Решена - Вирусы испортили систему работы принтера

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем moskwi4, 11 май 2012.

  1. moskwi4

    moskwi4 Junior User

    Есть компьютер под управлением Win XP SP2. Он входит в Active Directory. На нем настроен доступ к сетевому принтеру.
    Всё работало, но после праздников вирусы пролезли через необновленный лицензионный Каспер и порушили связь с принтером.

    При попытке посмотреть свойства принтера выдается сообщение "Не удается отобразить свойства принтера. Подсистема печати недоступна.".
    Перезагрузка помогает, но потом опять перестает печатать.
    Прогнал проверку Spyware Terminator, он что-то почистил, но проблема не
    устранилась. Свежий Cure It не помогает. Сканирование обновленным Каспером не помогает (((

    Пытался исправить проблему, как написано тут:
    http://shkolazhizni.ru/archive/0/n-14979/
    Но в диспетчере задач висит spoolsvv.exe (в безопасном режиме его нет), если его удалить, он появляется снова. Также есть файлик \WINDOWS\system32\spoolsvv.exe, удаляешь его - появляется снова.
    Похоже, что-то где-то недолечено.
    Как добить заразу и восстановить работоспособность подсистемы печати? Подскажите, пожалуйста, что делать?

    Сделал требуемые логи (из безопасного режима).
    ссылки:

    http://zalil.ru/33216213
    http://zalil.ru/33216215
    http://zalil.ru/33216217
     
  2. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    Здравствуйте!

    Выполните следующий скрипт в uVS:
    - запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
    - копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);
    Код:
    ;;uVS v3.75 BETA1 script [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    
    deltmp
    delnfr
    delref HTTP://MAIL.RU/CNT/7993/
    delref HTTP://WEBALTA.RU
    delref HTTP://WEBALTA.RU/POISK
    delref HTTP://WWW.MAIL.RU/CNT/7823
    bl 19BAD7ED0324C48A0DEE5243CB5D587F 851768
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER_02\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
    exec C:\PROGRAM FILES\ICQ6TOOLBAR\ICQUNTOOLBAR.EXE
    exec C:\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRUSPUTNIK.EXE UNINSTALL
    exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
    restart
    - затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
    - скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
    - обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
    - ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
    - по окончанию выполнения скрипта компьютер перезагрузится;
    - после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.
     
  3. moskwi4

    moskwi4 Junior User

    Спасибо. Сделал сканирование в uVS в безопасном режиме, поудалялись какие-то тулбары, прописанные в скрипте, после чего комп перезагрузился.
    Потом в нормальном режиме (при включенном Каспере) прогнал Mbam. В соответствии с инструкцией удалять ничего не стал.
    Ссылка на лог:
    http://zalil.ru/33217096
     
  4. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    Найденное удалить. Проверить как себя ведет принтер.
     
  5. moskwi4

    moskwi4 Junior User

    Удалил. Но принтер нормально работать не хочет. Один раз после загрузки системы печатает, потом выдается сообщение "Не удается отобразить свойства принтера. Подсистема печати недоступна.".
    Служба Диспетчер очереди печати (Print Spooler) работает без остановок.
    Хотя вирусы и вылечены, еще нужно как-то устранить последствия их деятельности?
    Заранее благодарен.
     
    Последнее редактирование: 11 май 2012
  6. oleg

    oleg Expert Вирусоборец

    Зайдите в пуск - настройка - панель управления - Администрирование - службы, найдите "диспетчер очереди печати", нажмите правой кнопкой по ней и нажмите запустить либо перезапустить.
     
  7. moskwi4

    moskwi4 Junior User

    Служба Диспетчер очереди печати (Print Spooler) работает без остановок.
    Захожу в Принтеры и факсы, вижу подключенные сетевые принтеры. Под ними подсказка "Открытие". Через некоторое время подсказка меняется на "Подключиться не удалось". Соответственно, не удается распечатать документ, и не удается посмотреть свойства принтера. Перезапуск Диспетчера не помогает. Застопить и запустить тоже не помогает.

    UPD: Так... похоже, что просто отключены компьютеры, к которым подключены принтеры (я в данный момент работаю по удаленке). Компы не пингуются. Как узнать 100%, что подсистема печати работает?
     
    Последнее редактирование: 11 май 2012
  8. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    На этом же ПК что нибудь распечатать :)
     
  9. moskwi4

    moskwi4 Junior User

    Насколько я понимаю, если бы была проблема в самом спулере, тогда в папке \\WINDOWS\system32\spool\PRINTERS\ оставались бы файлы вида *.SHD, *.SPL, которые свидетельствуют о застрявших в очереди печати заданиях.
    Но эта папка пуста. По ходу, нормально работающую службу роняет какой-то кривой драйвер принтера.
    Спасибо.
     
  10. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    При наличии на ПК доступа в интернет выполните следующий скрипт в AVZ:
    Код:
    begin
     if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
     If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
     Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
     if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
    ExitAVZ;
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player.

    Если форум оказался полезен вам, пожалуйста, поддержите его работу -
     
  11. moskwi4

    moskwi4 Junior User

    Поиск критических уязвимостей
    Установите Service Pack 3 для Windows XP. Возможно, потребуется активация.

    Уязвимости в Adobe Flash Player для Internet Explorer
    http://fpdownload.macromedia.com/pu...in/install_flash_player_11_active_x_32bit.exe

    Уязвимости в Adobe Flash Player для Firefox/Safari/Opera
    http://fpdownload.macromedia.com/pu.../win/install_flash_player_11_plugin_32bit.exe

    Установлен Adobe Reader версии . Опасно использовать версии до 10.1.2
    Установите Adobe Reader X (10.1) или удалите старый.
    http://get.adobe.com/reader/otherversions/

    Firefox 3.0.1 (ru) устарел. Удалите его или установите новый
    http://www.mozilla.com/

    QuickTime 7.6.2 устарел. Удалите его или установите новый
    http://www.apple.com/quicktime/download

    Обнаружено уязвимостей: очень много.
     
  12. moskwi4

    moskwi4 Junior User

    Нет, не помогает перезапуск службы Диспетчера печати... Компьютер, к которому принтер подключен и расшарен, включен, соответственно принтер доступен. При попытке посмотреть свойства принтера пишет "Не удается отобразить свойства принтера. Подсистема печати недоступна.". В "Принтерах и факсах" внизу значка принтера написано: "Состояние: Нет доступа, подключиться не удалось".

    делаю команду
    net view IP_компа_с_сетевым_принтером
    "The system detected a possible attempt to compromise set you can contact the server that authenticated you."
    в чем загвоздка, что комп свои шары не показывает?
     
    Последнее редактирование: 12 май 2012
  13. moskwi4

    moskwi4 Junior User

    Переустановил принтер. Работает. Всем спасибо.
     

Поделиться этой страницей