Elektroda.pl
Elektroda.pl
X
Serwerowe OpowieściSerwerowe Opowieści
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

SPOOLER.EXE - do czego to jest

14 Maj 2005 20:09 4840 11
  • Poziom 16  
    Witam

    Przeinstalowałem sobie system i dla sprawdzenia włączyłem sobie msconfig a tam w uruchamianiu widnieje że uruchamia się coś takiego jak
    SPOOLER.EXE a wczesniej tego nie bylo tak wiec sie pytam co to moze byc i do czego to moze byc oraz czy jest to wymagane i potrzebne w poprawnym działaniu (choć tu bym się zastanawiał bo nigdy tego nie miałem)
    A żeby było śmieszniej to za każdym razem gdy to wyłącze to po restarcie jest od nowa, a mama Win XP jeszcze bez żadnego SP bo dopiero co skonczyłem instalować i chciałbym wyjaśnić sprawę tego SPOOLERA'a
  • Serwerowe OpowieściSerwerowe Opowieści
  • Poziom 20  
    zdaje się że trojan ci wskoczył na twardziela. odpal jakiś antywirus online i przeskanuj dysk np. www.mks.com.pl.
  • Serwerowe OpowieściSerwerowe Opowieści
  • Pomocny post
    Poziom 35  
    O ile się nie mylę, to masz trojana w kompie Backdoor.Sdbot. przeskanuj kompa mks-em online. powinien to wykryć.
    A jak nie, to ściagnij sobie HijackThis stąd http://www.merijn.org/files/hijackthis.zip przeskanuj kompa i wklej tu log.
  • Poziom 16  
    OK więc loga załanczam teraz i przeskanuje kompa to dam znać czy coś wykrył. Powiedzcie mi jeszcze jak poznac z takiego loga co jest syfem, a co OK jest gdzieś jakiś spis może ??

    Logfile of HijackThis v1.99.1
    Scan saved at 11:09:55, on 2005-05-15
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    D:\programy\DU Meter\DUMeter.exe
    C:\WINDOWS\System32\SPOOLER.EXE
    C:\Program Files\Gadu-Gadu\gg.exe
    C:\Program Files\Mozilla Thunderbird\thunderbird.exe
    C:\WINDOWS\System32\wuauclt.exe
    D:\programy\Star Downloader\stardown.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\Katalog tymczasowy 2 dla hijackthis.zip\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
    O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - D:\programy\STARDO~1\SDIEInt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [DU Meter] D:\programy\DU Meter\DUMeter.exe
    O4 - HKLM\..\Run: [Windows System Gateway ] SPOOLER.EXE
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O4 - HKLM\..\RunServices: [Windows System Gateway ] SPOOLER.EXE
    O4 - HKCU\..\Run: [Windows System Gateway ] SPOOLER.EXE
    O8 - Extra context menu item: Download with Star Downloader - D:\programy\Star Downloader\sdie.htm
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consu...ls/en/x86/client/wuweb_site.cab?1116056479578
    O17 - HKLM\System\CCS\Services\Tcpip\..\{30283206-734F-4DE1-8170-2347B5A76F6C}: NameServer = 194.204.152.34 217.98.63.164
    O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe
  • Pomocny post
    Poziom 35  
    Ściągnij Killbox http://www.greyknight17.com/spy/KillBox.exe. Uruchamiasz KillBox i tam zaznaczasz w nim opcję Delete on reboot a w pustym polu po kolei wklejasz: C:\WINDOWS\System32\hwclock.exe. Zatwierdzasz i reset kompa. Potem startujesz w awaryjnym, odznaczasz poniższe wpisy w hijacku i fix.
    Cytat:
    O4 - HKLM\..\Run: [Windows System Gateway ] SPOOLER.EXE
    O4 - HKLM\..\RunServices: [Windows System Gateway ] SPOOLER.EXE
    O4 - HKCU\..\Run: [Windows System Gateway ] SPOOLER.EXE
    O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe
  • Poziom 16  
    ok usuniete jest ale bez pozycji

    Cytat:
    O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe


    bo ciągle się ona odnawia ale to jest jakiś sterownik zegara i chyba tego nie trzeba wywalać
  • Poziom 16  
    OK to następnym razem to trzeba będzie po każdej instalacji oraz co jakiś czas sprawdzać czy nie ma jakiegoś BUG'a, a jak łatwo rozróżnić czy dany uruchomiony plik jest syfem czy plikiem systemowym - sprawdzać wszystko w googlach po kolei??
  • Pomocny post
    Poziom 35  
    nietophez napisał:
    ok usuniete jest ale bez pozycji

    Cytat:
    O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe


    bo ciągle się ona odnawia ale to jest jakiś sterownik zegara i chyba tego nie trzeba wywalać

    Co to jest to przeczytasz tu http://www.wiruspc.pl/wykaz/details.php?virus=6657
    W związku z tym iż nie masz w kompie żadnego antywira, przeskanuj kompa skanerami online (użyj kilku) http://helpdesk.w.szu.pl/helpdesk.php?pomoc=h4
    Jak skanery usuną pliki wirusa, wejdź do rejestru i postępuj według rad symanteca.
    Cytat:
    4. To delete the value from the registry
    Important: Symantec strongly recommends that you back up the registry before making any changes to it. Incorrect changes to the registry can result in permanent data loss or corrupted files. Modify the specified subkeys only. Read the document, "How to make a backup of the Windows registry," for instructions.

    - Click Start > Run.
    - Type regedit

    Then click OK.


    - Navigate to and delete the subkeys:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINPNP32
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winpnp32


    - Navigate to the subkey:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole


    - In the right pane, delete the value:

    "EnableDCOM" = "Y"


    - Navigate to the subkey:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa


    - In the right pane, delete the value:

    "restrictanonymous" = "dword:00000001"


    - Exit the Registry Editor.
  • Poziom 16  
    no to teraz wszystko juz gra a za linki wielkie dzieki przydadza się napewno, bo to dobra sprawa zwłaszcza taki spisik procesów ;)

    Moderowany przez jankolo:

    Wszystko wyjaśnione temat zamykam.
    Jeśli zaistnieje taka potrzeba by post został otwarty proszę dać wiadomość na PW i podać link do postu.