07-29
  • 来自:
发表于: 2007-02-03 15:38 | 只看楼主 短消息 资料
字号: 14楼

哈哈哈哈!!!!!!功夫不负苦心人,偶终于还是等到这个家伙了!今上午再次出现这个该死的东西。顺带报告一下,这个东西虽然向一些不固定的网址发出信息,但是没有明显地占用系统资源,跟网络上各位朋友常见地动不动就要98%占用CPU资源完全不一样哟
gototop
 
ADL
头像
社区嘉宾
  • 帖子:21666
  • 注册: 2001-06-22
  • 来自:江湖
发表于: 2007-02-03 15:41 | 短消息 资料
字号: 15楼

http://www.microsoft.com/china/technet/security/bulletin/MS05-043.mspx

Microsoft 安全公告 MS05-043
Print Spooler 服务中的漏洞可能允许远程执行代码 (896423)

发布日期: 2005 年 8 月 9 日
版本: 1.0

摘要
本文的目标读者: 使用 Microsoft Windows 的客户

漏洞的影响: 远程执行代码

最高严重等级: 严重

建议: 客户应立即应用此更新。

安全更新替代: 无

注意事项: 无

测试过的软件和安全更新下载位置:

受影响的软件:

? Microsoft Windows 2000 Service Pack 4 – 下载此更新

? Microsoft Windows XP Service Pack 1 和 Microsoft Windows XP Service Pack 2 – 下载此更新

? Microsoft Windows Server 2003 – 下载此更新

? Microsoft Windows Server 2003(用于基于 Itanium 的系统) – 下载此更新


不受影响的软件:

? Microsoft Windows XP Professional x64 Edition

? Microsoft Windows Server 2003 Service Pack 1

? Microsoft Windows Server 2003 with SP1(用于基于 Itanium 的系统)

? Microsoft Windows Server 2003 x64 Edition

? Microsoft Windows 98、Microsoft Windows 98 Second Edition (SE) 和 Microsoft Windows Millennium Edition (ME)
gototop
 
caocaocao
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2006-07-29
  • 来自:
发表于: 2007-02-04 17:13 | 只看楼主 短消息 资料
字号: 16楼

谢谢ADL兄的指点,不过我的机器没有这个漏洞,重新打上这个补丁不到半小时还是出现这个东西了。
gototop
 
爬围墙上青天
头像
横据古稀狮
  • 帖子:10155
  • 注册: 2006-09-09
  • 来自:
发表于: 2007-02-04 17:16 | 短消息 资料
字号: 17楼

用超级兔子删```
gototop
 
caocaocao
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2006-07-29
  • 来自:
发表于: 2007-02-04 17:17 | 只看楼主 短消息 资料
字号: 18楼

青天老哥,兔子连他的踪影都发现不了,遑论删除了。^=^
gototop
 
caocaocao
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2006-07-29
  • 来自:
发表于: 2007-02-05 09:55 | 只看楼主 短消息 资料
字号: 19楼

呓!难道这个问题就这样沉底了吗?偶不相信!偶不相信!!!!
gototop
 
spacely
头像
初生襁褓狮
  • 帖子:5
  • 注册: 2007-02-05
  • 来自:
发表于: 2007-02-05 22:13 | 短消息 资料
字号: 20楼

【回复“caocaocao”的帖子】
我单位局域网上的一个机器也中了!呜呜!尝试了N种方法,还是没办法。在注册表的好几个位置都找到了spoolsv.exe键值,删除后问题依旧,指向是c:\windows\spoolsv.exe,这一点和网上热论的c:\windows\system32\spoolsv.exe可是两码事,高人在哪啊??
gototop
 
<<上一主题|下一主题>>
123   2  /  3  页   跳转
页面顶部
Powered by Discuz!NT