Проблема с принтером. Spooler.exe завершен

**komicar** · 05.07.2010, 14:14

Подозрения на вирусы. Проверте логи.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**PavelA** · 05.07.2010, 14:35

лог Гмера надо сделать.

**komicar** · 05.07.2010, 15:26

Можно подробнее, что за Гмер где его скачать)

**anton_dr** · 05.07.2010, 15:36

http://virusinfo.info/showthread.php?t=40118

**komicar** · 06.07.2010, 10:45

Прикладываю логи Гмера

**komicar** · 06.07.2010, 11:34

Толк с принтером будет? Или отключение службы spooler.exe с вирусами не связано?

**PavelA** · 06.07.2010, 12:06

Гмером зачистим, тогда и посмотрим. Thyrex взгляни.

**komicar** · 06.07.2010, 21:41

Ну что там вирусы есть в логах? Чистить надо что нибудь?

Или нужны еще логи?

**PavelA** · 07.07.2010, 08:32

Выполнить скрипт:

Код:

Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer; 
KeyList : TStringList;
KeyName : string;                           
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
 begin
 KeyName := AName+'\'+KeyList[i];
 RegKeyResetSecurity(ARoot, KeyName);
 RegKeyResetSecurityEx(ARoot, KeyName);
 end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
 i : integer;
 KeyList : TStringList;
 KeyName : string;                           
begin
 Result := 0;
 if StopService(AServiceName) then Result := Result or 1;
 if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
 KeyList := TStringList.Create;
 RegKeyEnumKey('HKLM','SYSTEM', KeyList);
 for i := 0 to KeyList.Count-1 do
  if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
   KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
   if RegKeyExistsEx('HKLM', KeyName) then begin
    Result := Result or 4;                  
    RegKeyResetSecurityEx('HKLM', KeyName);
    RegKeyDel('HKLM', KeyName);
    if RegKeyExistsEx('HKLM', KeyName) then               
     Result := Result or 8;                  
   end;
  end;                 
 if AIsSvcHosted then
  BC_DeleteSvcReg(AServiceName)
 else
  BC_DeleteSvc(AServiceName);
 KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_ServiceKill('mxkfzcn');
BC_Activate;
RebootWindows(true);
end.

Лог Гмера плюс логи AVZ повторить.

**komicar** · 07.07.2010, 09:13

Скрипт выполнять в AVZ?

**PavelA** · 07.07.2010, 09:30

Да, в ней. только копируйте аккуратнее.

**komicar** · 07.07.2010, 15:04

Скрипт выполнил!

Еще подозрительные файлы на диске С:

1. Файл "boots" с содержанием:

http://8.dnfcity.org:889/xz/150.exe
http://8.dnfcity.org:889/xz/55l.exe
http://8.dnfcity.org:889/xz/zj.exe
http://8.dnfcity.org:889/xz/yh2.exe

2. И файл "khs" по содержанию вроде пустой. появляется как на диске С так и на Д. Причем удаляю, и после перезагрузки опять появляеться

Прилагаю повторные логи

**PavelA** · 07.07.2010, 15:56

гмеровский лог чистый.
Скрипт выполните:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\TEMP\pwxdyfog.sys','');
 DeleteFile('C:\WINDOWS\TEMP\pwxdyfog.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Лог Мбам сделайте. 1. Файл "boots" с содержанием пришлите на проверку через карантин Avz