Win update, AVG in spoolsv.exe v karanteni

matt

matt

yeeeehaaaaw
20. jul 2007
866
0
16
Pozdrav!

Zadnji Windows update (XP) mi je med drugim naložil tudi Malicious Software Removal Tool (mrt.exe), ki je med drugim namestil/preoblikoval spoolsv.exe, katerega je AVG 9 zaznal kot trojanca in ga vrgel v karanteno. Po reštartu so Winsi javljali napako, zato sem omenjeno datoteko resotral iz karantene.

Posledica je bila, da je AVG vseskozi javljal infection threath (nekje piše, da je false positive). Sledil je update AVG-ja, kar je odpravilo napako.

Problem sedaj je, da se pri zagonu pojavi ena napaka, ki je v prilogi. Poigledal sem že lastnosti datoteke in ni ne »read only« ali kaj drugega. Kaj mi je storiti?


Ps. zadeva je resnejša kot sem mislil....

Sedaj sem v default Windows firewall-u opazil CityScape zapis, ki ima določeno točno prej omenjeno exe datoteko.
1108420-spool.jpg
 

Priponke

  • 1108420-spool.jpg
    1108420-spool.jpg
    38,3 KB · Ogledi: 186
Nazadnje urejeno:
S

stein

Fizikalc
16. sep 2007
19.575
1
36
Če sistem še deluje, preveri za viruse. S čim drugim, kot AVG: MBAM, SUPERAntiSpyware, CureIT, HouseCall, ESET Online, Kaspersky online*

Hmm, kaspersky piše "Coming Soon". A ni pred dnevi že delal?
 
bizi

bizi

Guru
21. nov 2007
27.271
-2.011
113
Kočevska
Spoolsv.exe je printer spooler, t. j. sistemska zadeva, ki ureja backround printanje. Mora biti v Windows\system32 mapi. Če se nahaja kje drugje, je to virus. In MRT ti tega gotovo ni naložil oz. preoblikoval
 
matt

matt

yeeeehaaaaw
20. jul 2007
866
0
16
ksz. Imaš čisto prav.

Dejstvo je, da sem na različnih antivirus forumih dobil vtis, da je zadeva »false positive«. Nato sem poiskal vse enake datoteke na računalniku in seveda je bil pravi tisti v system32. Velikost in datum nastanka sem preveril z enakim fajlom na drugem, enakem sistemu in ugotovil, da original ni modificiran.

Takoj po tem je tisti iz »ApplicationData« romal v karanteno. Problem je bil, da so Windowsi ob zagonu še vedno iskali fajl v »ApplicationData«, zato sem šel preverit, ali je kaj v Startupu. Ni bilo ničesar.

Sledil je pregled Servisov in ročni pregled registra, kjer se je datoteka na omenjeni lokaciji pojavljala 3x, 2x z vrednostjo »mswupdate« in enkrat z vrednostjo "Shell" s podatki "explorer.exe "c:\documents and settings\XXX\application data\spoolsv.exe""

Vse zgoraj omenjene zapise sem enostavno pobrisal.

Zaključek.
Datum kreacije datoteke se sklada za datumom in uro, ko se mi je na winXP pognal Windows update in mi namestil Malicious software removal tool. Naključje ali ne, ne vem. Zanimivo je, da je piz*darija kreirala tudi vrednosti »mswupdate« v registru in istočasno vnesla exception v windows firewall z vrednostjo »CityScape«.

Nič, sedaj sledi zamenjava žnj gesel in nakup NOD 32
smirk-1.gif
 
S

stein

Fizikalc
16. sep 2007
19.575
1
36
Free AV so tudi OK.

Panda, Avast, Avira in MSE so trenutno na vrhu. (ok, v testu iz novembra)
 
Za odgovor se prijavite ali registrirajte.
Na vrhu Bottom