Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

spoolsv.exe ?

twierdza szyfrów 04 Lip 2005 22:50 43495 10
  • #1 04 Lip 2005 22:50
    twierdza szyfrów
    Poziom 15  

    Bardzo prosze o sprawdzwenie loga. proces spoolsv. exe zuzywa mi CPU 99 procent. program norton i avast nie rozpoznaja w kompie żadnego robaka. Posiadam windows XP z SP2, antywirus avast, przegladaraka Mozilla Firefox .

    Logfile of HijackThis v1.99.1
    Scan saved at 21:45:11, on 2005-07-04
    Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\LEXPPS.EXE
    C:\Program Files\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
    C:\WINDOWS\System32\LXSUPMON.EXE
    C:\Program Files\Java\jre1.5.0\bin\jusched.exe
    C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
    C:\Program Files\Winamp\winampa.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\Skype\Phone\Skype.exe
    E:\Program Files\Gadu-Gadu\gg.exe
    C:\Program Files\Tlen.pl\tlen.exe
    C:\Program Files\Adobe\Acrobat 6.0 CE\Distillr\acrotray.exe
    C:\Program Files\SAGEM\SAGEM F@st 800-840\DSLMON.exe
    C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\crypserv.exe
    C:\WINDOWS\SYSTEM32\GEARSEC.EXE
    f:\ElsaWin\bin\HostConn.exe
    f:\ElsaWin\bin\LcSvrAdm.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXAZPSWX.EXE
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXAZJSWX.EXE
    f:\ElsaWin\bin\LcSvrDba.exe
    f:\ElsaWin\bin\LcSvrHis.exe
    f:\ElsaWin\bin\LcSvrKdS.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    f:\ElsaWin\bin\VSgate.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    f:\ElsaWin\bin\LcSvrAuf.exe
    C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
    D:\emule0.46a\emule.exe
    C:\WINDOWS\system32\taskmgr.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    D:\RÓŻNE\avi problemy , soft do logów rej\do robienia logów i scanu systemu , rejestru\HijackThis.exe
    C:\WINDOWS\system32\NOTEPAD.EXE

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
    O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll




    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: WebCGMHlprObj Class - {56B38F40-4E70-11d4-A076-0080AD86BA2F} - C:\WINDOWS\cgmopenbho.dll
    O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0 CE\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0 CE\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [FineReader7NewsReaderPro] C:\Program Files\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
    O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
    O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
    O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
    O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
    O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Program Files\Corel\Corel Graphics 12\Languages\PL\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=071105 serial=DR12WNK-2764869-KBK lang=PL
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKCU\..\Run: [ ] C:\WINDOWS\System32\server c+.exe
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [Gadu-Gadu] "E:\Program Files\Gadu-Gadu\gg.exe" /tray
    O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
    O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0 CE\Distillr\acrotray.exe
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\DSLMON.exe
    O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
    O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
    O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: komentator - http://sport.onet.pl/komentator.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{6B86C07C-0C99-4FFF-9896-06EEF4FFD4B6}: NameServer = 194.204.159.1,217.30.129.149
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D742DDA4-46A6-4C77-8A54-3BFD25F3913C}: NameServer = 194.204.152.34 217.98.63.164
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
    O23 - Service: distributed.net client (dnetc) - Unknown owner - C:\WINDOWS\System32\iosdt\iosdt.exe (file missing)
    O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
    O23 - Service: ELSA HostConn Server (HostConn) - Volkswagen AG - f:\ElsaWin\bin\HostConn.exe
    O23 - Service: ELSA Administration Service (LcSvrAdm) - Volkswagen AG - f:\ElsaWin\bin\LcSvrAdm.exe
    O23 - Service: ELSA Auftragsverwaltungs Service (LcSvrAuf) - Volkswagen AG - f:\ElsaWin\bin\LcSvrAuf.exe
    O23 - Service: ELSA DBA Server (LcSvrDba) - Volkswagen AG - f:\ElsaWin\bin\LcSvrDba.exe
    O23 - Service: ELSA Historie Server (LcSvrHis) - Volkswagen AG - f:\ElsaWin\bin\LcSvrHis.exe
    O23 - Service: ELSA KD-Nummern Server (LcSvrKds) - Volkswagen AG - f:\ElsaWin\bin\LcSvrKdS.exe
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: ELSA Vaudis Service (VSGate) - Volkswagen AG - f:\ElsaWin\bin\VSgate.exe

    Dziekuje za wszelką pomoc

    0 10
  • #2 05 Lip 2005 00:04
    m_viper
    Poziom 11  

    Może to być i raczej będzie któryś z wirusów:
    Virus with same name:
    Backdoor.Ciadoor.B; VBS.Masscal.Worm (vbs); Hacktool.Privshell.
    chyba że masz jakieś problemy z drukarką, bo w Windowsie ten plik zajmuje się buforowaniem drukarki. ale raczej to będzie któryś z virusów.
    proponuje sprawdzić, albo programem avg ze strony www.avg.pl,, jest darmowy, albo mks-em adres skaner.mks.com.pl
    wg. mnie powinny coś znaleźć. ja u klientów znajdowałem virusy mks-em, a norton nic nie widział pozdrawiam !!!!

    0
  • #3 05 Lip 2005 00:18
    velhecz
    Poziom 13  

    Zatrzymaj usługę "Bufor wydruku". Jak będziesz chciał coś wydrukować to włączysz.

    1
  • #4 05 Lip 2005 10:14
    twierdza szyfrów
    Poziom 15  

    Dzieki za odpowiedzi. Wyłaczyłem go i znika ale jak znowu wejde w acrobat to pojawia sie proces acrobat exe., który robi to samo na CPU. Nigdy tego nie miałem. Moze ktos wie jakie jest zródło tego?
    Pozdr

    0
  • #6 07 Gru 2007 09:22
    redigo
    Poziom 2  

    spoolsv.exe odpowiada też za wysyłanie faksów, w pracy ciężko to wyłączyć, także mam alert związany z tym procesem, skanowanie narzędziami Microsoft jest bez sensu, jeszcze nigdy tym szajsem nic nie wykryłem, a wykrywam dużo ze względu na to gdzie chodzę po necie i kto się interesuje moja stroną (www.redigo.pl :)), mam pytanie - czy ktoś zna specyficzną szczepionkę na Backdoor.Ciadoor.B, albo może chociaż opis działania, byłbym wdzięczny za odpowiedź mailem kpyka(malpa)redigo.pl

    0
  • #7 07 Gru 2007 10:43
    Kolobos
    Spec od komputerów

    :arrow: redigo
    To jest forum, a nie lista mailingowa!
    Slyszales kiedys o wyszukiwarce?
    http://www.google.pl/search?hl=pl&q=Backdoor.Ciadoor

    Szczepionki nie sa potrzebne, trojany i inne robaki usuwa sie recznie. Jak masz z tym problem to daj w zalaczniku log z combofix oraz hijackthis.

    0
  • #9 07 Gru 2007 11:55
    Kolobos
    Spec od komputerów

    Uzywaj przycisku ZMIEN zamiast pisac post pod postem.

    Odinstaluj Spyware Terminator, zrob skan przy pomocy SuperAntiSpyware.
    Daj w zalaczniku log z SDFix zrobiony w trybie awaryjnym.

    Usun z dysku:
    C:\WINDOWS\system32\w32apiw.dll
    C:\WINDOWS\_dein.exe

    -1
  • #10 10 Gru 2007 10:41
    redigo
    Poziom 2  

    Wykonałem zgodnie z radą, Super Anti Spyware nie znalazł nic chociaż zajęło mu to ponad 4 godziny. SDFix jak widać w załączeniu usunął plik DLL, tylko w związku z tym mam 2 pytania:
    1. Czy teraz usunąć SAS i zainstalować z po wrotem Terminatora (teraz nie ma włączonej tarczy a jednak Treminator systematycznie coś wyłapuje)? A może zostawić SAS i czasami zapuszczać, a Terminatora włączyć i tak?
    2. Sam dll nie jest trojanem, szukać dalej czy uznać, że to już wystarczy.

    0
  • #11 10 Gru 2007 11:28
    Kolobos
    Spec od komputerów

    Log juz wyglada ok, wiec nie trzeba chyba dalej szukac jezeli problem nie wystepuje. Terminator to program o watpliwej reputacji, wiec lepiej go zmienic na cos innego.

    0