Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Warum will spoolsv.exe ins Internet? (https://www.trojaner-board.de/56480-will-spoolsv-exe-ins-internet.html)

März 21.07.2008 22:46
Warum will spoolsv.exe ins Internet?
 
Hallo,

ich habe folgendes Problem: Bei mir will spoolsv.exe immer wieder ins Internet. Wenn ich richtig weiß, ist das der Druckerspooler. Warum sollte der Druckerspooler ins Internet wollen? Habe XP.

Habe dazu natürlich gegoogelt. Man findet häufiger Fragen dazu, warum die spoolsv.exe ins Internet will. Diese Fälle scheinen mir anders gelagert. Bei mir geht keine Prefomance verloren oder sowas. Spoolsv.exe will einfach ins Internet.

Ich habe auf dem Rechner zwei Dateien mit diesem Namen gefunden und sie bei Jotti's gescannt – ohne Ergebnis.

C:\WINDOWS\system32
C:\WINDOWS\ServicePackFiles\i386

Ich bin trotzdem unsicher, ob es sich um Schadsoftware handelt. Habe bei Canon angerufen, um herauszufinden, ob es irgendwas mit dem Druckertreiber zu tun hat. Die schieben es auf Microsoft und bei Microsoft schiebt man es auf den Drucker.

Würde mich sehr freuen, wenn mir jemand helfen könnte.


Gruße

Ekke

KarlKarl 22.07.2008 03:14
Hi,

wo genau will er denn hin? Es könnte ja auch sein, dass er nicht ins Internet aber sehr wohl in dein lokales Netz will, Netzwerkdrucker sind heutzutage schließlich sehr verbreitet und die muss er dann ja auch erreichen können. Welche Firewall behauptet da denn was, also IPs, Ports, usw?

Gruß, Karl

März 22.07.2008 09:54
Hallo Karl,

danke für Deinen Hinweis. Mein Drucker hängt per USB an meinem Rechner. Netzwerk habe ich nicht. Firewall ist Zone Alarm. :balla:

Hier mal Kopien aus dem Log von Zone Alarm. Von Port lese ich da leider nix. Ich weiß nicht genau, wie man den Port rausfindet. Ich habe ein paar Versuche als Beispiele rausgesucht. Wenn Du mir sagst, wie man den Port rausfindet, dann kann ich den noch nachliefern. :confused:


Beschreibung Spooler SubSystem App wurde temporär blockiert von eine Verbindung hergestellt hat, um, das Internet (193.97.251.210:DNS).
Bewertung Hoch
Datum/Uhrzeit 2008/07/22 00:17:06+2:00 GMT
Typ Programmzugriff
Programm spoolsv.exe
Quell-IP-Adresse
Ziel-IP 193.97.251.210:53
Richtung Ausgehend (Verbindung herstellen)
Maßnahme Gesperrt
Anzahl 1
Quell-DNS
Ziel-DNS tagessch.ivwbox.de



Beschreibung Spooler SubSystem App wurde temporär blockiert von eine Verbindung hergestellt hat, um, das Internet (62.156.238.42:DNS).
Bewertung Hoch
Datum/Uhrzeit 2008/07/22 00:05:08+2:00 GMT
Typ Programmzugriff
Programm spoolsv.exe
Quell-IP-Adresse
Ziel-IP 62.156.238.42:53
Richtung Ausgehend (Verbindung herstellen)
Maßnahme Gesperrt
Anzahl 1
Quell-DNS
Ziel-DNS a1815.g.akamai


Beschreibung Spooler SubSystem App requested permission to access the internet.
Bewertung Hoch
Datum/Uhrzeit 2008/07/21 15:58:54+2:00 GMT
Typ Bekanntes Programm
Programm C:\WINDOWS\system32\spoolsv.exe
Quell-IP-Adresse
Ziel-IP 209.85.129.147:53
Richtung Ausgehend (Verbindung herstellen)
Maßnahme Gesperrt (einmal)
Anzahl 1
Quell-DNS


Beschreibung Spooler SubSystem App requested permission to access the internet.
Bewertung Hoch
Datum/Uhrzeit 2008/07/21 15:58:54+2:00 GMT
Typ Bekanntes Programm
Programm C:\WINDOWS\system32\spoolsv.exe
Quell-IP-Adresse
Ziel-IP 209.85.129.147:53
Richtung Ausgehend (Verbindung herstellen)
Maßnahme Gesperrt (einmal)
Anzahl 1
Quell-DNS
Ziel-DNS www.l

(kein Tippfehler, steht wirklich so in der Log von ZA, da will er ständig hin )


Beschreibung Spooler SubSystem App wurde temporär blockiert von eine Verbindung hergestellt hat, um, das Internet (209.85.129.104:DNS).
Bewertung Hoch
Datum/Uhrzeit 2008/07/18 17:40:34+2:00 GMT
Typ Programmzugriff
Programm spoolsv.exe
Quell-IP-Adresse
Ziel-IP
Richtung Ausgehend (Verbindung herstellen)
Maßnahme Gesperrt
Anzahl 1
Quell-DNS
Ziel-DNS


Gruß und Dank

Ekke

KarlKarl 22.07.2008 17:04
Das wundert mich dann doch. 209.85.129.147 ist Google, was der Druckerspooler dort will, die Portangaben sind hier die auf die IP hinter einem Doppelpunkt folgenden Zahlen, Port 53 ist DNS, bloß ist dort kein DNS. Mal weiter schauen.

Fertige ein Hijackthis Log deines Systems an. Dazu diese Datei runterladen und installieren. Alle anderen Programme schließen, Hijackthis.exe starten, auf "Scan" klicken und das Log hier posten.

Geh zu VirusTotal und lade dort die C:\WINDOWS\system32\spoolsv.exe für einen Onlinescan hoch. Die Ergebnisse bitte mit den ergänzenden Angaben wie Dateiname und Dateigröße, MD5 und den ganzen technischen Daten hinten hierher kopieren.

März 22.07.2008 18:36
Jup, here we go:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:22:06, on 22.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1214814391109
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4888 bytes




ntivirus Version letzte aktualisierung Ergebnis

AhnLab-V3 2008.7.11.0 2008.07.14 -
AntiVir 7.8.0.64 2008.07.14 -
Authentium 5.1.0.4 2008.07.13 -
Avast 4.8.1195.0 2008.07.14 -
AVG 7.5.0.516 2008.07.14 -
BitDefender 7.2 2008.07.14 -
CAT-QuickHeal 9.50 2008.07.14 -
ClamAV 0.93.1 2008.07.14 -
DrWeb4.44.0.09170 2008.07.14 -
eSafe 7.0.17.0 2008.07.13 -
eTrust-Vet 31.6.5954 2008.07.14 -
Ewido 4.0 2008.07.14 -
F-Prot 4.4.4.56 2008.07.13 -
F-Secure7.60.13501.0 2008.07.14 -
Fortinet 3.14.0.0 2008.07.14 -
GData2.0.7306.1023 2008.07.14 -
Ikarus T3.1.1.26.0 2008.07.14 -
Kaspersky 7.0.0.125 2008.07.14 -
McAfee 5337 2008.07.11 -
Microsoft 1.3704 2008.07.14 -
NOD32v2 3266 2008.07.14 -
Norman 5.80.02 2008.07.14 -
Panda 9.0.0.4 2008.07.14 -
Prevx1 V2 2008.07.14 -
Rising 20.53.02.00 2008.07.14 -
Sophos 4.31.0 2008.07.14 -
Sunbelt 3.1.1536.1 2008.07.12 -
Symantec 10 2008.07.14 -
TheHacker 6.2.96.379 2008.07.14 -
TrendMicro 8.700.0.1004 2008.07.14 -
VBA32 3.12.6.9 2008.07.13 -
VirusBuster 4.5.11.0 2008.07.14 -
Webwasher-Gateway 6.6.2 2008.07.14 -



File size: 57856 bytes
MD5...: 39356a9cdb6753a6d13a4072a9f5a4bb
SHA1..: 0e9b4188b75ebf9e6d207cc5ea2d811e193b5e4c
SHA256: 7e41478460b0ffe7606f245b74ad60244816f4523fd4355c26badf724bce6575
SHA512: 3d56e8592d011ec99924d3b6afad3d6c707700b1f50f272603a40fabb4952ed3
7a373f1ff5321af30159c70a4e1529b3ffdff888c15bff7859a9e119fce7cf16
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100461b
timedatestamp.....: 0x48025ce1 (Sun Apr 13 19:20:01 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xba70 0xbc00 5.96 07f62c2dd4ed0308dea78a7ae3f9a7a1
.data 0xd000 0x13b4 0x1400 2.24 887444c39cada5bd753c428783e0009b
.rsrc 0xf000 0xc68 0xe00 6.18 8b7aa680680d5c40e90647de12607611

( 6 imports )
> ADVAPI32.dll: SetServiceStatus, RegQueryValueExW, AllocateAndInitializeSid, FreeSid, InitializeSecurityDescriptor, SetSecurityDescriptorOwner, SetSecurityDescriptorGroup, GetLengthSid, InitializeAcl, AddAccessAllowedAce, AddAccessDeniedAce, GetAce, SetSecurityDescriptorDacl, GetSecurityDescriptorLength, MakeSelfRelativeSD, RegDisablePredefinedCache, RegOpenKeyExW, RegCloseKey, RegisterServiceCtrlHandlerExW, StartServiceCtrlDispatcherW
> GDI32.dll: bMakePathNameW, GdiInitSpool, GdiGetSpoolMessage
> KERNEL32.dll: GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, GetCurrentProcessId, SetUnhandledExceptionFilter, GetModuleHandleA, GetCurrentThreadId, GetTickCount, UnhandledExceptionFilter, QueryPerformanceCounter, FreeLibrary, InterlockedExchange, GetModuleHandleW, GetLastError, ExitThread, CloseHandle, WaitForSingleObject, CreateEventW, CreateThread, ExitProcess, Sleep, OpenEventW, LoadLibraryA, InitializeCriticalSection, LocalFree, LocalAlloc, SetEvent, LeaveCriticalSection, EnterCriticalSection, SetLastError, OpenProcess, InterlockedIncrement, RaiseException, InterlockedDecrement, GetProcAddress, GetSystemDirectoryW
> msvcrt.dll: __initenv, _exit, __getmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _controlfp, _XcptFilter, wcsrchr, wcslen, _c_exit, _stricmp, _wcsnicmp, _except_handler3
> ntdll.dll: RtlValidRelativeSecurityDescriptor
> RPCRT4.dll: RpcServerRegisterIf2, I_RpcBindingIsClientLocal, I_RpcSessionStrictContextHandle, RpcRaiseException, RpcImpersonateClient, RpcRevertToSelf, NdrServerCall2, RpcServerUseProtseqEpA, I_RpcSsDontSerializeContext, RpcMgmtSetServerStackSize, RpcServerListen

( 12 exports )
YDriverUnloadComplete, YEndDocPrinter, YFlushPrinter, YGetPrinter, YGetPrinterDriver2, YGetPrinterDriverDirectory, YReadPrinter, YSeekPrinter, YSetJob, YSetPort, YSplReadPrinter, YWritePrinter


Uff, vielen Dank


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:53 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131