spoolsv e utilizzo cpu 100%

[hammer83]

Ragazzi sono inc@##@## come una iena... da un minuto all'altro il pc mi si è rallentato di colpo... riavvio e la situazione rimane invariata... allora controllo cosa c'è in esecuzione e vedo che spoolsv occupa il 100% della cpu... termino il processo e il pc ricomincia a funzionare normalmente... dopo un pò il processo ritorna e rallenta di nuovo il pc lo killo ancora una volta e torna tutto normale.

Io mi chiedo, spoolsv dovrebbe essere un servizio che gestisce la stampa in win giusto? E per quale motivo dovrebbe occupare il 100% della cpu dall'avvio del sistema????

Adesso sto facendo una scansione con f-secure e vedo un pò che c'è... anche se fino ad ora questo antivir mi ha soddisfatto pienamente(praticamente non gli è sfuggito mai nulla...

ps: Ho winXp pro, e il mio pc è connesso a internet(adsl) tramite un gateway linux(coyote linux), la lan è composta da 3 pc(compreso il gateway), e tutto è connesso tramite uno switch(e lo switch quando spoolsv mi blocca il pc non segnala "movimenti" da e verso il mio pc.

Aiutatemi a capire... che è successo

[hammer83]

Exploit.CodeBaseExec

è l'unica cosa che ho, ma lo sapevo infatti l'antivir lo aveva già rinominato(ma in ogni caso sfruttava una vecchia falla di win che è stata risolta da tempo)

[hammer83]

Io le sto provando tutte, ma niente... l'f-secure dice che è tutto ok e adesso sto facendo uno scan online.

ecco il log di hijakthis su quello che c'è in esecuzione:

StartupList report, 28/10/2004, 10.13.36
StartupList version: 1.52.2
Started from : C:\Documents and Settings\Caparezza\Desktop\HijackThis.EXE
Detected: Windows XP SP1 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Programmi\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Programmi\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Programmi\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
C:\Programmi\F-Secure Internet Security\Common\FSMA32.EXE
C:\Programmi\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Programmi\F-Secure Internet Security\Common\FSMB32.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\F-Secure Internet Security\Common\FCH32.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programmi\Raxco\PerfectDisk\PDSched.exe
C:\Programmi\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Programmi\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\Programmi\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmi\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\Programmi\F-Secure Internet Security\Common\FSM32.EXE
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\LTMSG.exe
C:\Programmi\File comuni\Real\Update_OB\realevent.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programmi\F-Secure Internet Security\backweb\4476822\Program\BackWeb-4476822.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Documents and Settings\Caparezza\Desktop\HijackThis.exe
C:\WINDOWS\TSC.EXE

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica]
RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
nwiz = nwiz.exe /install
Logitech Utility = Logi_MwX.Exe
NvMediaCenter = RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
NeroFilterCheck = C:\WINDOWS\system32\NeroCheck.exe
UpdReg = C:\WINDOWS\Updreg.exe
AHQInit = C:\Programmi\Creative\SBLive\Program\AHQInit.exe
AudioHQ = C:\Programmi\Creative\SBLive\AudioHQ\AHQTB.EXE
F-Secure Manager = "C:\Programmi\F-Secure Internet Security\Common\FSM32.EXE" /splash
F-Secure TNB = "C:\Programmi\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL
TkBellExe = "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
QuickTime Task = "C:\Programmi\QuickTime\qttask.exe" -atboottime
LTMSG = LTMSG.exe 7

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

CTFMON.EXE = C:\WINDOWS\System32\ctfmon.exe

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - C:\Programmi\GetRight\xx2gr.dll - {31FF080D-12A3-439A-A2EF-4BA95A3148E8}
(no name) - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}

--------------------------------------------------

Enumerating Download Program Files:

[Dldrv2 Control]
InProcServer32 = C:\WINDOWS\DOWNLO~1\Dldrv.ocx
CODEBASE = http://210.80.76.119/object/Dldrv.ocx

[PatchInstaller.Installer]
InProcServer32 = C:\WINDOWS\System32\XPPatchInstaller.dll
CODEBASE = file://F:\content\include\XPPatchInstaller.CAB

[WUWebControl Class]
InProcServer32 = C:\WINDOWS\System32\wuweb.dll
CODEBASE = http://v5.windowsupdate.microsoft.co...?1096376991343

[HouseCall Control]
InProcServer32 = C:\WINDOWS\DOWNLO~1\xscan53.ocx
CODEBASE = http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab

[{9F1C11AA-197B-4942-BA54-47A8489BB47F}]
CODEBASE = http://v4.windowsupdate.microsoft.co...161.2838541667

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/s...sh/swflash.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 6.577 bytes
Report generated in 0,656 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only


Help me!

[Dante_Cruciani]

dai una letta qui

http://forum.hwupgrade.it/showthread...hreadid=770499

[hammer83]

Ho risolto... alla fine che era? L'altro pc nella lan aveva fatto la stampa di un pdf che si era bloccata(ieri ) e solo oggi sono venuto a saperlo... cmq per la rabbia ho disinstallato tutte le stampanti condivise e ora è tutto ok...

Ciao... (delle volte sono più pericolosi i compagni di stanza che i virus )