Interruzione stampe causa file spoolsv

[wonderboy]

Tempo fa avevo tolto il file spoolsv che mi fa interrompere le stampe, lo avevo tolto dalla cartella system32 ma ricompare sistematicamente, avete qualche consiglio per toglierlo di mezzo definitivamente? Grazie.

[ridethesnake]

Il processo spoolsv.exe è il componente del sistema operativo che gestisce    i processi di stampa sul computer locale. Lo stesso nome di processo è    anche adottato da diversi virus (Backdoor.Ciadoor.B, VBS.Masscal.Worm (vbs),    Hacktool.Privshell, fonte Symantec). Il bollettino Microsoft sulla sicurezza    MS05-043 riporta “nel servizio Spooler di stampa è presente una    vulnerabilità che può consentire l'esecuzione di codice in modalità    remota. Tale vulnerabilità è descritta nella sezione "Dettagli    della vulnerabilità" del presente bollettino. Sfruttando questa    vulnerabilità, un utente malintenzionato potrebbe assumere il pieno controllo    del sistema interessato, riuscendo quindi a installare programmi e visualizzare,    modificare o eliminare dati oppure creare nuovi account con diritti utente completi”. 
Il problema del rallentamento e occupazione al 100 per cento della CPU è    segnalato in diversi forum, la causa sembra la presenza di processi di stampa    in attesa nella stampante del computer creati dal virus. La rimozione dei documenti    risolve temporaneamente il problema ma non lo elimina. Questa è la sequenza    di operazioni per ripulire e proteggere il computer.
Avviate il Task Manager premendo contemporaneamente i tasti Ctrl, Alt e Canc,    cliccate sulla scheda Processi, selezionate Spoolsv.exe e cliccate    su Termina processo. Aprite il pannello di controllo, cliccate    due volte sull'icona Stampanti e fax, cliccate due volte sulle    stampanti presenti ed eliminate i file presenti nella coda di stampa. Aggiornate    il computer con la funzione di Windows Update. Installate un antivirus e aggiornatelo,    riavviate il sistema in modalità provvisoria ed eseguite una scansione    completa del sistema. Riavviate il PC in modalità normale ed abilitate    il firewall di Windows o installate un firewall di terze parti.

ti consiglio una scansione con
http://ediboard.altervista.org/index.php?topic=5081.msg20250;topicseen#msg20250
http://ediboard.altervista.org/index.php?topic=6830.0
http://ediboard.altervista.org/index.php?topic=3044.0

[wonderboy]

Grazie 


Ho rintracciato il file spoolsv con la funzione cerca e poi l'ho eliminato in modalità provvisoria, sarà sufficiente? :roll:

[crazy.cat]

Direi che se togli definitivamente quel file poi non stampi più.
Perchè dici che ti bloccava le stampe?
Avevi provato a reinstallare la stampante aggiornando i driver?
Quando le elimini poi stampa?

[wonderboy]

Direi che se togli definitivamente quel file poi non stampi più.

Provavo a stampare delle pagine di word ma non andava.
Ho disinstallato tutti i driver della stampante multifunzione e stavo procedendo a riimmettere nuovamente i driver quando in fase di installazione windows xp mi dice:

"Spooler di stampa (spooler):impossibile avviare il servizio. Il servizio è disabilitato oppure non è associato ad alcuna periferica attiva"

poi anche: "Server RPC non disponibile"

e come mai adesso sono saltate fuori ste scritte??

sotto system32 compare una cartella spool ma ho paura che ho fatto fuori qualcosa di troppo

Perchè dici che ti bloccava le stampe?

perchè la stampante multifunzione arrivava a mezzo foglio e si fermava e notavo in task manager che la cpu era occupata al 95% dal file spoolsv che credo sia sicuramente un malware.

Avevi provato a reinstallare la stampante aggiornando i driver?

no

Quando le elimini poi stampa?

faccio dal task manager l'interruzione del processo spoolsv e la stampante poi sputa fuori il foglio mezzo stampato se ripeto la stessa operazione siamo da punto e a capo.

[ridethesnake]

Per eliminare le code di stampa bloccate... http://ediboard.altervista.org/index.php?topic=1208.0

Dai wonder... fai una scansione con i tools che ti ho consigliato

[wonderboy]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 8.53.39, on 30/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Eset\nod32krn.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\IncrediMail\bin\IncMail.exe
C:\Programmi\Mozilla Firefox 3 Beta 2\firefox.exe
C:\Programmi\IncrediMail\bin\ImApp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [CTStartup] C:\Programmi\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: SpeedWeb ADSL USB Modem.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Translate with &Babylon - res://C:\Programmi\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesit.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesit.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1211896677175
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{22FE0D6A-F180-49DD-8FD3-3654E35A13B9}: NameServer = 85.37.17.5 85.38.28.77
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Accesso pannello remoto (apanr) - Unknown owner - C:\WINDOWS\Downlo~1\huiis\ghvsgw.exe (file missing)
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Programmi\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Spooler di stampa (Spooler) - Unknown owner - C:\WINDOWS\system32\spoolsv.exe (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 6392 bytes

[wonderboy]

Per eliminare le code di stampa bloccate... http://ediboard.altervista.org/index.php?topic=1208.0

Dai wonder... fai una scansione con i tools che ti ho consigliato

adesso non ho il problema delle code di stampa ma ho il problema che non riesco più a installare i driver della stampante perchè il sistema non sente più i servizi spooler e RCP

[Druidosan]

Nel log che hai postato non sembra ci siano cose strane, vi sono solo queste due voci che potresti eliminarere:

    O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

Sconosciuto
   O23 - Service: Accesso pannello remoto (apanr) - Unknown owner - C:\WINDOWS\Downlo~1\huiis\ghvsgw.exe (file missing)

[crazy.cat]

Intanto ripristina il file spoolsv.exe che hai eliminato
O23 - Service: Spooler di stampa (Spooler) - Unknown owner - C:\WINDOWS\system32\spoolsv.exe (file missing)

O lo prendi da un altro pc con lo stesso sistema operativo, oppure inserisci il cd di windows nel lettore e scrivi il comando da start esegui
sfc /scannow e lasci che ripristini i fil emancanti.

Riavvii il pc e poi vai in pannello di controllo - strumenti amministrazione- servizi e controlli che lo spooler di stampa e il servizio rpc (remote procedure call) siano attivi e con l'avvio in automatico.

Poi reinstalli la stampante.

Se ancora si blocca la stampa, prova la stampante stessa su un altro pc per verificare che funzioni.

[wonderboy]

Ho preso il file spoolsv.exe da un sistema operativo Xp professional mentre io ho Home però ha stampato senza problemi e sono riuscito quindi a reinstallare la stampante multifunzione, però c'è un altro problema:

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O23 - Service: Accesso pannello remoto (apanr) - Unknown owner - C:\WINDOWS\Downlo~1\huiis\ghvsgw.exe (file missing)


La prima voce sono riuscito ad eliminarla mentre la seconda: C:\WINDOWS\Downlo~1\huiis\ghvsgw.exe
non riesco a fixarla o meglio la fixo ma a una nuova scansione anche dopo il riavvio ritorna. :cry:

[ridethesnake]

ti ri-consiglio una scansione con

http://ediboard.altervista.org/index.php?topic=5081.msg20250;topicseen#msg20250

http://ediboard.altervista.org/index.php?topic=3044.0

 

[Druidosan]

Canga puoi provare a fixarla avviando il pc in modalità provvisoria.

[crazy.cat]

Come ripulire la lista dei servizi

	http://www.megalab.it/2578

[wonderboy]

Canga puoi provare a fixarla avviando il pc in modalità provvisoria.

mi chiamo wonderboy please 

ho già provato nulla da fare....