木马SPOOLSV.EXE如何处理？？ bbs.ikaka.com

江湖无间道 - 2010-12-6 21:53:00

今日电脑瑞星杀毒软件两次提示木马，情况如下：
--------------------------------------------------------

来源: 木马防御
规则 ID: 536870921
进程: C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
----------------------------------------------------------------
————请教如何解决此问题？？

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

江湖无间道 - 2010-12-6 21:55:00

引用:

原帖由 江湖无间道 于 2010-12-6 21:53:00 发表
今日电脑瑞星杀毒软件两次提示木马，情况如下：
--------------------------------------------------------

来源: 木马防御
规则 ID: 536870921
进程: C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
-----------------------------

请教一下天月版主：瑞星软件当时自动选择了阻止，是不是应该选择删除此文件？？？

networkedition - 2010-12-7 9:27:00

鼠标右键点击绿伞——查看日志——备份日志，将日志导出跟帖打包上传。另将C:\WINDOWS\SYSTEM32\SPOOLSV.EXE打包上传。瑞星杀毒软件版本是多少？

江湖无间道 - 2010-12-7 12:10:00

引用:

原帖由 networkedition 于 2010-12-7 9:27:00 发表
鼠标右键点击绿伞——查看日志——备份日志，将日志导出跟帖打包上传。另将C:\WINDOWS\SYSTEM32\SPOOLSV.EXE打包上传。瑞星杀毒软件版本是多少？

——现将备份日志和导出数据上传！
——瑞星软件是升级到现在的最新版本。
——上面也提的“将C:\WINDOWS\SYSTEM32\SPOOLSV.EXE打包上传”这个不弄啊？？请求版主再详细讲解一下！

江湖谢了！

附件: 日志备份和导出数据.rar

附件: 日志备份和导出数据.rar

江湖无间道 - 2010-12-7 12:16:00

引用:

原帖由 江湖无间道 于 2010-12-7 12:10:00 发表

引用:

原帖由 networkedition 于 2010-12-7 9:27:00 发表
鼠标右键点击绿伞——查看日志——备份日志，将日志导出跟帖打包上传。另将C:\WINDOWS\SYSTEM32\SPOOLSV.EXE打包上传。瑞星杀毒软件版本是多少？

——现将备份日志和导出数据上传！
——瑞星软件是升级到现在的最新版本。
——上面也提的“

不好意思，附件发重复了。
——另外再问一下，在没有用U盘的情况下，为什么瑞星防护日志总是提示有U盘防护的阻止信息呢？？内容如下：
-------------------------------------
规则 ID: 91
防护类型: 访问文件
进程: C:\WINDOWS\EXPLORER.EXE
文件名: C:\AUTORUN.INF
--------------------------------------------
C盘好像没有这个文件啊，不会是网银所用的U盾吧？？

networkedition - 2010-12-7 12:39:00

根据这个路径:C:\WINDOWS\SYSTEM32\SPOOLSV.EXE找到这个文件SPOOLSV.EXE，找到后压缩上传。

networkedition - 2010-12-7 12:40:00

正常的记录,属于正常访问磁盘的常规监控的记录。
就算没有autorun.inf文件，系统自身的桌面进程也是会执行访问autorun.inf 文件的命令的，2011瑞星的主动防御会常规性的阻止其访问autorun.inf文件的企图，并记录日志，哪怕没那autorun.inf文件，也一样阻止一次并记录日志。也就是阻止并记录一次桌面程序的访问autorun.inf文件的命令。

江湖无间道 - 2010-12-7 13:00:00

引用:

原帖由 networkedition 于 2010-12-7 12:40:00 发表
正常的记录,属于正常访问磁盘的常规监控的记录。
就算没有autorun.inf文件，系统自身的桌面进程也是会执行访问autorun.inf 文件的命令的，2011瑞星的主动防御会常规性的阻止其访问autorun.inf文件的企图，并记录日志，哪怕没那autorun.inf文件，也一样阻止一次并记录日志。也就是阻止并记录一次桌面程序的访问autorun.inf文件的命令。

哦,，谢谢大版主，现将spoolsv上传。

附件: spoolsv.rar

瑞星工程师16 - 2010-12-7 13:35:00

您在进行什么操作时会出现此提示信息？

江湖无间道 - 2010-12-7 13:40:00

引用:

原帖由 瑞星工程师16 于 2010-12-7 13:35:00 发表
您在进行什么操作时会出现此提示信息？

这几天瑞星有时会提示有木马进程运行，瑞星软件选择自动阻止。不知道是不是应该将此文件彻底删除？？

江湖无间道 - 2010-12-7 13:44:00

引用:

原帖由 瑞星工程师16 于 2010-12-7 13:35:00 发表
您在进行什么操作时会出现此提示信息？

不记得有什么特殊操作，使用电脑过程中瑞星会提示，12月4号和6号各出现一次。

瑞星工程师16 - 2010-12-7 13:55:00

您的文件我们测试后会给您答复。瑞星在出现木马提示之前，您是否做过其他操作，或运行其他程序？

江湖无间道 - 2010-12-7 14:01:00

引用:

原帖由 瑞星工程师16 于 2010-12-7 13:55:00 发表
您的文件我们测试后会给您答复。瑞星在出现木马提示之前，您是否做过其他操作，或运行其他程序？

应该没有运行什么特别的，我不玩网络游戏，常用软件就是股票软件之类，淘宝，QQ，还有博客之类——无不良嗜好，嘿嘿。

baohe - 2010-12-7 14:33:00

引用:

原帖由 江湖无间道 于 2010-12-7 13:00:00 发表
[quote] 原帖由 networkedition 于 2010-12-7 12:40:00 发表
正常的记录,属于正常访问磁盘的常规监控的记录。
就算没有autorun.inf文件，系统自身的桌面进程也是会执行访问autorun.inf 文件的命令的，2011瑞星的主动防御会常规性的阻止其访问autorun.inf文件的企图，并记录日志，哪怕没那autorun.inf文件，也

这个spoolsv没问题。
如果瑞星反复报此程序有毒，应考虑是否有其它病毒程序插入了此进程运行。

江湖无间道 - 2010-12-7 17:47:00

引用:

原帖由 baohe 于 2010-12-7 14:33:00 发表
[quote] 原帖由 江湖无间道 于 2010-12-7 13:00:00 发表
[quote] 原帖由 networkedition 于 2010-12-7 12:40:00 发表
正常的记录,属于正常访问磁盘的常规监控的记录。
就算没有autorun.inf文件，系统自身的桌面进程也是会执行访问autorun.inf 文件的命令的，2011瑞星的主动防御会常

哦，这样说来，是不是暂时不用管它，但如果下次瑞星再提示的话，如何处理呢？？是继续让瑞星默认保持阻止，还是选择删除此文件呢？？请大版主给个建议，江湖谢谢了。

瑞星工程师16 - 2010-12-28 14:18:00

此问题需远程处理，请楼主查收站内短消息。

瑞星卡卡安全论坛