hali,
tudom, hogy unix, de a ringyozomat megfertozte valami es semmilyen irtasi lehetoseget nemtalaltam, hatha tudtok segiteni.
az svchost.exe ami inditja a spoolsv.exe -t az indit maga ala egy svchost.exe -t
ilyet meg sosem lattam, es az probal az ini.officesupdate.net re csatlakozni
kilovom, mivel service, visszajon
elvileg a svchost.exe valahogy a registrybol szedi a futtatnivalokat, elso ranezesre a HKLM/SYSTEM/CurrentControlSet/Control/SecurePipeServers -bol szedi
ebben nekem egy winreg/AllowedPaths:Machine=
System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Print\Printers
System\CurrentControlSet\Control\Server Applications
System\CurrentControlSet\Services\Eventlog
Software\Microsoft\OLAP Server
Software\Microsoft\Windows NT\CurrentVersion
System\CurrentControlSet\Control\ContentIndex
System\CurrentControlSet\Control\Terminal Server
System\CurrentControlSet\Control\Terminal Server\UserConfig
System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration
gondolom valamelyik a virus, lehet h a Print korul vagy azon belulrol hivodik
ha tud vki segiteni, megkoszonnem.
udv, david
- 1824 megtekintés
Hozzászólások
Miert flame topic? Van Microsoft Windows topic is. Btw attol fuggetlen hogy service, kiloheto a dolog.
- A hozzászóláshoz be kell jelentkezni
spoolsv.exe volt fertozott 97a79db539fd26803e365687a0c9067d md5summal, eredetie ad3d9d191aea7b5445fe1d82ffbb4788
- A hozzászóláshoz be kell jelentkezni
Milyen Windows? spoolsv.exe = Nyomtatásisor-kezelő. Szerintem nem azért jön vissza, mert service. De azt nem tudom, miért jön vissza. Nekem nem jön vissza. :D Ha letiltod mint szolgáltatást, akkor is visszajön? Van valamilyen virtuális nyomtatód?
:)
- A hozzászóláshoz be kell jelentkezni
A gmer nevu kicsi programocska csodakra kepes. Readonly mediumra felrak, tiszta regedit, taskmanager, autoruns (ha jol emlekszem a nevere, sysinternals fele keresgelj), cmd, sc, esetedben tiszta spoolsv(verziot ellenorizz!), es valami hash ellenorzo progi tarsasagaban. Gmer beizzit, kill all process. Tiszta cmd elindit, autorunsban a serviceknel csak a signed microsoft szolgaltatasokat engedd, meg amirol tudod, mi az. Drivereket szinten nyalazd vegig, ami nem tetszik azt szedd ki. Ezutan reboot, buksisimogatas, pezsgobontas.
Drivereknel erdemes nezegetni egy tiszta, hasonlo rendszert is, mert eleg sok drivernek van 'nagyon technikaszagu' neve, ami altalaban a virusok ismerve.
Ezek utan a virus mar nem indul el. Ha megis, akkor bentfelejtetted valahol.
A vegen egy sima antivirussal erdemes meg letoroltetni a mar nem futo, de fertozott fileokat.
Ezzel a modszerrel egyszerubb rootkiteket is le lehet szedni.
Ha valami nem tiszta, vagy nem sikerult, vagy sikerult, irj, nyugodtan
- A hozzászóláshoz be kell jelentkezni