Hi, ich muss leider weiter fragen
Habe hier im Forum mal gesucht und unter Google, konnte aber leider keine genaue Antwort dazu finden ob es ok ist, das die spoolsv.exe ins Internet möchte. Meistens hieß es, dass es sich dabei um nen Wurm handelt. Habe mein PC aber mit HijackThis und escan gescannt und war alles ok, ausser das escan ziemlich schnell fertig war.
Kann mir jemand sagen was es wirklich damit auf sich hat, das die spoolsv.exe raus möchte???Dürfte doch eigentlich nicht sein oder?

@kaywa

Zitat:

Habe mein PC aber mit HijackThis und escan gescannt und war alles ok

Was soll das heißen? Was genau war beim HJT-Scan OK? Log bitte posten.

Zitat:

ausser das escan ziemlich schnell fertig war.

Dann hast du escan bloß falsch ausgeführt. Bitte Anleitung genau folgen (Link s. unten)
Vor dem escan mach bitte noch Folgendes:
1.Systemwiederherstellung abschalten
2. Dieses Bereinigungsprogramm hilft dir, den ganzen Müll aus den Temp-Ordner und Papierkorb zu entfernen.
3. Infected-Ordner des Antivirus-Programms, ggf. auch von Spybot Search & Destroy, Ad-Aware usw. leeren. Der Name des Ordners sowie Pfad sind Programm- und Benutzerabhängig. Bitte RTFM zum AV-Programm. Bei einigen Programmen (z. B. AVPE) ist diese Option nicht im Programm integriert. In dem Fall soll dies manuell erfolgen.
4. eScan genau nach Anleitung (bitte ausdrucken und aufmerksam lesen) im abgesicherten Modus laufen lassen.

Hatte das Ergebnis von HJT und escan schon geposted und man hatte mir gesagt das dort kein Hinweis auf Malware war.
Hatte mich anfangs mit escan ziemlich schwer getan, da ich davon absolut keine Ahnung habe:-) ,. Hatte escan aber nach Anleitung ausgeführt. (Abgesicherter Modus, Systemwiederherstellung deaktiviert usw.
Hier noch mal Ergebnis von escan:
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Fri Jan 04 17:12:51 2002 => System found infected with CWS.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.
Fri Jan 04 17:28:00 2002 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Fri Jan 04 17:50:51 2002 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Fri Jan 04 17:14:27 2002 => File C:\WINDOWS\autoload.exe tagged as not-a-virus:Tool.Win32.Autoloader. No Action Taken.
Fri Jan 04 17:18:04 2002 => File C:\Dokumente und Einstellungen\x\Desktop\aawsepersonal106.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Fri Jan 04 17:19:04 2002 => File C:\Dokumente und Einstellungen\x\Desktop\zlsSetup_51_039_004.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Fri Jan 04 17:29:29 2002 => File C:\Programme\Lavasoft\Ad-Aware SE Personal\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Fri Jan 04 17:36:14 2002 => File C:\WINDOWS\autoload.exe tagged as not-a-virus:Tool.Win32.Autoloader. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Fri Jan 04 17:50:51 2002 => Total Virus(es) Found: 6
Fri Jan 04 17:50:51 2002 => Total Errors: 13
Fri Jan 04 17:50:51 2002 => Time Elapsed: 00:38:44
Fri Jan 04 17:50:51 2002 => Total Objects Scanned: 30518
Fri Jan 04 17:11:18 2002 => Virus Database Date: 2005/06/24
Fri Jan 04 17:50:51 2002 => Virus Database Date: 2005/06/24
Fri Jan 04 18:31:50 2002 => Virus Database Date: 2005/06/24

Hier noch die HJT Log:
wüsste echt nicht was ich bei escan falsch gemacht oder übersehen haben könnte. Habe den Scan extra 2x gemacht und und war auch die Anleitung noch mal genau durchgegangen. Die Haken hatte ich auch alle gesetzt wie in der Beschreibung


Logfile of HijackThis v1.99.1
Scan saved at 01:23:13, on 05.01.2002
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\MOUSES~1\bally4d.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\The Cleaner\tca.exe
C:\Programme\The Cleaner\tcm.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AOL 7.0\aoltray.exe
C:\Programme\FRITZ!\FriWeb32.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\AOL 7.0\waol.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\x

O1 - Hosts: **** w**.****.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HorngTech4D] C:\PROGRA~1\MOUSES~1\bally4d.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [tcactive] C:\Programme\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Programme\The Cleaner\tcm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: ISDNWatch Filter.lnk = C:\Programme\FRITZ!\Iwfilter.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 7.0 Tray-Symbol.lnk = C:\Programme\AOL 7.0\aoltray.exe
O4 - Global Startup: FRITZ!web.lnk = C:\Programme\FRITZ!\FriWeb32.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{10DF17F3-1BA3-4747-9C83-0F6D8F04899F}: NameServer = **
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB09E594-FA05-4ED8-AB92-D2E324225ACA}: NameServer = ***
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

@kaywa
Bitte den Log gemäß der Anleitung überarbeiten (mit "Editieren"-Funktion).

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Wo sind alle aktuellen Updates?

Ups Sorry!!, tut mir leid, aber das alles mit den ganzen Programmen und richtig posten ist echt alles total neu für mich. Hoffe habe alles raus genommen, was nicht mit rein durfte.

Ja Ja, das mit den Updates habe ich bisher ehrlich gesagt nicht so genau genommen ....werd mich mal drum kümmern.

Hallo!

Spoolsv.exe will bei mir auch ein bis zweimal am Tag ins Internet (beobachtet mit ZoneAlarm), obwohl ich weder einen Netzwerkdrucker noch ein andere Rechner im Netz habe (lediglich einen Router, der mit dem ADSL-Internetzugang verbunden ist). Wenn ich mit der Suchfunktion des Explorer nach Spoolsv.exe oder nur spoolsv suche, dann wird kein solches File gefunden. Beende ich spoolsv.exe im TaskM, dann startet der Prozess kurz darauf automatisch erneut.

Wenn man spoolsv.exe mit ZoneAlarm ins Internet lääßt, dann habe ich nicht sofort, aber einige Zeit später ein weiteres Programm am Rechner, das im Taskmanager unter SYSTEM läuft und in der Registry mehrfach eingetragen ist. Löscht man alles aus der Registry raus, dann bekommt man (wenn man spoolsv wieder ins Internet läßt) wieder eine Datei mit anderem Namen drauf. Die Namen sind meist wirklichen Windowsprozessen sehr ähnlich, manchmal aber fast zufällige Buchstabenfolgen.

Merkwürdig ist, dass der Befehl tasklist im cmd nicht erkannt wird. Hatte das spoolsv-Problem schon mal vor einem Jahr auf einem anderen Rechner. Damals konnte man den TaskM nicht mehr starten.

Die Geschwindigkeit meines Rechners ist geringer, aber oft kaum spürbar. Erst bei rechenintensiven Aufgaben oder wenn ich eine DVD anschaue, gibt es ein unerträgliches Geruckel.

McAffee, Spyhunter, Adaware etc. finden nichts.

Meines Erachtens handelt es sich um ein Trojanersystem, ein Zusammenspiel aus mehreren Komponenten, die sich mit allen möglichen Methoden dem Zugriff entziehen sollen. Möglicherweise werden die befallenen Rechner benutzt um Spam zu verschicken.

Wenn jemand weitere Beobachtungen macht oder Hinweise hat, wie man das Teil mit samt der Wurzel, also radikal entfernen kann, ohne gleich neu zu installieren, bitte melden!!!!!!!

Mache einen escan genau nach Anleitung:
http://www.trojaner-board.de/showthread.php?t=17492