Hallo,

ich hab da ein kleines, aber extrem nerviges Problem mit einer offensichtlich verseuchten Datei spoolsv.exe .
Ich hab schon seit geraumer Zeit Probleme ins Netz zu kommen, hab aber lange die Ursache nicht gefunden. Die Internetverbindung wurde hergestellt, der normale Traffic blieb aber aus und ich konnte keine Seiten mehr laden.
Nachdem ich mit dem Taskmanager viele Prozesse ausgeschaltet hatte funktionierte es wieder und ich konnte deshalb Antivir durch Kaspersky ersetzen. Der hat dann auch ein par Sachen gefunden und gelöscht.

Die Datei spoolsv.exe im Verzeichnis Windows/system32 kam immer wieder, auch nach manuellem löschen von spoolsv.exe und ich muss mit dem Taskmanager jedesmal spoolsv.exe ein par mal ausschalten bevor mein Internet funktioniert.

Hat jemand ne Ahnung was da los ist und was ich machen könnte?

Vielen Dank im voraus für Eure Zeit.

Martin

Zitat:

Die Datei spoolsv.exe im Verzeichnis Windows/system32 kam immer wieder, auch nach manuellem löschen von spoolsv.exe und ich muss mit dem Taskmanager jedesmal spoolsv.exe ein par mal ausschalten bevor mein Internet funktioniert.

Hallo,

die spoolsv.exe ist bedenkenlos. http.//www.neuber.com/taskmanager/deutsch/prozess/spoolsv.exe.html

Welche Prozesse hast du im TaskManager beendet?
Welche Malware wurde von Kaspersky gefunden?

Erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.

Hallo,

vielen Dank für die schnelle Antwort.
Das mit den im Taskmanager beendeten Prozessen schein wohl doch ein Zufall gewesen zu sein, ich hab eben nach dem Beenden von spoolsv.exe versucht ins Netz zu kommen, hat nicht geklappt, aber nach einem Neustart ohne das beenden von Prozessen gings eben.
Ich weiß nicht mehr, welche Malware Kaspersky gefunden hat, ich weiß auch nicht, wie ich an das entsprechende logfile komme, im aktuellen Report stehen keine Malware drinnen.
Vielleicht ist noch erwähnenswert, dass das Windows Update nicht mehr geht, ich bekomme immer Fehlermeldungen auf der MS-Seite, dass bestimmte Dienste nicht aktiviert sind, aber auch nach der Aktivierung läuft es nicht. Auch das automatische Update klappt nicht.

Hier das logfile von HijackThis, vielleicht ist das ja aufschlussreicher als meine unqualifizierten Äußerungen.

Martin
Logfile of HijackThis v1.98.2
Scan saved at 14:24:57, on 05.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Kaspersky Anti-Virus\avpcc.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Kaspersky Anti-Virus\avpm.exe
C:\Programme\KerioPF\Personal Firewall 4\kpf4ss.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\RoamMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\KerioPF\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\KerioPF\Personal Firewall 4\kpf4gui.exe
C:\Programme\BenQ\Q-HotkeyMgr\HotkeySensor.exe
C:\Programme\Kaspersky Anti-Virus\avpcc.exe
C:\Programme\Teledat\IWatch.exe
C:\Programme\BOINC\boinc_gui.exe
C:\WINDOWS\System32\1XConfig.exe
C:\Programme\BOINC\projects\setiathome.berkeley.edu\setiathome_4.03_windows_intelx86.exe
C:\Dokumente und Einstellungen\Herfson\Desktop\hijackthis1982\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://WWW.BenQ.COM/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.benq.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Q-HotkeyMgr] C:\Programme\BenQ\Q-HotkeyMgr\HotkeySensor.exe
O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Anti-Virus\avpcc.exe" /wait
O4 - HKLM\..\RunServices: [Win32 Wmls Driver] winitr32.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O4 - Global Startup: BOINC.lnk = C:\Programme\BOINC\boinc_gui.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://WWW.BenQ.COM/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096295979879
O17 - HKLM\System\CCS\Services\Tcpip\..\{4CE7C6ED-2FE4-40B7-AE67-9B61FA38F22A}: NameServer = 130.149.4.20,130.149.2.12
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C68985C-2F1A-4FA2-B6AC-674B60324D23}: NameServer = 192.168.121.252,192.168.121.253

Hallo,

O4 - HKLM\..\RunServices: [Win32 Wmls Driver] winitr32.exe
Dieser Eintrag weist auf den W32/Forbot-C hin, siehe http://www.sophos.de/virusinfo/analyses/w32forbotc.html

Scanne nochmal mit Kaspersky im abgesicherten Modus, vielleicht findet er noch was und fixe diese Einträge (Haken setzen und auf Fix Checked klicken):

O4 - HKLM\..\RunServices: [Win32 Wmls Driver] winitr32.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Na ja, den Kaspersky scan im abgesicherten Modus hab ich schon ein par mal gemacht, der findet jetzt nichts mehr.
Das fixen werd ich probieren, hoffentlich bringts was.
Noch ne kleine Zusatzfrage: Ich beantworte mit meinem Computer ne Menge Kundenanfragen per E-Mail, wie groß ist die Warscheinlichkeit, dass ich das Ding mit Thunderbird weitergegeben hab (wär echt peinlich)

Martin

Jetzt scheint es zu funktionieren, ich hab eben versucht ins Netz zu kommen, beim erstenmal wurde im Status der Verbindung wieder nur 200 Bytes als empfangen angezeigt, aber bei den nächsten Probeläufen mit anderen Anbietern hats dann funktioniert.
Ich glaube das hatte nur etwas mit dem einen Anbieter zu tun.

Mal sehen ob das jetzt in Ordnung bleibt, ich werd das erst einmal bis morgen ausgiebig testen.

Vielen Dank auf jeden Fall für Deine Mühen.

Martin

So ein Mist.
Es lag doch nicht an dem einem Anbieter, mir scheint, als würde das rein zufällig passieren.
Bei meinem ersten Einwahlversuch komme ich nicht ins Internet, muss aber trotzdem das Geld für die erste Minute bezahlen, ist echt ärgerlich.
Der zweite Versuch klappt dann aber - ist zwar besser als nichts, aber trotzdem nervt mich das-

Ich hab echt keine Ahnung was ich noch überprüfen könnte oder was ich noch machen soll, auf formatc: hab ich echt keine Lust, aber was anderes fällt mir nicht mehr ein.

Martin

Zitat:

Die Datei spoolsv.exe im Verzeichnis Windows/system32 kam immer wieder, auch nach manuellem löschen von spoolsv.exe und ich muss mit dem Taskmanager jedesmal spoolsv.exe ein par mal ausschalten bevor mein Internet funktioniert.

Hi!
... habe zwar keine Erfahrung mit Kerio-PF aber warum läuft 2x derselbe Prozess:

C:\Programme\KerioPF\Personal Firewall 4\kpf4ss.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\RoamMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\KerioPF\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\KerioPF\Personal Firewall 4\kpf4gui.exe

Vielleicht hilft ja deinstall von Kerio und danach neuinstall.

MFG
Blackdog

Das mit dem doppelten Prozeß ist mir garnicht aufgefallen. Ich werds mal versuchen, vielleicht bringts ja was.

Martin