Добрый день.

Ситуация. Имеется компьютер, включенный в домен. Установлен Windows XP +SP3. Лицензионный. Стандартный набор программ - Office + IrfanView + FoxitPDF Reader - чисто офисная рабочая машинка.

В домене установлено несколько сетевых принтеров. Этот компьютер (и только этот!) при включении-выключении шлет порядка 40 листов на печать на один из сетевых принтеров (чаще всего - на центральный сетевой в офисе).

В логах компьютера ошибок нет, предупреждений нет. В логах событий сервера (где установлен сетевой принтер) есть следующее:


Event Type: Information
Event Source: Print
Event Category: None
Event ID: 13
Date: 27/05/2010
Time: 14:35:24
User: NT AUTHORITY\SYSTEM
Computer: DCNEW
Description:
Document 98, Remote Downlevel Document owned by ALMAKON-XP$ was deleted on Samsung ML-2550 Series PCL 6.


Event Type: Information
Event Source: Print
Event Category: None
Event ID: 13
Date: 27/05/2010
Time: 14:35:24
User: NT AUTHORITY\SYSTEM
Computer: DCNEW
Description:
Document 99, Remote Downlevel Document owned by ALMAKON-XP$ was deleted on TOSHIBA e-STUDIO450Series PCL6.


Event Type: Information
Event Source: Print
Event Category: None
Event ID: 13
Date: 27/05/2010
Time: 14:35:24
User: NT AUTHORITY\SYSTEM
Computer: DCNEW
Description:
Document 100, Remote Downlevel Document owned by ALMAKON-XP$ was deleted on TOSHIBA e-STUDIO450Series PCL6.


Event Type: Information
Event Source: Print
Event Category: None
Event ID: 10
Date: 27/05/2010
Time: 14:35:24
User: METAL\ALMAKON-XP$
Computer: DCNEW
Description:
Document 101, Remote Downlevel Document owned by ALMAKON-XP$ was printed on TOSHIBA e-STUDIO450Series PCL6 via port IP_192.168.150.220. Size in bytes: 53248; pages printed: 0



Т.е. сначала идет обращение к паре сетевых принтеров и потом выдается на печать непонятно что - пустые листы со спецсимволами.

Подумал сначала, что вирус. Но, во-первых, стоит Symantec Endpoint Protection, во-вторых, я ПЕРЕУСТАНОВИЛ систему, добавил офис+пара-тройка программ - и опять понеслось по новой все...

Подчеркиваю - ТОЛЬКО на этом компьютере такая ситуевина

Notsaint, попробуйте перед загрузкой системы по F8 выбрать "Безопасный режим с загрузкой сетевых драйверов", будет печатать?

Пробую.

Но дело в том, что и на сетевую карту я тоже подумал сначала. Заменил. Результат тот же.



Нет. В безопасном режиме с сетевыми драйверами печатать не стал.

Notsaint, с помощью Msconfig (http://support.microsoft.com/kb/310560/ru) отключайте сторонние (не Microsoft) программы и службы из автозагрузки.

Убрал. Оставил только ctfmon.exe - language panel. Все равно идет печать.

Фактически я на входе нахожусь - просит нажать Ctrl-Alt-Del для ввода пароля (вход в домен), а я смотрю - в логах сервера уже вылезла печать. Т.е. на важно под каким юзером даже будет вход произведен.

Проскакивают листы со спецсимволами, на первом видна в строчке надпись "Program can't run in MS-DOS mode..."

А ведь до переустановки системы был подключен и локальный принтер - почему на него печать не шла? Он ведь как бы ... ближе

Фактически я на входе нахожусь - просит нажать Ctrl-Alt-Del для ввода пароля (вход в домен), а я смотрю - в логах сервера уже вылезла печать.
Возможно, печать идет от службы (запуск служб происходит независимо от того, залогинен пользователь или нет). Msconfig -> вкладка Службы.

Если принтер подключен через TCP/IP-порт, очистите очередь печати по статье KB946737 (http://support.microsoft.com/kb/946737) батником (DeletePrintJobs.cmd):
net stop spooler
del /f /q %systemroot%\system32\spool\printers\*.shd
del /f /q %systemroot%\system32\spool\printers\*.spl
net start spooler

Если принтер подключен через TCP/IP-порт »

Он так должен быть подключен, но в данный момент на компьютере не установлено НИ ОДНОГО ПРИНТЕРА вообще! И папка спулера пуста

Проскакивают листы со спецсимволами, на первом видна в строчке надпись "Program can't run in MS-DOS mode..."
Посмотрите еще с помощью AutoRuns (http://soft.oszone.net/program/910/AutoRuns/) или HijackThis (http://forum.oszone.net/thread-100149.html) (выложите лог HijackThis).

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11:29:24, on 29/05/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\dima\Desktop\AnVir\AnVir.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Documents and Settings\dima\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AnVir Task Manager Free] "C:\Documents and Settings\dima\Desktop\AnVir\AnVir.exe" Minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE8] rundll32 advpack.dll,LaunchINFSection IE8.INF,FirstUserStart (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [IE8] rundll32 advpack.dll,LaunchINFSection IE8.INF,FirstUserStart (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [IE8] rundll32 advpack.dll,LaunchINFSection IE8.INF,FirstUserStart (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [IE8] rundll32 advpack.dll,LaunchINFSection IE8.INF,FirstUserStart (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = mdomain
O17 - HKLM\Software\..\Telephony: DomainName = mdomain
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = mdomain
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = mdomain
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe



Из запущенных процессов - AnVir Task Manager (это я уже запустил для проверки процессов) и Real VNC Viewer (типа Radmin, только бесплатен и безвреден)