Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
spoolsv.exe im Tempverzeichnis

spoolsv.exe im Tempverzeichnis


Log-Analyse und Auswertung: spoolsv.exe im Tempverzeichnis

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Alt 05.12.2008, 16:19   #1
lippo
 
spoolsv.exe im Tempverzeichnis - Standard

spoolsv.exe im Tempverzeichnis


Moin,
nachdem ich nun auf etlichen Wegen versucht habe meinem Trojanerbefall Herr zu werden, gebe ich nun auf und erhoffe mir Hilfe.

Aufgefallen ist mir das vermeintliche Problem, als aus heiterm Himmel Viren/Trojaner (weiß leider nicht mehr welche) im TempVerzeichnis gefunden wurden. Ich dachte mir zunächst nicht viel dabei und rechnete damit, dass diese wohl von irgendeiner Website dorthingelangt sind - aber ja von AVG entdeckt und vernichtet wurden.
Misstrauisch wurde ich dann jedoch, als sich die Funde häuften. Ich schaute mir das TempVerzeichnis einmal an und fand dort eine spoolsv.exe und einen Odner "~tmp" welcher als SystemDatei markiert war und somit versteckt wurde. Darin befinden sich Ordner mit kryptischen Namen (zB lvprf07) mit Programmen, die unscheinbare Namen (zB csrss.exe) tragen.

Ich machte mich daran alle mir merkwürdig vorkommenden Prozesse zu beenden und löschte das TempVerzeichnis. Außerdem durchsuchte ich den Autostart. Leider tauchte der Ordner (~tmp) und die spoolsv.exe immer wieder auf. Dann überwachte ich den TempOrdner einmal mit dem Sysinternals Filemon und musste feststellen, dass ganz normale Anwendungen von mir (zB RocketDock oder UltraVNC) scheinbar auf den Ordner zugreifen.

Habe deswegen noch folgende Tools zur Hilfe genommen, leider hat bis heute nichts an dem Erscheinen vom Ordner geändert:
  • AVG free komplett scan (keine Befunde)
  • a-squared Free 3.5 Scan (Trace.Registry Einträge gefunden und entfernt)
  • Blacklight Rootkit Scan (keine Befunde)
  • Simply Super Software Torjan Remover (verdächte und versteckte Starteinträge gefunden und entfernt)

Nun habe ich auch einmal HijackThis darüberlaufen lassen:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:52:16, on 05.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Sicherheit\a-squared Free\a2service.exe
C:\WINDOWS\Explorer.EXE
C:\SICHER~1\AVG8\avgwdsvc.exe
C:\Sicherheit\Cisco VPN Client\cvpnd.exe
C:\WINDOWS\system32\oodag.exe
C:\SICHER~1\AVG8\avgrsx.exe
C:\Benutzer\***\LOKALE~1\Temp\spoolsv.exe
C:\System Programme\Notebook Hardware Control\nhc.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\SICHER~1\AVG8\avgtray.exe
C:\Multimedia\Paint Shop Pro Photo X2\CorelIOMonitor.exe
C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\Sicherheit\TrueCrypt\TrueCrypt.exe
C:\Office\Microsoft ActiveSync\Wcescomm.exe
C:\System Programme\RocketDock\RocketDock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\System Programme\Copy Handler\ch.exe
C:\Office\MICROS~1\rapimgr.exe
C:\Treiber\Logitech\SetPoint\SetPoint.exe
C:\Treiber\USBKVM Switcher\USBKVM.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Sicherheit\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
F3 - REG:win.ini: load=C:\Benutzer\***\ANWEND~1\mstinit.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Office\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Sicherheit\AVG8\avgssie.dll
O2 - BHO: Microsoft Configuration - {40205287-E793-41AC-B95C-D8D064BA33CB} - C:\Benutzer\***\LOKALE~1\Temp\mrtdgs5.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [NotebookHardwareControl] "C:\System Programme\Notebook Hardware Control\nhc.exe" -quiet
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\SICHER~1\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Corel File Shell Monitor] C:\Multimedia\Paint Shop Pro Photo X2\CorelIOMonitor.exe
O4 - HKLM\..\Run: [ATIPTA] C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [TrueCrypt] "C:\Sicherheit\TrueCrypt\TrueCrypt.exe" /q preferences
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Office\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [RocketDock] "C:\System Programme\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Copy Handler] C:\System Programme\Copy Handler\ch.exe
O4 - HKLM\..\Policies\Explorer\Run: [Spool] C:\Benutzer\***\LOKALE~1\Temp\spoolsv.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [ComRepl] C:\WINDOWS\comrepl.exe /waitservice
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [SessMgr] C:\WINDOWS\sessmgr.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [SessMgr] C:\WINDOWS\sessmgr.exe /waitservice (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Treiber\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: USBKVM Switcher.lnk = C:\Treiber\USBKVM Switcher\USBKVM.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\Office\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Office\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Office\MICROS~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Office\MICROS~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Office\MICROS~1\INetRepl.dll
O9 - Extra button: Europa Casino - {4C826F10-D34B-4ba8-B609-1FB8C6482A05} - C:\Spiele\Europa Casino\casino.exe
O9 - Extra 'Tools' menuitem: Europa Casino - {4C826F10-D34B-4ba8-B609-1FB8C6482A05} - C:\Spiele\Europa Casino\casino.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Office\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1208078997812
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - h**p://ax.emsisoft.com/asquared.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Sicherheit\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Sicherheit\a-squared Free\a2service.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\SICHER~1\AVG8\avgwdsvc.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Sicherheit\Cisco VPN Client\cvpnd.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

--
End of file - 9713 bytes
Gerade bin ich durch das Forum noch auf Malwarebytes Anti-Malware gestoßen, dass werde ich auch noch einmal drüberlaufen lassen. Ansonsten dachte ich noch an einen Knoopcillin-Scan und im Notfall bleibt wohl nur eine Reinstallation vom System ... meine arme Zeit!

 

Themen zu spoolsv.exe im Tempverzeichnis
adobe, avg, avg free, bho, cisco vpn, defender, excel, explorer, helper, hijack, hijackthis, hkus\s-1-5-18, immer wieder, internet, internet explorer, konvertieren, logfile, malwarebytes anti-malware, notebook, ordner, pdf, pdf-datei, problem, programme, prozesse, rootkit, rundll, scan, sicherheit, software, super, windows, windows xp, windows xp sp3, xp sp3


« Trojaner an Board. | Trojaner gefunden, und nun? »


Ähnliche Themen: spoolsv.exe im Tempverzeichnis


  1. Trojaner: _ex-68.exe im Tempverzeichnis
    Plagegeister aller Art und deren Bekämpfung - 30.01.2012 (12)
  2. R.A.T infiziert? 16x svchost, ein Leerlaufprozess, 1x spoolsv und ein paar weitere Sachen offen
    Plagegeister aller Art und deren Bekämpfung - 30.07.2011 (4)
  3. pc lahm: igfxtray.exe" oder doch spoolsv.exe entfernen?
    Log-Analyse und Auswertung - 06.12.2009 (3)
  4. Virus oder nicht? spoolsv.exe
    Log-Analyse und Auswertung - 07.11.2009 (3)
  5. Unsicher wegen spoolsv.exe
    Log-Analyse und Auswertung - 03.11.2009 (2)
  6. spoolsv.exe - habe keinen Drucker!
    Plagegeister aller Art und deren Bekämpfung - 15.03.2009 (11)
  7. spoolsv.exe - Problem
    Log-Analyse und Auswertung - 29.10.2008 (4)
  8. Warum will spoolsv.exe ins Internet?
    Plagegeister aller Art und deren Bekämpfung - 22.07.2008 (4)
  9. PC langsam (spoolsv) HiJackThisLog-File
    Log-Analyse und Auswertung - 28.06.2008 (0)
  10. TR/Autorun.KT - Problem mit spoolsv.exe
    Log-Analyse und Auswertung - 30.04.2008 (1)
  11. Ich kann nicht mehr Drucken / C:\WINDOWS\system32\spoolsv.exe
    Log-Analyse und Auswertung - 11.01.2008 (0)
  12. spoolsv.exe lastet CPU zu 100% aus!
    Log-Analyse und Auswertung - 05.09.2006 (4)
  13. Trojaner mit spoolsv.exe? Kann jemand helfen?
    Log-Analyse und Auswertung - 01.03.2006 (8)
  14. spoolsv.exe cpuauslastung 99%
    Plagegeister aller Art und deren Bekämpfung - 03.12.2005 (2)
  15. spoolsv.exe will ins Internet!
    Plagegeister aller Art und deren Bekämpfung - 26.07.2005 (7)
  16. spoolsv.exe verhindert Internetzugriff
    Plagegeister aller Art und deren Bekämpfung - 06.10.2004 (8)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema spoolsv.exe im Tempverzeichnis - Moin, nachdem ich nun auf etlichen Wegen versucht habe meinem Trojanerbefall Herr zu werden, gebe ich nun auf und erhoffe mir Hilfe. Aufgefallen ist mir das vermeintliche Problem, als aus - spoolsv.exe im Tempverzeichnis...
Archiv
Du betrachtest: spoolsv.exe im Tempverzeichnis auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131