删除可疑的LDAPSVC服务

  同事要用FTP,在几台服务器上装了Serv-U,某天我忽然发现防火墙日志里有很多本机发向122.224.50.93 (p4011.whatthisdown.com) 4011端口的连接被拦截,由于系统是新装,没有什么服务用到类似的连接,很可疑。查看相关的进程是svchost -k LDAPSVC,于是google了一下,有人说这是HackTool.XSpoof.a和HackTool.XSpoof.b黑客程序,我也不管它是做什么的了,总之不是我想要的,想办法删了吧。

  试了几次,这个服务竟然是做为驱动存在,无法直接停止,只好直接修改注册表,删除 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 下面的LDAPSVC 和 KVBoot项,重新启动,防火墙日志已经安静了,再删除C:WindowsSystem32LDAPSvc.DLL和C:Windows System32driversKVBoot.sys,世界清静了。

  之前FTP服务端我一般喜欢用Gene6的,但有点缺陷,上传的时候,连接非正常中断经常会造成文件被锁,只能重启Gene6才能续传。 Serv-U虽然没这个问题,但编码处理有问题,在繁体系统下传简体文件名的文件会失败,这次又多了一个理由让我不用它了……竟然留后门……擦!

发表评论

电子邮件地址不会被公开。 必填项已用*标注