[方案] 這兩天的倒數60秒

看板AntiVirus作者 (威廉華勒斯)時間15年前 (2008/09/27 12:55), 編輯推噓16(16021)
留言37則, 12人參與, 最新討論串1/7 (看更多)
沒樣本....報告沒幾個 所以一切還是不明 不過目前是有一個共通點是會產生底下幾個檔案 Windows\system32\sprint.dll 但應該是不少人刪了之後隔沒多久又有 如果有碰到這樣的情形 請先開啟工作管理員 找spoolsv.exe這個程序將它關閉 然後找C:\windows\system32\spoolsv.exe 找到之後將這幾個檔案刪除掉 刪掉後找正常的spoolsv.exe補上 這邊暫時提供一個載點,但能稱多久不知道 http://sylovanas.myweb.hinet.net/Temp/spoolsv.exe 先這樣看看吧我也不知道這樣有沒有辦法救回來,因為完全沒任何資料 另外就是如果有裝ms office的人建議上面的動作都作過之後 將他重新安裝,直覺和office有關係 (看sprint.dll之後的直覺) 另外在提一點,現在的病毒技術已經能作到在修改檔案後 該檔案表面看起來不會有任何變化 ( 像修改日期改變,建立日期改變等等的 ) 建議是用數位簽章的方式去檢查。 (不是指看公司檔案資訊那一些的,不是看那個) -- 人間世稱做緣 相連的紅線不停纏繞 脆弱而惹人悲憐的彼岸花 憤怒、傷感、終日以淚洗面 在凌晨零時的夜幕中 為你消除無法平息的怨恨 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 220.132.171.86
09/27 12:59, , 1F
您不是有提供一個rar檔 有全套的spoolsv.exe嗎? 怎麼沒了
09/27 12:59, 1F
09/27 12:59, , 2F
喔 看錯了 在18156篇 所以要用哪個替換比較好阿? 謝謝
09/27 12:59, 2F
09/27 13:00, , 3F
是要用您這篇的單一檔 還是用rar檔裡的 分別替換?
09/27 13:00, 3F
09/27 13:03, , 4F
不對...18156是我有問題的...
09/27 13:03, 4F
09/27 13:04, , 5F
哇哩咧 還好我還沒用 XD 註明一下吧
09/27 13:04, 5F
09/27 13:05, , 6F
抱歉~ 我剛剛去修了一下...(加上註明)
09/27 13:05, 6F
09/27 13:08, , 7F
不過我的NOD掃不到sprint.dll (好像也沒這個檔...
09/27 13:08, 7F
※ 編輯: junorn 來自: 220.132.171.86 (09/27 13:43)
09/27 13:49, , 8F
NOD 9/25就掃到了sprint.dll
09/27 13:49, 8F
09/27 13:50, , 9F
我NOD 9/26都掃不到= =
09/27 13:50, 9F
09/27 14:28, , 10F
C:\windows\system32\dllcache\spoolsv.exe 這個md5如果是
09/27 14:28, 10F
09/27 14:29, , 11F
6e4d4a38a64473b375a3e8c2df621e5c 那就是正常的 拿我電腦裡
09/27 14:29, 11F
09/27 14:30, , 12F
的檔案比對的~被病毒修改的spoolsv.exe似乎會掛載sprint.dll
09/27 14:30, 12F
09/27 14:32, , 13F
http://0rz.tw/c24Ne <==mobile01的類似討論
09/27 14:32, 13F
09/27 14:33, , 14F
目前有聽說spoolsv.exe、MsMpEng.exe、svchost.exe觸發
09/27 14:33, 14F
09/27 14:35, , 15F
看了18155篇winlogon好像也會有問題....= =A
09/27 14:35, 15F
09/27 14:38, , 16F
我把spoolsv移除後 目前RPC正常中 已經好幾小時了
09/27 14:38, 16F
09/27 15:18, , 17F
換了板大的spoolsv.exe後 目前RPC正常中
09/27 15:18, 17F
09/27 15:30, , 18F
光看MD5不行,因為版本一大堆...0rz
09/27 15:30, 18F
09/27 15:30, , 19F
所以 rpc 錯是因為 spoolsv loadlibrary 不起來嗎 ?
09/27 15:30, 19F
09/27 15:30, , 20F
測一下把 sprint.dll 殺掉 spoolsv 保留,重開看看會不會 rpc
09/27 15:30, 20F
09/27 15:31, , 21F
出錯 XDXD
09/27 15:31, 21F
09/27 15:31, , 22F
比較希望 rpc 出錯是經由 remote 摸起來的 XDXD
09/27 15:31, 22F
09/27 17:46, , 23F
想請問一下版大,如何停止Spoolsv的工作,而且我怎麼刪都刪
09/27 17:46, 23F
09/27 17:46, , 24F
不掉這個檔,剛剛已經用版大提供的數位簽章方式檢查過確定
09/27 17:46, 24F
09/27 17:46, , 25F
不是這個檔了
09/27 17:46, 25F
09/27 17:47, , 26F
確定為Unsigned了
09/27 17:47, 26F
09/27 17:48, , 27F
而且我找不到dllcache資料夾,希望版眾能幫忙解決一下^^"
09/27 17:48, 27F
09/27 18:13, , 28F
開工作管理員把他關掉就好了
09/27 18:13, 28F
09/27 18:19, , 29F
工作管理員是在控制台裡面嗎?~"~,找好久都找不到 = ="
09/27 18:19, 29F
09/27 18:20, , 30F
用18164掃spoolsv.exe發現Heuristic.Malware
09/27 18:20, 30F
09/27 18:21, , 31F
ctrl+alt+del
09/27 18:21, 31F
09/27 18:28, , 32F
感謝j版主,已順利刪除且更新為版主所提供的spoolsv檔了
09/27 18:28, 32F
09/27 18:28, , 33F
在此感謝版主的熱心提供解答,感激~~~^^
09/27 18:28, 33F
09/27 21:40, , 34F
我是在安全模式下系統還原QQ目前還在觀察中
09/27 21:40, 34F
09/27 21:41, , 35F
昨天更新微軟今天就這樣了QQ
09/27 21:41, 35F
09/28 15:16, , 36F
請問我spoolsv無法砍掉,那板大提供的那個要怎麼移過去?
09/28 15:16, 36F
09/28 15:17, , 37F
請問是直接剪下貼上,還是要執行?
09/28 15:17, 37F
※ 編輯: junorn 來自: 220.132.171.86 (09/29 14:45)
更多 junorn 的文章
文章代碼(AID): #18tRpQzD (AntiVirus)
討論串 (同標題文章)
完整討論串 (本文為第 1 之 7 篇):
排序: 最舊先 | 最新先 | 留言數
在新視窗開啟完整討論串 (共7篇)
更多 junorn 的文章
文章代碼(AID): #18tRpQzD (AntiVirus)