проблемы со spoolsv

Printable View

11.04.2011, 07:03
evoname

проблемы со spoolsv

Недавно принимали документ по почте на машинке, после этого вываливается при загрузке spoolsv.exe (типа память не может быть read). Есть подозрение, что подменен, при загрузке система нереально тормозит, прибитие spoolsv помогает избавиться от тормозов. Помогите поймать зловреда(ов). Спасибо!
11.04.2011, 07:48
polword

-[URL="http://virusinfo.info/showthread.php?t=4491"]Профиксите[/URL] в HijackThis
[CODE]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nvk-russia.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
[/CODE]
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
11.04.2011, 08:25
evoname

пожалуйста!
11.04.2011, 10:16
evoname

В принципе проблему решил таким скриптом
net stop spooler
del /S /Q c:\windows\system32\Spool\Printers\*
net start spooler

предварительно на всякий случай заменив spoolsv.exe на заведомо чистый с инсталляционного диска.

[size="1"][color="#666686"][B][I]Добавлено через 57 минут[/I][/B][/color][/size]

в логах я так понял кроме вебальты ничего лишнего?
13.04.2011, 00:08
thyrex

Именно так
19.04.2011, 13:30
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Documents and Settings\secretar\Рабочий стол\пересылки\Оксана Суспицына (СЦБУ)\Christmas.exe','');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ChristmasTree');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы