幫Zha0要樣本看看 有些地方有找到不過要註冊....沒輒 我觀察了一下似乎幾個有報告的共通點是spoolsv.exe都沒有過數位簽章 所以底下的稍微修改一下 改成 U載OTMoveIt2 http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe 到安全模式下執行 然後在左邊的視窗貼上以下東西 EmptyTemp C:\WINDOWS\System32\v2messen.exe C:\WINDOWS\System32\sprint.dll C:\WINDOWS\System32\mssvch.dll C:\WINDOWS\System32\spoolsv.exe C:\Windows\system32\dllcache\spoolsv.exe 然後照底下的動作跑完了之後 將C:\_OTMOVEIT資料夾壓縮起來傳到免費空間貼上來 這樣才有機會分析是哪邊的問題。 另外請注意spoolsv.exe是windows系統檔案 只有在中了這東西的人才需要刪，平常沒事別刪。 ※ 引述《idaer (這是個充滿老梗的世界)》之銘言： : : → aamon:我有 sprint.dll 建立日期是 2008/9/20 09/27 05:17 : : 推 SilverRanger:我也是，建立日期9/20，修改日期9/27... 09/27 05:39 : : → SilverRanger:http://140.134.4.70/~d9329381/sprint.rar 09/27 05:40 : : 推 pomeloyou:我也有不過建立日期是2008/9/26 09/27 05:48 : : 推 mantou:我也有sprint.dll建立日期也是9/20..修改日期9/26 09/27 05:53 : : 推 apple604:有sprint.dll建立日期9/26修改日期9/27 09/27 06:46 : : → aamon:電腦中又出現新東西了 dots.exe, sprint.dll砍掉會重生 09/27 06:49 : : → aamon:一個小時會發作一次, 還有windows\temp\裡多了很多東西呢 09/27 06:50 : 下載OTMoveIt2 : http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe : 到安全模式下執行 然後在左邊的視窗貼上以下東西 : EmptyTemp : C:\WINDOWS\System32\v2messen.exe : C:\WINDOWS\System32\sprint.dll : C:\WINDOWS\System32\mssvch.dll : 按下「MoveIt」，如果系統要求重開機，按「YES」 : 如果不行的話 跑Combofix/HijackThis/SRENG 然後把報告貼上來~ -- 人間世稱做緣 相連的紅線不停纏繞 脆弱而惹人悲憐的彼岸花 憤怒、傷感、終日以淚洗面 在凌晨零時的夜幕中 為你消除無法平息的怨恨 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 220.132.171.86 ※ 編輯: junorn 來自: 220.132.171.86 (09/27 10:38) ※ 編輯: junorn 來自: 220.132.171.86 (09/27 10:39)