标题:
没脾气了,这种情况到底怎么回事?
[打印本页]
作者:
EESTU
时间:
2008-3-26 13:19
标题:
没脾气了,这种情况到底怎么回事?
如图所示,通过MP可以看到SYSTEM进程下有如下模块加载,其中图标蓝边白色方块的那三个开机就加载到进程,但是在MP显示的文件夹里有找不到,甚至在同分区里都找不到。更奇怪的是最下面那个白色方块的模块的名称是不断变化的,但是每次都是“A“开头。
PS:以前只有最下面那一个,发帖问过一次,但是没什么人回复,结果最近又出来两个新的,只好再来问了。不过新出来的那两个名字是不变的。
附件 1:
Snap3.jpg
(2008-3-26 13:19, 159.56 K,下载次数: 59)
作者:
一个人的旅行
时间:
2008-3-26 13:59
你可以查看下此贴
http://bbs.micropoint.com.cn/showthread.asp?tid=13944
作者:
dsl5
时间:
2008-3-26 14:09
Dump_WMILIB.sys正常
Dump_ATAPI.sys正常
A8CDBBPP.sys就不大正常了
楼主可以打开注册表,到HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\目录下查找一下是否有A8CDBBPP.sys的项,把其Start值修改为4后重新启动系统。
重启后到C:\WINDOWS\system32\drivers把A8CDBBPP.sys压缩发送给微点分析。
作者:
EESTU
时间:
2008-3-27 17:25
那个注册表项倒是找到了,也改了,改了之后重启就又变了,那个文件也还是找不到。
作者:
一个人的旅行
时间:
2008-3-27 17:32
有些文件在启动时会自动将自己删除,既然此注册表项已经不自动启动了,应该没什么问题了。
作者:
EESTU
时间:
2008-3-27 20:54
问题是那个模块还在插入在进程里,不过是换了个名字,事实上这个模块每次开机都换一个名字,那个注册表的部分也是每次都变,不过第一个字母都是大写的A的。
作者:
dsl5
时间:
2008-3-27 22:49
Quote:
Originally posted by
EESTU
at 2008-3-27 17:25:
那个注册表项倒是找到了,也改了,改了之后重启就又变了,那个文件也还是找不到。
重启后建议进入安全模式,应该能找那个文件出来.
作者:
EESTU
时间:
2008-4-6 18:06
去试了,MP显示的文件夹下还是没有那个文件。
作者:
nasdaq
时间:
2008-4-6 18:18
正常文件,那个随机八位是虚拟光驱sptd.sys生成的自删除驱动。
sptd.sys加载后生成一个随机八位驱动,然后自删除。文件开机就消失的,在哪儿也找不到。作用我记得好像是 虚拟光驱的自我保护吧。Daemon Tools
作者:
kkek
时间:
2008-4-7 22:18
近来逛一圈
作者:
yinweixuan
时间:
2008-4-9 06:30
Quote:
Originally posted by
nasdaq
at 2008-4-6 18:18:
正常文件,那个随机八位是虚拟光驱sptd.sys生成的自删除驱动。
sptd.sys加载后生成一个随机八位驱动,然后自删除。文件开机就消失的,在哪儿也找不到。作用我记得好像是 虚拟光驱的自我保护吧。Daemon Tools
保留意见!
sptd这个我知道 随机8位的不知道!
作者:
gudan
时间:
2008-4-9 08:08
不明白
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn
Snap3.jpg (2008-3-26 13:19, 159.56 K,下载次数: 59)
