|
Plagegeister aller Art und deren Bekämpfung: Warum will spoolsv.exe ins Internet?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
21.07.2008, 22:46 | #1 |
| Warum will spoolsv.exe ins Internet? Hallo, ich habe folgendes Problem: Bei mir will spoolsv.exe immer wieder ins Internet. Wenn ich richtig weiß, ist das der Druckerspooler. Warum sollte der Druckerspooler ins Internet wollen? Habe XP. Habe dazu natürlich gegoogelt. Man findet häufiger Fragen dazu, warum die spoolsv.exe ins Internet will. Diese Fälle scheinen mir anders gelagert. Bei mir geht keine Prefomance verloren oder sowas. Spoolsv.exe will einfach ins Internet. Ich habe auf dem Rechner zwei Dateien mit diesem Namen gefunden und sie bei Jotti's gescannt – ohne Ergebnis. C:\WINDOWS\system32 C:\WINDOWS\ServicePackFiles\i386 Ich bin trotzdem unsicher, ob es sich um Schadsoftware handelt. Habe bei Canon angerufen, um herauszufinden, ob es irgendwas mit dem Druckertreiber zu tun hat. Die schieben es auf Microsoft und bei Microsoft schiebt man es auf den Drucker. Würde mich sehr freuen, wenn mir jemand helfen könnte. Gruße Ekke |
22.07.2008, 03:14 | #2 |
/// Helfer-Team | Warum will spoolsv.exe ins Internet? Hi,
__________________wo genau will er denn hin? Es könnte ja auch sein, dass er nicht ins Internet aber sehr wohl in dein lokales Netz will, Netzwerkdrucker sind heutzutage schließlich sehr verbreitet und die muss er dann ja auch erreichen können. Welche Firewall behauptet da denn was, also IPs, Ports, usw? Gruß, Karl |
22.07.2008, 09:54 | #3 |
| Warum will spoolsv.exe ins Internet? Hallo Karl,
__________________danke für Deinen Hinweis. Mein Drucker hängt per USB an meinem Rechner. Netzwerk habe ich nicht. Firewall ist Zone Alarm. Hier mal Kopien aus dem Log von Zone Alarm. Von Port lese ich da leider nix. Ich weiß nicht genau, wie man den Port rausfindet. Ich habe ein paar Versuche als Beispiele rausgesucht. Wenn Du mir sagst, wie man den Port rausfindet, dann kann ich den noch nachliefern. Beschreibung Spooler SubSystem App wurde temporär blockiert von eine Verbindung hergestellt hat, um, das Internet (193.97.251.210NS). Bewertung Hoch Datum/Uhrzeit 2008/07/22 00:17:06+2:00 GMT Typ Programmzugriff Programm spoolsv.exe Quell-IP-Adresse Ziel-IP 193.97.251.210:53 Richtung Ausgehend (Verbindung herstellen) Maßnahme Gesperrt Anzahl 1 Quell-DNS Ziel-DNS tagessch.ivwbox.de Beschreibung Spooler SubSystem App wurde temporär blockiert von eine Verbindung hergestellt hat, um, das Internet (62.156.238.42NS). Bewertung Hoch Datum/Uhrzeit 2008/07/22 00:05:08+2:00 GMT Typ Programmzugriff Programm spoolsv.exe Quell-IP-Adresse Ziel-IP 62.156.238.42:53 Richtung Ausgehend (Verbindung herstellen) Maßnahme Gesperrt Anzahl 1 Quell-DNS Ziel-DNS a1815.g.akamai Beschreibung Spooler SubSystem App requested permission to access the internet. Bewertung Hoch Datum/Uhrzeit 2008/07/21 15:58:54+2:00 GMT Typ Bekanntes Programm Programm C:\WINDOWS\system32\spoolsv.exe Quell-IP-Adresse Ziel-IP 209.85.129.147:53 Richtung Ausgehend (Verbindung herstellen) Maßnahme Gesperrt (einmal) Anzahl 1 Quell-DNS Beschreibung Spooler SubSystem App requested permission to access the internet. Bewertung Hoch Datum/Uhrzeit 2008/07/21 15:58:54+2:00 GMT Typ Bekanntes Programm Programm C:\WINDOWS\system32\spoolsv.exe Quell-IP-Adresse Ziel-IP 209.85.129.147:53 Richtung Ausgehend (Verbindung herstellen) Maßnahme Gesperrt (einmal) Anzahl 1 Quell-DNS Ziel-DNS www.l (kein Tippfehler, steht wirklich so in der Log von ZA, da will er ständig hin ) Beschreibung Spooler SubSystem App wurde temporär blockiert von eine Verbindung hergestellt hat, um, das Internet (209.85.129.104NS). Bewertung Hoch Datum/Uhrzeit 2008/07/18 17:40:34+2:00 GMT Typ Programmzugriff Programm spoolsv.exe Quell-IP-Adresse Ziel-IP Richtung Ausgehend (Verbindung herstellen) Maßnahme Gesperrt Anzahl 1 Quell-DNS Ziel-DNS Gruß und Dank Ekke |
22.07.2008, 17:04 | #4 |
/// Helfer-Team | Warum will spoolsv.exe ins Internet? Das wundert mich dann doch. 209.85.129.147 ist Google, was der Druckerspooler dort will, die Portangaben sind hier die auf die IP hinter einem Doppelpunkt folgenden Zahlen, Port 53 ist DNS, bloß ist dort kein DNS. Mal weiter schauen. Fertige ein HijackThis Log deines Systems an. Dazu diese Datei runterladen und installieren. Alle anderen Programme schließen, Hijackthis.exe starten, auf "Scan" klicken und das Log hier posten. Geh zu VirusTotal und lade dort die C:\WINDOWS\system32\spoolsv.exe für einen Onlinescan hoch. Die Ergebnisse bitte mit den ergänzenden Angaben wie Dateiname und Dateigröße, MD5 und den ganzen technischen Daten hinten hierher kopieren. |
22.07.2008, 18:36 | #5 |
| Warum will spoolsv.exe ins Internet? Jup, here we go: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:22:06, on 22.07.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\ATKKBService.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\pctspk.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\System32\msiexec.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1214814391109 O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 4888 bytes ntivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.7.11.0 2008.07.14 - AntiVir 7.8.0.64 2008.07.14 - Authentium 5.1.0.4 2008.07.13 - Avast 4.8.1195.0 2008.07.14 - AVG 7.5.0.516 2008.07.14 - BitDefender 7.2 2008.07.14 - CAT-QuickHeal 9.50 2008.07.14 - ClamAV 0.93.1 2008.07.14 - DrWeb4.44.0.09170 2008.07.14 - eSafe 7.0.17.0 2008.07.13 - eTrust-Vet 31.6.5954 2008.07.14 - Ewido 4.0 2008.07.14 - F-Prot 4.4.4.56 2008.07.13 - F-Secure7.60.13501.0 2008.07.14 - Fortinet 3.14.0.0 2008.07.14 - GData2.0.7306.1023 2008.07.14 - Ikarus T3.1.1.26.0 2008.07.14 - Kaspersky 7.0.0.125 2008.07.14 - McAfee 5337 2008.07.11 - Microsoft 1.3704 2008.07.14 - NOD32v2 3266 2008.07.14 - Norman 5.80.02 2008.07.14 - Panda 9.0.0.4 2008.07.14 - Prevx1 V2 2008.07.14 - Rising 20.53.02.00 2008.07.14 - Sophos 4.31.0 2008.07.14 - Sunbelt 3.1.1536.1 2008.07.12 - Symantec 10 2008.07.14 - TheHacker 6.2.96.379 2008.07.14 - TrendMicro 8.700.0.1004 2008.07.14 - VBA32 3.12.6.9 2008.07.13 - VirusBuster 4.5.11.0 2008.07.14 - Webwasher-Gateway 6.6.2 2008.07.14 - File size: 57856 bytes MD5...: 39356a9cdb6753a6d13a4072a9f5a4bb SHA1..: 0e9b4188b75ebf9e6d207cc5ea2d811e193b5e4c SHA256: 7e41478460b0ffe7606f245b74ad60244816f4523fd4355c26badf724bce6575 SHA512: 3d56e8592d011ec99924d3b6afad3d6c707700b1f50f272603a40fabb4952ed3 7a373f1ff5321af30159c70a4e1529b3ffdff888c15bff7859a9e119fce7cf16 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x100461b timedatestamp.....: 0x48025ce1 (Sun Apr 13 19:20:01 2008) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0xba70 0xbc00 5.96 07f62c2dd4ed0308dea78a7ae3f9a7a1 .data 0xd000 0x13b4 0x1400 2.24 887444c39cada5bd753c428783e0009b .rsrc 0xf000 0xc68 0xe00 6.18 8b7aa680680d5c40e90647de12607611 ( 6 imports ) > ADVAPI32.dll: SetServiceStatus, RegQueryValueExW, AllocateAndInitializeSid, FreeSid, InitializeSecurityDescriptor, SetSecurityDescriptorOwner, SetSecurityDescriptorGroup, GetLengthSid, InitializeAcl, AddAccessAllowedAce, AddAccessDeniedAce, GetAce, SetSecurityDescriptorDacl, GetSecurityDescriptorLength, MakeSelfRelativeSD, RegDisablePredefinedCache, RegOpenKeyExW, RegCloseKey, RegisterServiceCtrlHandlerExW, StartServiceCtrlDispatcherW > GDI32.dll: bMakePathNameW, GdiInitSpool, GdiGetSpoolMessage > KERNEL32.dll: GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, GetCurrentProcessId, SetUnhandledExceptionFilter, GetModuleHandleA, GetCurrentThreadId, GetTickCount, UnhandledExceptionFilter, QueryPerformanceCounter, FreeLibrary, InterlockedExchange, GetModuleHandleW, GetLastError, ExitThread, CloseHandle, WaitForSingleObject, CreateEventW, CreateThread, ExitProcess, Sleep, OpenEventW, LoadLibraryA, InitializeCriticalSection, LocalFree, LocalAlloc, SetEvent, LeaveCriticalSection, EnterCriticalSection, SetLastError, OpenProcess, InterlockedIncrement, RaiseException, InterlockedDecrement, GetProcAddress, GetSystemDirectoryW > msvcrt.dll: __initenv, _exit, __getmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _controlfp, _XcptFilter, wcsrchr, wcslen, _c_exit, _stricmp, _wcsnicmp, _except_handler3 > ntdll.dll: RtlValidRelativeSecurityDescriptor > RPCRT4.dll: RpcServerRegisterIf2, I_RpcBindingIsClientLocal, I_RpcSessionStrictContextHandle, RpcRaiseException, RpcImpersonateClient, RpcRevertToSelf, NdrServerCall2, RpcServerUseProtseqEpA, I_RpcSsDontSerializeContext, RpcMgmtSetServerStackSize, RpcServerListen ( 12 exports ) YDriverUnloadComplete, YEndDocPrinter, YFlushPrinter, YGetPrinter, YGetPrinterDriver2, YGetPrinterDriverDirectory, YReadPrinter, YSeekPrinter, YSetJob, YSetPort, YSplReadPrinter, YWritePrinter Uff, vielen Dank |
Themen zu Warum will spoolsv.exe ins Internet? |
canon, dateien, druckertreiber, einfach, folge, folgendes, frage, fragen, freue, gescannt, handel, helfen, häufiger, immer wieder, interne, internet, jotti, microsoft, namen, natürlich, problem, rechner, richtig, schei, spoolsv.exe, system, unsicher, verloren, warum, windows |