Spooler SubSystem App a rencontré un problème

[Mantix]

Bonjour,

Depuis quelques temps un ordinateur DELL Optiplex GX60, avec XP pro SP2 affiche le message:

"Spooler System App a rencontré un problème et doit fermer"

Ensuite, apparaît une fenêtre :

L'instruction à "0x7c92347e" emploie l'adresse mémoire "0x000acea5". La mémoire ne peut pas être "read".

La machine commence à ralentir jusqu'à son blocage.

Le changement de barrettes mémoire n'y a rien fait.

Un passage de clamwin antivirus a révélé Shoho.
OnLine Kaspersky a fait un rapport qui montrait que de nombreux fichiers étaien verrouillés, dont des fichiers d'Avast et de system 32.

Pourriez-vous trouver une solution à ce dysfonctionnement?

Merci et à bientôt.

[Sebastien]

Bonjour,

Depuis quelques temps un ordinateur DELL Optiplex GX60, avec XP pro SP2 affiche le message

Avez-vous fait quelque chose de particulier avec la machine avant de constater ce problème ? Installé un nouveau matériel ? Un nouveau Pilote ?

Spooler System App a rencontré un problème et doit fermer

Ce message d'erreur apparaît quand ? Lorsque vous tentez d'imprimer une page ? Au démarrage de la machine ?

Quelle est la marque et le modèle de l'imprimante installée sur le poste ?

@+

[Mantix]

Merci pour votre réponse.
Je testerai la machine demain et je vous posterai les informations.
A demain.

[Mantix]

Bonsoir,
L'imprimante est une Brother HL-5240L dont j'ai eu le pilote sur Internet.
L'ordinateur a 512 Mo de Ram.
L'ordinateur a moins bien marché quelques temps après l'installation de l'imprimante. Il se bloquait quand j'ouvrais le menu Fichier des logiciels.

Ce matin, l'ordinateur avait retrouvé une vitesse acceptable et a ouvert des documents et les a enregistrés avec des logiciels de bureautique, ce qu'il ne faisait plus hier. Mais je n'ai pas pu tester l'imprimante, car elle n'apparaissait plus dans le panneau de configuration. Elle a disparu depuis le passage des antivirus? La tentative de clic sur ajout d'une imprimante a fait dérailler l'ordinateur, jusqu'au blocage. L'installation d'une imprimante Canon dont j'ai le pilote original n'a pas abouti: installation impossible puis blocage.

Je ne sais pas si ces infos peuvent vous mettre sur la voie, mais merci pour votre aide.

A bientôt.

[Sebastien]

Bonjour,

Un passage de clamwin antivirus a révélé Shoho.
OnLine Kaspersky a fait un rapport qui montrait que de nombreux fichiers étaien verrouillés, dont des fichiers d'Avast et de system 32.

Le virus a été supprimé ?
Vous avez les logs de ce qui a été supprimé par l'antivirus ?

Si le virus à provoqué des dégâts dans Windows, il faudra probablement réparer Windows.

@+

[Mantix]

Merci pour votre réponse.
J'ai le log de clam. Je vous l'enverrai demain.
L'ordinateur affiche régulièrement au démarrage le même message sur la mémoire qui ne peut pas être "read".
Il se bloque au bout d'un moment sur Word.

Si le virus à provoqué des dégâts dans Windows, il faudra probablement réparer Windows.

Comment le savoir et comment faire ?

A bientôt.

[Christophe]

Bonjour,
Voici les logs obtenus, dans l'ordre chronologique :

Code: Tout sélectionner

1/ Clamav:
--------------------------------------

Scan started: Mon Apr 06 14:37:12 2009



ERROR: Can't open file C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

ERROR: Can't open file C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

ERROR: Can't open file C:\Documents and Settings\Administrateur\NTUSER.DAT

ERROR: Can't open file C:\Documents and Settings\Administrateur\ntuser.dat.LOG

ERROR: Can't open file C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

ERROR: Can't open file C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

ERROR: Can't open file C:\Documents and Settings\LocalService\NTUSER.DAT

ERROR: Can't open file C:\Documents and Settings\LocalService\ntuser.dat.LOG

ERROR: Can't open file C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

ERROR: Can't open file C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

ERROR: Can't open file C:\Documents and Settings\NetworkService\NTUSER.DAT

ERROR: Can't open file C:\Documents and Settings\NetworkService\ntuser.dat.LOG

ERROR: Can't open file C:\pagefile.sys

C:\Program Files\Alwil Software\Avast4\DATA\aswar0.dll: W32.Shoho FOUND



--------------------------------------

Cancelled

--------------------------------------
Cette action a été annulée car l'ordinateur s'était bloqué.

Ensuite un antivirus Shoho

2/ FIX SHOHO
/--------------------------------------------------------------\
|                      Trend Micro, Inc.                       |
|                           Log File                           |
\--------------------------------------------------------------/


2009-04-08, 10:10:29,   Registry entry "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WINL0G0N.EXE" was not found.
2009-04-08, 10:10:29,   Registry entry "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\WINL0G0N.EXE" was not found.
2009-04-08, 10:10:29,   Registry entry "HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run\WINL0G0N.EXE" was not found.
2009-04-08, 10:12:09,   Folder "C:\WINDOWS\WINL0G0N.EXE" was created. System was inoculated
2009-04-08, 10:12:09,   Folder "C:\WINDOWS\WINL0G0N.EXE" was made hidden.


Enfin
3/ rapportK:
KASPERSKY ON-LINE SCANNER REPORT
Wednesday, April 08, 2009 9:09:20 AM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.84.2
Dernière mise à jour de la base antivirus Kaspersky : 7/04/2009
Enregistrements dans la base antivirus Kaspersky : 1826998
Paramètres d'analyse
Analyser avec la base antivirus suivante    standard
Analyser les archives    vrai
Analyser les bases de messagerie    vrai
Cible de l'analyse    Poste de travail
A:\
C:\
D:\
Statistiques de l'analyse
Total d'objets analysés    26484
Nombre de virus trouvés    0
Nombre d'objets infectés    0 / 0
Nombre d'objets suspects    0
Durée de l'analyse    01:16:08

Nom de l'objet infecté    Nom du virus    Dernière action
C:\Documents and Settings\Administrateur\Cookies\index.dat    L'objet est verrouillé    ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat    L'objet est verrouillé    ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG    L'objet est verrouillé    ignoré
C:\Documents and Settings\Administrateur\Local Settings\Historique\History.IE5\index.dat    L'objet est verrouillé    ignoré
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\index.dat    L'objet est verrouillé    ignoré
C:\Documents and Settings\Administrateur\NTUSER.DAT    L'objet est verrouillé    ignoré
C:\Documents and Settings\Administrateur\ntuser.dat.LOG    L'objet est verrouillé    ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat    L'objet est verrouillé    ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat    L'objet est verrouillé    ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG    L'objet est verrouillé    ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat    L'objet est verrouillé    ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat    L'objet est verrouillé    ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT    L'objet est verrouillé    ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG    L'objet est verrouillé    ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat    L'objet est verrouillé    ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG    L'objet est verrouillé    ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT    L'objet est verrouillé    ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG    L'objet est verrouillé    ignoré
C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat    L'objet est verrouillé    ignoré
C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db    L'objet est verrouillé    ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log    L'objet est verrouillé    ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\selfdef.log    L'objet est verrouillé    ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase    L'objet est verrouillé    ignoré
C:\System Volume Information\_restore{5D1FA84D-C652-43BE-8380-16C953A3AB38}\RP68\change.log    L'objet est verrouillé    ignoré
C:\WINDOWS\Debug\PASSWD.LOG    L'objet est verrouillé    ignoré
C:\WINDOWS\SchedLgU.Txt    L'objet est verrouillé    ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log    L'objet est verrouillé    ignoré
C:\WINDOWS\system32\CatRoot2\edb.log    L'objet est verrouillé    ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb    L'objet est verrouillé    ignoré
C:\WINDOWS\system32\config\Antivirus.Evt    L'objet est verrouillé    ignoré
C:\WINDOWS\system32\config\AppEvent.Evt    L'objet est verrouillé    ignoré
C:\WINDOWS\system32\config\default    L'objet est verrouillé    ignoré
C:\WINDOWS\system32\config\default.LOG    L'objet est verrouillé    ignoré
C:\WINDOWS\system32\config\SAM    L'objet est verrouillé    ignoré
C:\WINDOWS\system32\config\SAM.LOG    L'objet est verrouillé    ignoré
C:\WINDOWS\system32\config\SecEvent.Evt    L'objet est verrouillé    ignoré
C:\WINDOWS\system32\config\SECURITY    L'objet est verrouillé    ignoré
C:\WINDOWS\system32\config\SECURITY.LOG    L'objet est verrouillé    ignoré
C:\WINDOWS\system32\config\software    L'objet est verrouillé    ignoré
C:\WINDOWS\system32\config\software.LOG    L'objet est verrouillé    ignoré
C:\WINDOWS\system32\config\SysEvent.Evt    L'objet est verrouillé    ignoré
C:\WINDOWS\system32\config\system    L'objet est verrouillé    ignoré
C:\WINDOWS\system32\config\system.LOG    L'objet est verrouillé    ignoré
C:\WINDOWS\system32\h323log.txt    L'objet est verrouillé    ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR    L'objet est verrouillé    ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP    L'objet est verrouillé    ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER    L'objet est verrouillé    ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP    L'objet est verrouillé    ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP    L'objet est verrouillé    ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA    L'objet est verrouillé    ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP    L'objet est verrouillé    ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_590.dat    L'objet est verrouillé    ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_7c0.dat    L'objet est verrouillé    ignoré
C:\WINDOWS\WindowsUpdate.log    L'objet est verrouillé    ignoré


Je ne sais pas ce que vous disent ces rapports, mais si vous trouvez une solution au message sur la mémoire, je vous en remercie.

Mantix

[Sebastien]

Bonsoir,

j'ai fait quelques recherches et voici une page qui a l'air de correspondre au problème que vous nous décrivez.

SpoolSv (Printer Spooler Service) est un processus générique de Windows qui assure la gestion de l’impression. Les travaux demandés par un utilisateur à son périphérique d’impression sont transmis et placés dans une file d’attente gèrée par ce prosessus. Un problème peut se poser lors de la gestion de cette file d’attente, elle peut trouver sa source aussi bien dans le domaine matériel que logiciel comme par exemple :

* un pilote d’imprimante endommagé ou supprimé,
* le déplacement du répertoire spouleur d’imprimante,
* l’arrêt du service "spouleur d’impression",
* l’arrêt du service "Appel de procédures distantes (RPC)",
* un engorgement de la file d’attente des travaux d’impression,
* une charge mémoire trop importante,
* un ver qui sature le spouleur d’impression,
* la présence du trojan "Graybird-A",
* le blocage du spouleur par l’antivirus,
* une mauvaise connexion du périphérique d’impression,
* un périphérique d’impression défaillant,
* un conflit dans la gestion des priorités réseaux de plusieurs périphériques d’impression,
* une autorisation du partage d’imprimante en connexion réseau.
* ...

Source : Comment résoudre l’erreur avec SpoolSv.exe ?


Je vous propose de reprendre les différents points évoqués sur cette page et de vérifier si cela résout le problème.

Pb de pilote : Désinstaller complètement l'imprimante. Réinstaller avec les pilotes d'origine.

Déplacement involontaire du spooler : Vérifier la clé "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory"
Vérifier le contenu de la valeur DefaultSpoolDirectory. Exemple : C:\WINDOWS\System32\spool\PRINTERS. Vérifier si ce répertoire existe toujours.

Service "spouleur d’impression" : Vérifier si le service démarre automatiquement.

Service Appel de procédures distantes (RPC) : Vérifier si le service démarre automatiquement.

Désengorgement de la file d’attente : Arrêter le service Spouleur d'impression. Supprimer le contenu du spouleur (voir au dessus pour connaitre son emplacement). Redémarrer le service, puis redémarrer la machine.


Concernant les logs, reprenons les lignes intéressantes :

C:\Program Files\Alwil Software\Avast4\DATA\aswar0.dll: W32.Shoho FOUND

Cette DLL appartient au logiciel AVAST, j'ai la même sur mon PC et elle n'est pas contaminée (testé avec virustotal). Deux possibilités :

• Soit c'est un faux positif.
• Soit elle a été vérolée chez vous.

Si ce fichier n'est plus présent sur votre PC et que vous utilisez Avast, réinstallez l'antivirus.

Code: Tout sélectionner

2009-04-08, 10:10:29,   Registry entry "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WINL0G0N.EXE" was not found.
2009-04-08, 10:10:29,   Registry entry "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\WINL0G0N.EXE" was not found.
2009-04-08, 10:10:29,   Registry entry "HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run\WINL0G0N.EXE" was not found.

En cas de présence du ver Shoho, ces clés sont présentes dans la base de registre. Le scan annonce qu'elles sont absente. (Soit le ver a été supprimé (partiellement ?) avant le scan, soit le PC n'a pas le virus).

Par contre :

Code: Tout sélectionner

2009-04-08, 10:12:09,   Folder "C:\WINDOWS\WINL0G0N.EXE" was created. System was inoculated
2009-04-08, 10:12:09,   Folder "C:\WINDOWS\WINL0G0N.EXE" was made hidden.

Il faut vérifier la présence du fichier WINL0G0N.EXE (ce sont des zéros, pas des lettres o). Ce fichier est bien présent lorsque le virus est sur le PC (d'où le "partiellement" dans mon commentaire ci-dessus).
Je ne sais pas si cette ligne du log signifie qu'un fichier factice a été créé pour bloquer le virus, ou si le fichier est présent sur votre PC. Il faut donc vérifier. Vous pouvez tester le fichier sur http://www.virustotal.com/fr/. Pensez également à regarder le fonctionnement de l'utilitaire que vous avez utilisé : Antivirus Shoho 2/ FIX SHOHO


Concernant le verrouillage de certains fichiers, c'est normal.

Tenez-nous au courant.

@+

[Mantix]

Merci, je vais essayer, je vous tiens au courant dès que j'aurai fait les tests.
Mantix