Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e)

bonjour,

 

Suite au conseil de certain membre du forum je viens poster par içi.

 

Zone Alarme, a jour bolque spoolsv.exe au démarrage

 

 

certain mon dit que c'était le spooler d'imprimante mais pourquoi elle veut ce connecter.

 

 

( quand celui ne s'arrête et redémarre a moitiée, mais ce n'es pas le sujet du moins pour l'instant j'y travaille )

Posté(e) (modifié)

spoolsv - spoolsv.exe

 

 

Le processus spoolsv.exe (spoolsv signifiant Printer Spooler Service, en français spouleur d'impression) est un processus générique de Windows NT/2000/XP servant à mettre en mémoire (file d'attente) les travaux d'impression.

 

Il ne s'agit en aucun cas d'un Virus résident, d'un ver, d'un cheval de Troie, d'un spyware, ni d'un AdWare.

 

Il s'agit d'un processus pouvant être arrêté

 

Note: spoolsv.exe is also a process which is registered as the Backdoor.Ciadoor.B Trojan. This Trojan allows attackers to access your computer, stealing passwords and personal data. It is a registered security risk and should be removed immediately. Please see additional details regarding this process

 

The spoolsv.exe file is located in the c:\windows\System32 folder. In other cases, spoolsv.exe is a virus, spyware, trojan or worm!

 

donc verifies s'il est bien là,et te bouffe t il du processus ds ton gestionnaire des taches???

 

Troj/Graybird-A est un cheval de Troie de porte dérobée. Lorsqu'il est exécuté sur l'ordinateur d'une victime, celui-ci devient vulnérable aux attaques avec accès non autorisé.

Troj/Graybird-A se copie dans le dossier système Windows avec le nom de fichier spoolsv.exe et paramètre les entrées de registre suivantes de façon à ce que le cheval de Troie soit exécuté au démarrage de Windows :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SPOOLSV

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\SPOOLSV

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\SPOOLSV

Une entrée "Run" sera ajoutée au fichier win.ini, ce qui provoquera l'exécution du cheval de Troie au redémarrage de Windows

 

pour moi,ce processus ne doit pas chercher à sortir de ton pc!!!!!!

 

donc rapport hijack selon la procedure.

si spoolsv.exe est en dehors de system32,c'est pas bon,déja!!!

Modifié par angelique
Posté(e)

bonjour, le log

 

Logfile of HijackThis v1.99.1

Scan saved at 07:06:37, on 15/09/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\Program Files\Ahead\InCD\InCDsrv.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\system32\spoolsv.exe

D:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

D:\Program Files\AVPersonal\AVGUARD.EXE

D:\Program Files\AVPersonal\AVWUPSRV.EXE

D:\WINDOWS\system32\ZoneLabs\vsmon.exe

D:\WINDOWS\System32\RunDll32.exe

D:\Program Files\Ahead\InCD\InCD.exe

D:\Program Files\Micro Application\Cloneur Expert\TrueImageMonitor.exe

D:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe

D:\Program Files\AVPersonal\AVGNT.EXE

D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

D:\Program Files\Booster Wanadoo\wanadoo_booster.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\System32\wuauclt.exe

D:\Documents and Settings\Moi\Mes documents\Prg\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wanadoo.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [inCD] D:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [CloneCDTray] "D:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [Cloneur Expert Monitor] D:\Program Files\Micro Application\Cloneur Expert\TrueImageMonitor.exe

O4 - HKLM\..\Run: [Acronis Scheduler2 Service] D:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe

O4 - HKLM\..\Run: [AVGCtrl] D:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\Run: [Zone Labs Client] D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - Global Startup: Booster Wanadoo.lnk = D:\Program Files\Booster Wanadoo\wanadoo_booster.exe

O4 - Global Startup: Mémento.lnk = D:\quickenw\billmind.exe

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://D:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://D:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://D:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://D:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://D:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1126287912039

O17 - HKLM\System\CCS\Services\Tcpip\..\{78182CAE-A993-436A-BF1F-4FB94F718474}: NameServer = 80.10.246.134 80.10.246.7

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - D:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe

Posté(e) (modifié)

salut produkey

 

je ne vois rien d'infectieux dans ton rapport! Suis le conseil d'angelique et télécharge

 

Ewido,met le à jour et scanne ton pc avec.Puis poste le rapport.

 

Concernant ceci: spoolsv.exe

 

il semble que ce soit le processus légitime =>D:\WINDOWS\system32\spoolsv.exe

 

(il est bien dans le dossier system32).

 

édit: as tu essayé de mettre le service "spooler d'impression" en manuel?

Modifié par charles ingals
Posté(e) (modifié)

C'est malin ça : deux topics sur le sujet !

http://forum.zebulon.fr/index.php?showtopi...d=572095&st=0

 

Autre truc : désactiver le service et voir ce qui se passe. Ce service ne sert que si on veut mémoriser et retrouver rapidement pour des sorties imprimées multiples, ce qu'on a imprimé pendant une session.

 

Pas besoin la plupart du temps avec les éditeurs qui ont leur "liste rapide des derniers docs ouverts"...

Modifié par O.Fournier
Posté(e) (modifié)

Salut Produkey, Salut à tous,

Comme certains l'on dit c'est un service de windows OS, mais tu peux bloquer ce service par sécurité et cela ne devrait pas avoir d'influence sur l'utilisation de ton imprimante.

C'est ce que j'ai fait avec ZA et tout va bien.

Dans l'onglet "contrôle de programmes" tu cherche la ligne "Spooler SubSysteme App" qui correspond à ton spoolsv.exe et tu cliques sur bloquer (X rouge) sur les zones "accès interent" et "serveur internet".

 

Tout devrait rouler après. :-P

 

Edit (voir post suivant) : Tesgaz ; je parlais de bloquer l'accès avec ZA pas d'arrèter le service ... j'suis pas nul à ce point .. enfin j'espère! :P:P

Modifié par PHIL76
Posté(e)

Salut,

 

non, il faut laisser le service démarrer

 

il faut juste interdire le partage de l'imprimante dans la connexion réseau (c'est pour ca qu'il veut se connecter)

Posté(e) (modifié)
Salut,

 

non, il faut laisser le service démarrer

 

il faut juste interdire le partage de l'imprimante dans la connexion réseau (c'est pour ca qu'il veut se connecter)

572133[/snapback]

 

 

Re bonjour,

 

ok pour les infos

 

merci a tous

Modifié par produkey
Posté(e) (modifié)

Bonsoir,

 

Attention à ne pas confondre :

 

spoolsv.exe (légitime) et SP00LSV.exe qui lui est une saloperies qu'il faut éradiquer ! Ce dernier s'écrit en majuscule dans la liste des processus avec des zéros à la place des o ...

 

Cordialement.

Modifié par Sacles

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...