Логи теперь прикрепил правильные, посмотрите пожалуйста, ещё раз.
Симптомы:
после полдня работы в 1с и лазания по папкам перестаёт посылать на принтер через сеть (принтер недоступен, не заходит в свойства принтера - подсистема печати недоступна), грохаешь spoolsv.exe, перезапускаешь диспетчер печати - снова посылает, но через 5 минут опять прекращает, и дальше не дольше 5ти минут можно работать, надо опять диспетчер перезапускать.
(в этот момент hijackthis про 2 процесса выдаёт, что (file missing).)
Касперским демонстрационным с последними базами 11.12.06 проверял, нашёл 15 экземпляров 4-х троянов, все удалил, перезагрузился. В результате лечения пропала левая половина окошка "панель управления" на которой предлагаются типичные действия. Ещё перед этим успешно удалился троян vbsys2.dll. Посылка на принтер по-прежнему со временем самопрекращается (spoolsv.exe точно кто-то подменяет, какой-то никому неизвестный троян!).
А следующие необычности не отлавливаются ни drw, ни NOD, ни avp; ни тут, ни на других компьютерах, ни при вставлении винта в чистый компьютер. Они появились позднее проблемы с принтером, видимо после ПОЛНОЙ проверки компьютера антивирусом AVP(здесь) или drweb(на том, куда посылаешь печатать):
1)taskmgr не показывает имя запустившего для всех обычных процессов, кроме Бездействия, System и новых запускаемых время от времени
2)на том компе, куда посылаешь, все обычные процессы в taskmgr ЗАГЛАВНЫМИ буквами; и ещё на третьем - тоже заглавными.
По сети эти 2 эффекта сами не расползаются, только когда с заражаемого компа лазишь по папкам, заходишь в свойства файла, запускаешь кейгены (точно не выяснено когда.). На первом компьютере и дома AVP увидел что при поднятии vpn пооткрывалось по разу защищённое соединение по порту 443 с 66.211.168.65 имя сертификата www.paypal.com соединение не установлено; или 216.73.87.61 *.doubleclick.net; или 216.113.188.35 www.paypal.com - после перезагрузки переходило к следующему адресу, всего было 3 и после этого навсегда перестало.
на изучаемом компе возможен инет через модем, а также через vpn(он поднимается только при необходимости; сетевое подключение, нужное для vpn, подключено всегда; всё кроме tcpip в его свойствах отключил) и наша локалка висящая на отдельной сетевой карточке - с упомянутым [принтером-usb на упомянутом втором компе]. Выход в локальную сеть провайдера защищён брандмауэром, выход в свою сеть где принтер - не защищён.
Home XP лиц.(1й комп) обновилась 67 обновлений, в момент обновления в taskmgr висят два wuaclt.exe - один от SYSTEM, другой от пользователя - Это нормально что их два?
После пары часов работы на том же компе в стандартном брандмауэре (SP2) самовключается исключение "Общий доступ к файлам и принтерам".IMHO опасно что интернет дома и на работе поступает через кабель ethernet, значит наверняка найдутся в таких локалках люди, пожелавшие чуть-чуть изменить вирь до неузнаваемости и с его помощью хакать бесплатно соседей.
Последний раз редактировалось ivan1; 15.12.2006 в 19:55.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Новая информация: когда сегодня из ворда незапечатал, я перезапустил диспетчер печати, и во _время перезапуска касперский сообщил что spoolsv.exe изменился. Это он типа стал нормальным. А потом сказал, что в связи с процессом system32\spoolsv.exe загружается новый или изменённый модуль ssgS1.DLL_
(c:\windows\system32\spool\drivers\w32x86\3\ssgS1. DLL) производитель Samsung, Printhru Printer Driver
я запретил, не печатает. Перезагрузился - запечатало. Перезапустил службу - перестало печатать. Вручную вернул изменения в настройках avp - стало печатать и после перезапуска службы.
spoolsv.exe прислать, когда перестанет печатать(типа изменится)?
Последний раз редактировалось ivan1; 14.12.2006 в 09:42.
У меня такое ощущение, что контроль компонентов KIS конфликтует с CryptoPro.
Ну вобщем проактивная защита AVP говорила, что загружается изменённый cpcrypt.dll и ещё один такой же crypt - это в момент когда заходишь в свойства компьютера. Другой народ, скажите деинсталировать что-ли CryptoPro?! Свистните, это я могу, всё равно похоже, винду сносить.
Вообще такие шифровалки с бухты-барахты не ставятся. Снесёте - что-то ещё перестанет работать. Хотя вам виднее, что и зачем на этой машине стоит.
Отправка платёжек в банк по модему через T-mail;
Будет отправка налоговой отчётности через интернет - с нового года,
и к тому моменту надо бы чтоб быстро заработало, сейчас весь интерфейс explorera сильно тормозит - между окнами переключаешься, по меню лазишь..
Следующие полмесяца шифрование не нужно - я бы удалил, но печати не поможет, она же стала плохо работать ещё до установки avp!
Тормоза были ещё 3 мес назад когда я пришёл, потом месяц назад испортилась печать, и только 10 дней назад я сменил антивирус на демонстрационный AVP, тоесть обновляемый.
Последний раз редактировалось ivan1; 15.12.2006 в 19:44.
AVP 6.0.1.411 ежедневно обновляющийся (demo, ещё полмесяца проработает)
Ему в настройку "контроль целостности" "разрешить загрузку в любые процессы следующих компонентов" я давно добавил туда весь каталог Crypto Pro. Больше нет сообщений на экране про него, только про другие нормальные dll в логах часто пишет что загрузка нового модуля в процесс, дочерний процесс у svchost..
Сегодня наконец обновилась винда, но печать всё равно прекращается; а если запустишь автодобавление всего в карантин, или ручками начнёшь spoolsv.exe копировать, то печать сразу налаживается, почему-то.
Интерфейс explorer'а так и тормозит(проц не загружен) как все 3 месяца тормозило, и исключение "общего доступа к фалам и папкам" опять в брандмауэре добавилось; но вы погодите пока со мной париться, тут монитор начал обнаруживать Trojan-Proxy.Win32.Horst.js в папке восстановления системы, я почитал и думаю что какой-то неизвестный Trojan.Downloader работает и его туда скачивает. А могут они сами проникать из интернета через дыру в обновлённой винде или через незащищённое подключение нашей локалки?
Про дополнительные хитрости, которые надо было выполнить при удалении Horst'а я пока ничего не нашёл.
Последний раз редактировалось ivan1; 15.12.2006 в 23:09.
Уважаемый(ая) ivan1, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: