| Author |
Message
|
twierdza szyfrów
Poziom 14
Joined: 25 Sep 2004
Posts: 184
Location: dolnyslask
|
 #1
 04 Jul 2005 21:50 spoolsv.exe ? |
|
|
|
Bardzo prosze o sprawdzwenie loga. proces spoolsv. exe zuzywa mi CPU 99 procent. program norton i avast nie rozpoznaja w kompie żadnego robaka. Posiadam windows XP z SP2, antywirus avast, przegladaraka Mozilla Firefox .
Logfile of HijackThis v1.99.1
Scan saved at 21:45:11, on 2005-07-04
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Skype\Phone\Skype.exe
E:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Tlen.pl\tlen.exe
C:\Program Files\Adobe\Acrobat 6.0 CE\Distillr\acrotray.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\DSLMON.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
f:\ElsaWin\bin\HostConn.exe
f:\ElsaWin\bin\LcSvrAdm.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXAZPSWX.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXAZJSWX.EXE
f:\ElsaWin\bin\LcSvrDba.exe
f:\ElsaWin\bin\LcSvrHis.exe
f:\ElsaWin\bin\LcSvrKdS.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
f:\ElsaWin\bin\VSgate.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
f:\ElsaWin\bin\LcSvrAuf.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
D:\emule0.46a\emule.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\RÓŻNE\avi problemy , soft do logów rej\do robienia logów i scanu systemu , rejestru\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WebCGMHlprObj Class - {56B38F40-4E70-11d4-A076-0080AD86BA2F} - C:\WINDOWS\cgmopenbho.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0 CE\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0 CE\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] C:\Program Files\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Program Files\Corel\Corel Graphics 12\Languages\PL\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=071105 serial=DR12WNK-2764869-KBK lang=PL
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ ] C:\WINDOWS\System32\server c+.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Gadu-Gadu] "E:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0 CE\Distillr\acrotray.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\DSLMON.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: komentator - http://sport.onet.pl/komentator.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6B86C07C-0C99-4FFF-9896-06EEF4FFD4B6}: NameServer = 194.204.159.1,217.30.129.149
O17 - HKLM\System\CCS\Services\Tcpip\..\{D742DDA4-46A6-4C77-8A54-3BFD25F3913C}: NameServer = 194.204.152.34 217.98.63.164
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: distributed.net client (dnetc) - Unknown owner - C:\WINDOWS\System32\iosdt\iosdt.exe (file missing)
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: ELSA HostConn Server (HostConn) - Volkswagen AG - f:\ElsaWin\bin\HostConn.exe
O23 - Service: ELSA Administration Service (LcSvrAdm) - Volkswagen AG - f:\ElsaWin\bin\LcSvrAdm.exe
O23 - Service: ELSA Auftragsverwaltungs Service (LcSvrAuf) - Volkswagen AG - f:\ElsaWin\bin\LcSvrAuf.exe
O23 - Service: ELSA DBA Server (LcSvrDba) - Volkswagen AG - f:\ElsaWin\bin\LcSvrDba.exe
O23 - Service: ELSA Historie Server (LcSvrHis) - Volkswagen AG - f:\ElsaWin\bin\LcSvrHis.exe
O23 - Service: ELSA KD-Nummern Server (LcSvrKds) - Volkswagen AG - f:\ElsaWin\bin\LcSvrKdS.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ELSA Vaudis Service (VSGate) - Volkswagen AG - f:\ElsaWin\bin\VSgate.exe
Dziekuje za wszelką pomoc
|
|
| Back to top |
|
 |
m_viper
Poziom 8
Joined: 23 Apr 2004
Posts: 26
|
#2
04 Jul 2005 23:04 Re: spoolsv.exe ? |
|
|
|
Może to być i raczej będzie któryś z wirusów:
Virus with same name:
Backdoor.Ciadoor.B; VBS.Masscal.Worm (vbs); Hacktool.Privshell.
chyba że masz jakieś problemy z drukarką, bo w Windowsie ten plik zajmuje się buforowaniem drukarki. ale raczej to będzie któryś z virusów.
proponuje sprawdzić, albo programem avg ze strony www.avg.pl, jest darmowy, albo mks-em adres skaner.mks.com.pl
wg. mnie powinny coś znaleźć. ja u klientów znajdowałem virusy mks-em, a norton nic nie widział pozdrawiam !!!!
|
|
| Back to top |
|
|
velhecz
Poziom 13
Joined: 17 Jun 2005
Posts: 122
Location: podkarpacie
|
#3
04 Jul 2005 23:18 Re: spoolsv.exe ? |
|
|
|
Zatrzymaj usługę "Bufor wydruku". Jak będziesz chciał coś wydrukować to włączysz.
|
|
| Back to top |
|
|
Google
|
| #
04 Jul 2005 23:18 |
|
|
|
|
|
| Back to top |
|
|
twierdza szyfrów
Poziom 14
Joined: 25 Sep 2004
Posts: 184
Location: dolnyslask
|
#4
05 Jul 2005 09:14 Re: spoolsv.exe ? |
|
|
|
Dzieki za odpowiedzi. Wyłaczyłem go i znika ale jak znowu wejde w acrobat to pojawia sie proces acrobat exe., który robi to samo na CPU. Nigdy tego nie miałem. Moze ktos wie jakie jest zródło tego?
Pozdr
|
|
| Back to top |
|
|
Kolobos
Poziom 26
Joined: 13 Jun 2003
Posts: 26223
Location: Warszawa
|
|
| Back to top |
|
|
redigo
Poziom 2
Joined: 07 Dec 2007
Posts: 3
Location: Wrocław
|
#6
07 Dec 2007 09:22 Re: spoolsv.exe ? |
|
|
|
spoolsv.exe odpowiada też za wysyłanie faksów, w pracy ciężko to wyłączyć, także mam alert związany z tym procesem, skanowanie narzędziami Microsoft jest bez sensu, jeszcze nigdy tym szajsem nic nie wykryłem, a wykrywam dużo ze względu na to gdzie chodzę po necie i kto się interesuje moja stroną (www.redigo.pl :)), mam pytanie - czy ktoś zna specyficzną szczepionkę na Backdoor.Ciadoor.B, albo może chociaż opis działania, byłbym wdzięczny za odpowiedź mailem kpyka(malpa)redigo.pl
|
|
| Back to top |
|
|
Google
|
| #
07 Dec 2007 09:22 |
|
|
|
|
|
| Back to top |
|
|
Kolobos
Poziom 26
Joined: 13 Jun 2003
Posts: 26223
Location: Warszawa
|
#7
07 Dec 2007 10:43 Re: spoolsv.exe ? |
|
|
|
:arrow: redigo
To jest forum, a nie lista mailingowa!
Slyszales kiedys o wyszukiwarce?
http://www.google.pl/search?hl=pl&q=Backdoor.Ciadoor
Szczepionki nie sa potrzebne, trojany i inne robaki usuwa sie recznie. Jak masz z tym problem to daj w zalaczniku log z combofix oraz hijackthis.
|
|
| Back to top |
|
|
redigo
Poziom 2
Joined: 07 Dec 2007
Posts: 3
Location: Wrocław
|
#8
07 Dec 2007 11:33 Re: spoolsv.exe ? |
|
|
|
załączam
| Description: |
|
Download |
| Filename: |
log.txt |
| Contents: |
|
| Filesize: |
15.95 KB |
| Punkty: |
0.00 |
|
|
| Back to top |
|
|
Kolobos
Poziom 26
Joined: 13 Jun 2003
Posts: 26223
Location: Warszawa
|
#9
07 Dec 2007 11:55 Re: spoolsv.exe ? |
|
|
|
Uzywaj przycisku ZMIEN zamiast pisac post pod postem.
Odinstaluj Spyware Terminator, zrob skan przy pomocy SuperAntiSpyware.
Daj w zalaczniku log z SDFix zrobiony w trybie awaryjnym.
Usun z dysku:
C:\WINDOWS\system32\w32apiw.dll
C:\WINDOWS\_dein.exe
|
|
| Back to top |
|
|
Google
|
| #
07 Dec 2007 11:55 |
|
|
|
|
|
| Back to top |
|
|
redigo
Poziom 2
Joined: 07 Dec 2007
Posts: 3
Location: Wrocław
|
#10
10 Dec 2007 10:41 Re: spoolsv.exe ? |
|
|
|
Wykonałem zgodnie z radą, Super Anti Spyware nie znalazł nic chociaż zajęło mu to ponad 4 godziny. SDFix jak widać w załączeniu usunął plik DLL, tylko w związku z tym mam 2 pytania:
1. Czy teraz usunąć SAS i zainstalować z po wrotem Terminatora (teraz nie ma włączonej tarczy a jednak Treminator systematycznie coś wyłapuje)? A może zostawić SAS i czasami zapuszczać, a Terminatora włączyć i tak?
2. Sam dll nie jest trojanem, szukać dalej czy uznać, że to już wystarczy.
| Description: |
|
Download |
| Filename: |
Report.txt |
| Contents: |
|
| Filesize: |
2.13 KB |
| Punkty: |
0.00 |
|
|
| Back to top |
|
|
Kolobos
Poziom 26
Joined: 13 Jun 2003
Posts: 26223
Location: Warszawa
|
#11
10 Dec 2007 11:28 Re: spoolsv.exe ? |
|
|
|
Log juz wyglada ok, wiec nie trzeba chyba dalej szukac jezeli problem nie wystepuje. Terminator to program o watpliwej reputacji, wiec lepiej go zmienic na cos innego.
|
|
| Back to top |
|
|
