Проблема с принтером. Spooler.exe завершен

Printable View

05.07.2010, 14:14
komicar

Проблема с принтером. Spooler.exe завершен

Подозрения на вирусы. Проверте логи.
05.07.2010, 14:35
PavelA

лог Гмера надо сделать.
05.07.2010, 15:26
komicar

Можно подробнее, что за Гмер где его скачать)
05.07.2010, 15:36
anton_dr

[url]http://virusinfo.info/showthread.php?t=40118[/url]
06.07.2010, 10:45
komicar

Прикладываю логи Гмера
06.07.2010, 11:34
komicar

Толк с принтером будет? Или отключение службы spooler.exe с вирусами не связано?
06.07.2010, 12:06
PavelA

Гмером зачистим, тогда и посмотрим. [B]Thyrex[/B] взгляни.
06.07.2010, 21:41
komicar

Ну что там вирусы есть в логах? Чистить надо что нибудь?

Или нужны еще логи?
07.07.2010, 08:32
PavelA

Выполнить скрипт:
[CODE]
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_ServiceKill('mxkfzcn');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Лог Гмера плюс логи AVZ повторить.
07.07.2010, 09:13
komicar

Скрипт выполнять в AVZ?
07.07.2010, 09:30
PavelA

Да, в ней. только копируйте аккуратнее.
07.07.2010, 15:04
komicar

Скрипт выполнил!

Еще подозрительные файлы на диске С:

1. Файл "boots" с содержанием:

[url]http://8.dnfcity.org:889/xz/150.exe[/url]
[url]http://8.dnfcity.org:889/xz/55l.exe[/url]
[url]http://8.dnfcity.org:889/xz/zj.exe[/url]
[url]http://8.dnfcity.org:889/xz/yh2.exe[/url]

2. И файл "khs" по содержанию вроде пустой. появляется как на диске С так и на Д. Причем удаляю, и после перезагрузки опять появляеться

Прилагаю повторные логи
07.07.2010, 15:56
PavelA

гмеровский лог чистый.
Скрипт выполните:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\pwxdyfog.sys','');
DeleteFile('C:\WINDOWS\TEMP\pwxdyfog.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Лог Мбам сделайте. 1. Файл "boots" с содержанием пришлите на проверку через карантин Avz
07.07.2010, 20:08
komicar

Лог [U]Мбам[/U] сделайте. Каким образом он делается?
07.07.2010, 20:15
pig

[url]http://virusinfo.info/showthread.php?t=53070[/url]