标题:
请教专家 sp**.sys文件
[打印本页]
作者:
myhb
时间:
2008-2-27 14:52
标题:
请教专家 sp**.sys文件
刚才我用微点检测也发现一个spab.sys,如图,无法找到其位置
我用kv2008“未知病毒检测”也查到同名文件被报警为37%可疑,状态为“文件不存在”,且无法删除,也无法定位。
而且,每次机器重启后“sp**.sys”后面的2个字符还会变化。
请教专家,这是怎么回事?
先谢了
[
Last edited by myhb on 2008-2-27 at 15:57
]
附件 1:
Clipboard.gif
(2008-2-27 14:52, 60.04 K,下载次数: 34)
作者:
深度扫描
时间:
2008-2-27 14:58
估计有问题了。。正常文件不会这么流氓吧?
作者:
myhb
时间:
2008-2-27 15:03
不知如何处理?
作者:
Legend
时间:
2008-2-27 15:06
请楼主将此驱动文件,连同技术支持信息(微点主界面-->辅助功能-->生成技术支持信息)发送到
support@micropoint.com.cn
邮箱我们将做进一步的测试分析,请附上本贴链接,以便我们进行深入测试,跟踪解决您的问题。
楼主发送完后,请将您的邮箱地址通过
论坛短消息
发给我,也请附带此贴链接。
作者:
images
时间:
2008-2-27 15:07
进入注册表里面搜搜看是否有spab.sys这个,有的话删除。
作者:
myhb
时间:
2008-2-27 15:08
版主
关键就是无法找到此文件,图中所示路径没有,注册表也查不到
作者:
myhb
时间:
2008-2-27 15:15
帮帮我吧
用江民“进程查看器”“分析系统”的分析结果:
系统服务钩子列表(SSDT)
spab.sys 修改了 4 个系统地址
71 : 0x80623944 => 0xF7284CA2 ZwEnumerateKey
73 : 0x80623BAE => 0xF7285030 ZwEnumerateValueKey
160 : 0x806247BE => 0xF7285108 ZwQueryKey
177 : 0x806211BE => 0xF7284F88 ZwQueryValueKey
[
Last edited by myhb on 2008-2-27 at 15:17
]
作者:
Legend
时间:
2008-2-27 16:14
请楼主加入微点官方技术交流QQ群,联系在线管理员协助解决。在加群和联系管理员时请附上本帖链接。
微点技术交流群: I. 16998902 Ⅱ. 1471553 Ⅲ. 630086
请您逐个尝试加入
楼主也可以使用QQ将微点在线管理员加为好友(QQ:383154254或466248167),让他协助您在线分析处理一下。
作者:
点饭的百度空间
时间:
2008-2-27 17:38
用冰刃试试 把spab.sys复制上来
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn
Clipboard.gif (2008-2-27 14:52, 60.04 K,下载次数: 34)
