|
spoolsv.exe will ins Internet! Hi, ich muss leider weiter fragen :o Habe hier im Forum mal gesucht und unter Google, konnte aber leider keine genaue Antwort dazu finden ob es ok ist, das die spoolsv.exe ins Internet möchte. Meistens hieß es, dass es sich dabei um nen Wurm handelt. Habe mein PC aber mit HiJackThis und escan gescannt und war alles ok, ausser das escan ziemlich schnell fertig war. Kann mir jemand sagen was es wirklich damit auf sich hat, das die spoolsv.exe raus möchte???Dürfte doch eigentlich nicht sein oder? |
@kaywa Zitat:
Zitat:
Vor dem escan mach bitte noch Folgendes: 1.Systemwiederherstellung abschalten 2. Dieses Bereinigungsprogramm hilft dir, den ganzen Müll aus den Temp-Ordner und Papierkorb zu entfernen. 3. Infected-Ordner des Antivirus-Programms, ggf. auch von Spybot Search & Destroy, Ad-Aware usw. leeren. Der Name des Ordners sowie Pfad sind Programm- und Benutzerabhängig. Bitte RTFM zum AV-Programm. Bei einigen Programmen (z. B. AVPE) ist diese Option nicht im Programm integriert. In dem Fall soll dies manuell erfolgen. 4. eScan genau nach Anleitung (bitte ausdrucken und aufmerksam lesen) im abgesicherten Modus laufen lassen. |
Hatte das Ergebnis von HJT und escan schon geposted und man hatte mir gesagt das dort kein Hinweis auf Malware war. Hatte mich anfangs mit escan ziemlich schwer getan, da ich davon absolut keine Ahnung habe:-) ,. Hatte escan aber nach Anleitung ausgeführt. (Abgesicherter Modus, Systemwiederherstellung deaktiviert usw. Hier noch mal Ergebnis von escan: Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Fri Jan 04 17:12:51 2002 => System found infected with CWS.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken. Fri Jan 04 17:28:00 2002 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Fri Jan 04 17:50:51 2002 => Total Disinfected Files: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Fri Jan 04 17:14:27 2002 => File C:\WINDOWS\autoload.exe tagged as not-a-virus:Tool.Win32.Autoloader. No Action Taken. Fri Jan 04 17:18:04 2002 => File C:\Dokumente und Einstellungen\x\Desktop\aawsepersonal106.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Fri Jan 04 17:19:04 2002 => File C:\Dokumente und Einstellungen\x\Desktop\zlsSetup_51_039_004.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Fri Jan 04 17:29:29 2002 => File C:\Programme\Lavasoft\Ad-Aware SE Personal\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Fri Jan 04 17:36:14 2002 => File C:\WINDOWS\autoload.exe tagged as not-a-virus:Tool.Win32.Autoloader. No Action Taken. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Fri Jan 04 17:50:51 2002 => Total Virus(es) Found: 6 Fri Jan 04 17:50:51 2002 => Total Errors: 13 Fri Jan 04 17:50:51 2002 => Time Elapsed: 00:38:44 Fri Jan 04 17:50:51 2002 => Total Objects Scanned: 30518 Fri Jan 04 17:11:18 2002 => Virus Database Date: 2005/06/24 Fri Jan 04 17:50:51 2002 => Virus Database Date: 2005/06/24 Fri Jan 04 18:31:50 2002 => Virus Database Date: 2005/06/24 |
Hier noch die HJT Log: wüsste echt nicht was ich bei escan falsch gemacht oder übersehen haben könnte. Habe den Scan extra 2x gemacht und und war auch die Anleitung noch mal genau durchgegangen. Die Haken hatte ich auch alle gesetzt wie in der Beschreibung Logfile of HijackThis v1.99.1 Scan saved at 01:23:13, on 05.01.2002 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\MOUSES~1\bally4d.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\Trojancheck 6\tcguard.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\The Cleaner\tca.exe C:\Programme\The Cleaner\tcm.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\AOL 7.0\aoltray.exe C:\Programme\FRITZ!\FriWeb32.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\AOL 7.0\waol.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\x O1 - Hosts: **** w**.****.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [HorngTech4D] C:\PROGRA~1\MOUSES~1\bally4d.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [tcactive] C:\Programme\The Cleaner\tca.exe O4 - HKLM\..\Run: [tcmonitor] C:\Programme\The Cleaner\tcm.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Startup: ISDNWatch Filter.lnk = C:\Programme\FRITZ!\Iwfilter.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: AOL 7.0 Tray-Symbol.lnk = C:\Programme\AOL 7.0\aoltray.exe O4 - Global Startup: FRITZ!web.lnk = C:\Programme\FRITZ!\FriWeb32.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{10DF17F3-1BA3-4747-9C83-0F6D8F04899F}: NameServer = ** O17 - HKLM\System\CCS\Services\Tcpip\..\{BB09E594-FA05-4ED8-AB92-D2E324225ACA}: NameServer = *** O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe |
@kaywa Bitte den Log gemäß der Anleitung überarbeiten (mit "Editieren"-Funktion). Zitat:
|
Ups :o Sorry!!, tut mir leid, aber das alles mit den ganzen Programmen und richtig posten ist echt alles total neu für mich. Hoffe habe alles raus genommen, was nicht mit rein durfte. Ja Ja, das mit den Updates habe ich bisher ehrlich gesagt nicht so genau genommen :o ....werd mich mal drum kümmern. |
Hallo! Spoolsv.exe will bei mir auch ein bis zweimal am Tag ins Internet (beobachtet mit ZoneAlarm), obwohl ich weder einen Netzwerkdrucker noch ein andere Rechner im Netz habe (lediglich einen Router, der mit dem ADSL-Internetzugang verbunden ist). Wenn ich mit der Suchfunktion des Explorer nach Spoolsv.exe oder nur spoolsv suche, dann wird kein solches File gefunden. Beende ich spoolsv.exe im TaskM, dann startet der Prozess kurz darauf automatisch erneut. Wenn man spoolsv.exe mit ZoneAlarm ins Internet lääßt, dann habe ich nicht sofort, aber einige Zeit später ein weiteres Programm am Rechner, das im Taskmanager unter SYSTEM läuft und in der Registry mehrfach eingetragen ist. Löscht man alles aus der Registry raus, dann bekommt man (wenn man spoolsv wieder ins Internet läßt) wieder eine Datei mit anderem Namen drauf. Die Namen sind meist wirklichen Windowsprozessen sehr ähnlich, manchmal aber fast zufällige Buchstabenfolgen. Merkwürdig ist, dass der Befehl tasklist im cmd nicht erkannt wird. Hatte das spoolsv-Problem schon mal vor einem Jahr auf einem anderen Rechner. Damals konnte man den TaskM nicht mehr starten. Die Geschwindigkeit meines Rechners ist geringer, aber oft kaum spürbar. Erst bei rechenintensiven Aufgaben oder wenn ich eine DVD anschaue, gibt es ein unerträgliches Geruckel. McAffee, Spyhunter, Adaware etc. finden nichts. Meines Erachtens handelt es sich um ein Trojanersystem, ein Zusammenspiel aus mehreren Komponenten, die sich mit allen möglichen Methoden dem Zugriff entziehen sollen. Möglicherweise werden die befallenen Rechner benutzt um Spam zu verschicken. Wenn jemand weitere Beobachtungen macht oder Hinweise hat, wie man das Teil mit samt der Wurzel, also radikal entfernen kann, ohne gleich neu zu installieren, bitte melden!!!!!!! |
Mache einen escan genau nach Anleitung: http://www.trojaner-board.de/showthread.php?t=17492 |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:03 Uhr. |
Copyright ©2000-2025, Trojaner-Board