Guten Abend allerseits,

ich habe gestern mein System neu formatiert, einerseits wegen eines (vermeintlichen ? ) Virus, andererseits weil es mittlerweile sowieso schon ziemlich zugemüllt war. Jedenfalls wurde der (vermeintliche ?) Virus genau gleich von HijackThis genannt und erkannt. Die Datei heisst spoolsv.exe und ist normalerweise anscheinend im System32 Ordner, wo sie als Druckerhilfe fungiert, allerdings habe ich 3 Dateien mit spoolsv.exe / .mui im winsxs-Ordner, was laut einigen Websites (neuber.com) ein Virus sein soll, da es sich eben nicht in diesem Ordner befindet.

Trotz der Formation wurde der (vermeintliche ?) Virus nicht gelöscht, Hijackthis zeigt diesen immer noch an. Auf der alten Formation hatten weder Antivira noch das nicht ! gleichzeitig gelaufene Kasperksy noch das ebenfalls nicht gleichzeitig gelaufene Spyware - S&D etwas gefunden, auf dem jetztigen System findet Norton auch nichts. Die Frage ist jetzt also, ob es nun ein Virus ist, und ich das System erneut und gründlicher formatieren muss, oder ob es eine Fehlmeldung von HijackThis ist.

Hijackthis Logfile;

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:18:10, on 05.11.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18319)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Norton AntiVirus\Engine\16.5.0.134\ccSvcHst.exe
C:\Program Files (x86)\Razer\Lachesis\razerhid.exe
C:\Program Files (x86)\Razer\Lachesis\razertra.exe
C:\Program Files (x86)\Razer\Lachesis\razerofa.exe
C:\Program Files (x86)\Internet Explorer\IEUser.exe
C:\Program Files (x86)\Opera\opera.exe
C:\Users\Nico\Downloads\wlsetup-custom.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\syswow64\MsiExec.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: ::1 localhost
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files (x86)\Norton AntiVirus\Engine\16.5.0.134\IPSBHO.DLL
O4 - HKLM\..\Run: [Lachesis] "C:\Program Files (x86)\Razer\Lachesis\razerhid.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [ATICustomerCare] "C:\Program Files (x86)\ATI\ATICustomerCare\ATICustomerCare.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O13 - Gopher Prefix: 
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Norton AntiVirus - Symantec Corporation - C:\Program Files (x86)\Norton AntiVirus\Engine\16.7.2.11\ccSvcHst.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 4959 bytes
         

Der Eintrag ist der 6. von unten, spoolsv.exe . Der Eintrag lässt sich nicht fixen, bzw. er startet sich gleich neu, was für diese Datei allerdings auch normal sein soll, und Löschen kann man die Datei - was bei Windows-Dateien allerdings nicht unüblich ist - auch nicht.

Mit freundlichen Grüssen,

Hallo,

Du bist auf dem Holzweg, spoolsv.exe in system32 ist eine legitime Windows-Datei. Ist der Druck- und Fax-Spooler. Ich halte es auch für ziemlich unwahrscheinlich, dass ein frisch formatiertes System wieder Schädlinge hat und wenn dann nur über eine spoolsv.exe. Du hast zuviel Paranoia

Abgesehen davon hast Du ein 64-Bit-OS. Viele "Standardprogramme" die wir hier als Hilfsmittel zum Bereinigen einsetzen, sind mit nem 64 Bit Windows NICHT kompatibel - das macht eine Bereinigung schwerer als sie ohnehin schon ist.

Zitat:

Zitat von cosinus

Hallo,

Du bist auf dem Holzweg, spoolsv.exe in system32 ist eine legitime Windows-Datei. Ist der Druck- und Fax-Spooler. Ich halte es auch für ziemlich unwahrscheinlich, dass ein frisch formatiertes System wieder Schädlinge hat und wenn dann nur über eine spoolsv.exe. Du hast zuviel Paranoia

Abgesehen davon hast Du ein 64-Bit-OS. Viele "Standardprogramme" die wir hier als Hilfsmittel zum Bereinigen einsetzen, sind mit nem 64 Bit Windows NICHT kompatibel - das macht eine Bereinigung schwerer als sie ohnehin schon ist.

Das Problem ist eben, dass es zwei Spoolsv-Dateien gibt, wovon eine eben NICHT im system32 Ordner ist :/

Wenn Du meinst, dass es so eine besondere Datei ist, dann werte genau diese bei virustotal.com aus und poste den Ergebnislink