перестаёт посылать на принтер через сеть

Printable View

13.12.2006, 13:31
ivan1

Вложений: 3

перестаёт посылать на принтер через сеть

Логи теперь прикрепил правильные, посмотрите пожалуйста, ещё раз.

Симптомы:

после полдня работы в 1с и лазания по папкам перестаёт посылать на принтер через сеть (принтер недоступен, не заходит в свойства принтера - подсистема печати недоступна), грохаешь spoolsv.exe, перезапускаешь диспетчер печати - снова посылает, но через 5 минут опять прекращает, и дальше не дольше 5ти минут можно работать, надо опять диспетчер перезапускать.
(в этот момент hijackthis про 2 процесса выдаёт, что (file missing).)

Касперским демонстрационным с последними базами 11.12.06 проверял, нашёл 15 экземпляров 4-х троянов, все удалил, перезагрузился. В результате лечения пропала левая половина окошка "панель управления" на которой предлагаются типичные действия. Ещё перед этим успешно удалился троян vbsys2.dll. Посылка на принтер по-прежнему со временем самопрекращается (spoolsv.exe точно кто-то подменяет, какой-то никому неизвестный троян!).

А следующие необычности не отлавливаются ни drw, ни NOD, ни avp; ни тут, ни на других компьютерах, ни при вставлении винта в чистый компьютер. Они появились позднее проблемы с принтером, видимо после ПОЛНОЙ проверки компьютера антивирусом AVP(здесь) или drweb(на том, куда посылаешь печатать):
1)taskmgr не показывает имя запустившего для всех обычных процессов, кроме Бездействия, System и новых запускаемых время от времени

2)на том компе, куда посылаешь, все обычные процессы в taskmgr ЗАГЛАВНЫМИ буквами; и ещё на третьем - тоже заглавными.
По сети эти 2 эффекта сами не расползаются, только когда с заражаемого компа лазишь по папкам, заходишь в свойства файла, запускаешь кейгены (точно не выяснено когда.). На первом компьютере и дома AVP увидел что при поднятии vpn пооткрывалось по разу защищённое соединение по порту 443 с 66.211.168.65 имя сертификата [url]www.paypal.com[/url] соединение не установлено; или 216.73.87.61 *.doubleclick.net; или 216.113.188.35 [url]www.paypal.com[/url] - после перезагрузки переходило к следующему адресу, всего было 3 и после этого навсегда перестало.

на изучаемом компе возможен инет через модем, а также через vpn(он поднимается только при необходимости; сетевое подключение, нужное для vpn, подключено всегда; всё кроме tcpip в его свойствах отключил) и наша локалка висящая на отдельной сетевой карточке - с упомянутым [принтером-usb на упомянутом втором компе]. Выход в локальную сеть провайдера защищён брандмауэром, выход в свою сеть где принтер - не защищён.
Home XP лиц.(1й комп) обновилась 67 обновлений, в момент обновления в taskmgr висят два wuaclt.exe - один от SYSTEM, другой от пользователя - Это нормально что их два?

После пары часов работы на том же компе в стандартном брандмауэре (SP2) самовключается исключение "Общий доступ к файлам и принтерам".IMHO опасно что интернет дома и на работе поступает через кабель ethernet, значит наверняка найдутся в таких локалках люди, пожелавшие чуть-чуть изменить вирь до неузнаваемости и с его помощью хакать бесплатно соседей.
13.12.2006, 20:25
pig

Приложите нормальные логи AVZ. Или скрипты не отрабатывают?
13.12.2006, 20:40
ivan1

логи я не те что нужно прислал

Сегодня заново собрал логи, они в первом письме. Восстановление системы отключал.

в брандмауэре виндоус опять включилось исключение для общего доступа к файлам и папкам
14.12.2006, 09:29
ivan1

Новая информация: когда сегодня из ворда незапечатал, я перезапустил диспетчер печати, и во _время перезапуска касперский сообщил что spoolsv.exe изменился. Это он типа стал нормальным. А потом сказал, что в связи с процессом system32\spoolsv.exe загружается новый или изменённый модуль ssgS1.DLL_
(c:\windows\system32\spool\drivers\w32x86\3\ssgS1.DLL) производитель Samsung, Printhru Printer Driver
я запретил, не печатает. Перезагрузился - запечатало. Перезапустил службу - перестало печатать. Вручную вернул изменения в настройках avp - стало печатать и после перезапуска службы.

spoolsv.exe прислать, когда перестанет печатать(типа изменится)?
14.12.2006, 12:05
pig

У меня такое ощущение, что контроль компонентов KIS конфликтует с CryptoPro.
14.12.2006, 20:20
ivan1

[QUOTE=pig;87656]У меня такое ощущение, что контроль компонентов KIS конфликтует с CryptoPro.[/QUOTE]

Ну вобщем проактивная защита AVP говорила, что загружается изменённый cpcrypt.dll и ещё один такой же crypt - это в момент когда заходишь в свойства компьютера. Другой народ, скажите деинсталировать что-ли CryptoPro?! Свистните, это я могу, всё равно похоже, винду сносить.
14.12.2006, 21:41
pig

Вообще такие шифровалки с бухты-барахты не ставятся. Снесёте - что-то ещё перестанет работать. Хотя вам виднее, что и зачем на этой машине стоит.
15.12.2006, 09:57
ivan1

[QUOTE=pig;87732]Вообще такие шифровалки с бухты-барахты не ставятся. Снесёте - что-то ещё перестанет работать. Хотя вам виднее, что и зачем на этой машине стоит.[/QUOTE]

Отправка платёжек в банк по модему через T-mail;
Будет отправка налоговой отчётности через интернет - с нового года,
и к тому моменту надо бы чтоб быстро заработало, сейчас весь интерфейс explorera сильно тормозит - между окнами переключаешься, по меню лазишь..
Следующие полмесяца шифрование не нужно - я бы удалил, но печати не поможет, она же стала плохо работать ещё до установки avp!
Тормоза были ещё 3 мес назад когда я пришёл, потом месяц назад испортилась печать, и только 10 дней назад я сменил антивирус на демонстрационный AVP, тоесть обновляемый.
15.12.2006, 11:46
pig

KAV какой версии стоит? Может, обновить его и настройки покрутить, чтобы до CryptoPro не докапывался понапрасну?
15.12.2006, 12:54
ivan1

AVP 6.0.1.411 ежедневно обновляющийся (demo, ещё полмесяца проработает)
Ему в настройку "контроль целостности" "разрешить загрузку в любые процессы следующих компонентов" я давно добавил туда весь каталог Crypto Pro. Больше нет сообщений на экране про него, только про другие нормальные dll в логах часто пишет что загрузка нового модуля в процесс, дочерний процесс у svchost..

Сегодня наконец обновилась винда, но печать всё равно прекращается; а если запустишь автодобавление всего в карантин, или ручками начнёшь spoolsv.exe копировать, то печать сразу налаживается, почему-то.

Интерфейс explorer'а так и тормозит(проц не загружен) как все 3 месяца тормозило, и исключение "общего доступа к фалам и папкам" опять в брандмауэре добавилось; но вы погодите пока со мной париться, тут монитор начал обнаруживать Trojan-Proxy.Win32.Horst.js в папке восстановления системы, я почитал и думаю что какой-то неизвестный Trojan.Downloader работает и его туда скачивает. А могут они сами проникать из интернета через дыру в обновлённой винде или через незащищённое подключение нашей локалки?
Про дополнительные хитрости, которые надо было выполнить при удалении Horst'а я пока ничего не нашёл.