-->...ich bekomme das Ding nicht weg.
In der Registry nur in dieser: HKLMSoftwareMicrosoftWindowsCurrentversionRunServicesName=srv32 spool services Wert = spoolserv32.exe
so stehts drin und wenn ich dies löschen will, geht es zwar weg, sobald ich wieder zurückklicke ist die sache wieder da!
Also, das Ding ist nicht wegzukriegen. Es war noch eine dll dabei, mit ähnlichem Namen, gleichem Datum, gleicher Uhrzeit. Die konnte ich löschen!
Weiss einer Rat?
Gruss
Otto

-->>...ich bekomme das Ding nicht weg.
>In der Registry nur in dieser: HKLMSoftwareMicrosoftWindowsCurrentversionRunServicesName=srv32 spool services Wert = spoolserv32.exe
>so stehts drin und wenn ich dies löschen will, geht es zwar weg, sobald ich wieder zurückklicke ist die sache wieder da!
>Also, das Ding ist nicht wegzukriegen. Es war noch eine dll dabei, mit ähnlichem Namen, gleichem Datum, gleicher Uhrzeit. Die konnte ich löschen!
>Weiss einer Rat?
>Gruss
>Otto

Du bist verseucht! Da hilft z.B.
HijackThis
http://klaffke.info/download/sicherheitstools/pruefung.com
herunterladen und starten

Scan dann mit Hijackthis und fixe (Häckchen vor folgende Einträge und auf fix checked klicken) alle einträge mit [Srv32 spool service]... spoolsrv32.exe

dann das Programm abschiessen (STRG+ALT+ENTF -> auswählen > beenden) und löschen.
Dann Neustart, Spybot installieren und durchlaufen lassen (security.kolla.de), Probleme beheben, IE immunisieren, Neustart, nochmal Hijackthis starten und Log posten oder mir mailen wama76 ätt gehemmix punkt de

-->Du hast einen Schädling im Hintergrund laufen. Solange der läuft, kannst Du aus der Registry löschen, soviel du willst, der schreibt sich im selben Moment wieder rein. Daher muss der Schädling erstmal gestoppt werden. Das ist nicht so einfach, da er sich als Dienst tarnt. Wenn er nach drücken von strg+alt+entf nicht in der Liste auftaucht, musst Du ihn löschen, bevor Windows startet. Dazu beim Starten F8 drücken. Dann kommt das Windows-Startmenu. Dort Abgesicherter MS-DOS Modus auswählen. Dann wird kein treiber geladen, wenn Du Pech hast nichteinmal eine Deutsche Tastatur. Den Schädling von Hand löschen. Neustart am besten ohne Internetverbindung (einfach Kabel ziehen!). Hijackthis starten, die fragliche Zeile auswählen und fix(en) lassen!
Das funktioniert nur!!! wenn der Schädling nicht gerade aktiv ist (im letzen Post hab ich das verbaselt, erst Schädling killen, dann fixen mit Hijackthis, dann löschen von der Platte).
Dann mit Spybot nach Kameraden des Schädlings und"Nachladefunktion" suchen lassen, Probleme beheben und den IE immunisieren, dann Neustart und erst dann wieder ans Netz/Kabel einstecken.
Zur Kontrolle logfile von Hijackthis anschauen und kontrollieren!

Viel Erfolg Roland

-->Das ist ein Systembestandteil von Windows! Bloss nicht löschen...

-->>Das ist ein Systembestandteil von Windows! Bloss nicht löschen...

Du kannst mir sicher sagen, von welchem Windows. Und zwar bitte genau, mit Filegrösse und Versionsdatum.

-roland

-->>Das ist ein Systembestandteil von Windows! Bloss nicht löschen...

Nanu? Ist bei mir erst seit 2.7.05, W98 habe ich aber schon lange!

@Wassermann:
Ich kann F8 nicht benutzen, keine Funktion! ich habe mehrere Partitionen sowie 2 Festplatten, denn ich habe noch DOS und WIN 3.11 drauf. Ich benötige diese für diverse Programmiergeräte für BOS Funkgeräte usw.

Wenn ich starte, kommt nach einiger Zeit der System Commander und zeigt ein fenster zur Partitionsauswahl. Wenn ich Win98 aufrufe, so kann ich dann F8 drücken wie ich will, es tut sich nichts.
Bevor der System Commander kommt, hilft es auch nichts.
Aus Win 98 heraus habe ich ebenfalls keinen Zugriff auf die DOS Ebene, es fehlen da einige pif Dateien.
Mich stört nur, dass mein Firewall mich damit nervt, dass er nachfragt, ob ich einen Zugriff dieser spoolserv32.exe gestatte. Ich sage nein und damit ist das Ding blockiert. Kann eigentlich nichts passieren, oder?
Gruss
Otto

-->Hallo, Otto,

vielleicht kannst Du im ersten Schritt nur den Namen"spoolserv32.exe" durch den Eintrag"_spoolserv32.exe" ersetzen. Nach einem Neustart und wenn dann nicht dier Eintrag erneut im Registry auftaucht, solltest Du dann den Schlüssel löschen können.

Die Datei spool32.exe ist eine Druckerspooler-Datei, die wird vermutlich die Winduwsdatei sein, die hier angesprochen wurde. Da ich z.Z. auch an einem Computer mit Windows98-System sitze, werde ich die Startreihenfolge testen, denn es kann sein, das F8 hier noch nicht funktioniert.

Gruß!

-->>>Das ist ein Systembestandteil von Windows! Bloss nicht löschen...
>Nanu? Ist bei mir erst seit 2.7.05, W98 habe ich aber schon lange!
>@Wassermann:
>Ich kann F8 nicht benutzen, keine Funktion! ich habe mehrere Partitionen sowie 2 Festplatten, denn ich habe noch DOS und WIN 3.11 drauf. Ich benötige diese für diverse Programmiergeräte für BOS Funkgeräte usw.
>Wenn ich starte, kommt nach einiger Zeit der System Commander und zeigt ein fenster zur Partitionsauswahl. Wenn ich Win98 aufrufe, so kann ich dann F8 drücken wie ich will, es tut sich nichts.
>Bevor der System Commander kommt, hilft es auch nichts.
>Aus Win 98 heraus habe ich ebenfalls keinen Zugriff auf die DOS Ebene, es fehlen da einige pif Dateien.
>Mich stört nur, dass mein Firewall mich damit nervt, dass er nachfragt, ob ich einen Zugriff dieser spoolserv32.exe gestatte. Ich sage nein und damit ist das Ding blockiert. Kann eigentlich nichts passieren, oder?
>Gruss
>Otto

Wenn der Schädling nicht rauskann, passiert eigentlich nix, wenn es sich nur um ein Backdoor o.ä. handelt. Leider wissen wir immer noch nicht, was es eigentlich ist. Daher würde ich schauen, das ich das Ding loswerde.

Deshalb: Auf dem Windows-98-Startlaufwerk die Datei msdos.sys suchen (Ist im Gegensatz zu MSDOS <=6.22 eine ASCII-Datei). Diese ist versteckt und schreibgeschützt. Das ganze aufheben (attrib c:msdos.sys -r -s -h) und mit einem Editor öffnen (edit C:msdos.sys) und unter [Options ]die Zeile"BootMenu=1" einfügen. Dann erscheint das Auswahlmenu immer! Nun nach Rezept vorgehen. Wenn das Menu nervt, die Zeile auskommentieren ( ; davorsetzen) und zur Sicherheit die Datei wieder zur Systemdatei machen (attrib c:msdos.sys +r +s +h]

Viel Erfolg Roland

-->>Otto:[i]Ich kann F8 nicht benutzen, keine Funktion! ich habe mehrere Partitionen sowie 2 Festplatten, denn ich habe noch DOS und WIN 3.11 drauf. Ich benötige diese für diverse Programmiergeräte für BOS Funkgeräte usw.
>Wenn ich starte, kommt nach einiger Zeit der System Commander und zeigt ein fenster zur Partitionsauswahl. Wenn ich Win98 aufrufe, so kann ich dann F8 drücken wie ich will, es tut sich nichts.[/i]

Hallo, Otto,

eigentlich sollte auch bei Deiner Kostellation die F8-Ttate funktioniere, jedoch icht zu beachten, dass nur in einem kleinen"Zeitfenster" beim Start die Taste in der erhofften weise wirkt, nämlich dann, sobald Du die die Startmitteilung"Windows98" auf dem Bildschirm siehst.

Gruß!

-->>>Das ist ein Systembestandteil von Windows! Bloss nicht löschen...
>Du kannst mir sicher sagen, von welchem Windows. Und zwar bitte genau, mit Filegrösse und Versionsdatum.
>-roland

Naja, die Datei die ich meinte heiss Spoolsv.exe - aber ich war immerhin nah dran ;-)

Kann mich nur erinnern, dass da mal ein Hoax im Umlauf war, der aufforderte, diese Datei zu löschen - mit der Begründung, es sei ein Trojaner.

-->....
wenn die Datei für Windows benötigt wird, warum habe ich die erst seit 2.7.05? Ausserdem ist die Datei auch im Autostart eingetragen, wenn ich sie dort herausnehme (ich möchte dies schlank halten) ist sie schnell wieder drin! Sie setzt sich also auomatisch ein!
Scheint also doch was mit einem Wurm zu sein? Genau heisst das Ding:
spoolserv32.exe
Sie will auch von Zeit zu Zeit auf das Netzwerk zugreifen, zumindest meldet sich mein Firewall wenn ich im Netz bin mit dem Hinweis:
spoolserv32.exe Zugriff auf Netzwerk gestatten?
Ich sage nein, es passiert auch nichts wenn ich nicht gestatte.
Warum sollte ein Druckertreiber hier zugreifen wollen?
Warum trägts sich diese Datei automatisch in den Autostartordner ein?
Grübel...
Gruss
Otto

-->>Otto:[i]... wenn die Datei für Windows benötigt wird, warum habe ich die erst seit 2.7.05? Ausserdem ist die Datei auch im Autostart eingetragen, wenn ich sie dort herausnehme (ich möchte dies schlank halten) ist sie schnell wieder drin! Sie setzt sich also auomatisch ein!
>Scheint also doch was mit einem Wurm zu sein? Genau heisst das Ding:
>spoolserv32.exe[/i]

Hallo, Otto,

bitte trenne klar zwischen den Dateien spoolserv32.exe(?), dem Namen, den Du hier angegeben hast, und spoolsv.exe/spool32.exe (spoolss.dll)!

Die Datei,spoolserv32.exe(?), die Du mit dem Datum 02.07.05 auf Deinem Rechner hast - ich hoffe, dass Du sie zwischenzeitlich los geworden bist -, ist definitiv keine notwendige Win98-Systemdatei, denn sie existiert auf meinem Win98er-Rehner nicht, und dieser läuft trotzdem ordnungsgemäß.

Bitte verwechsle spoolserv32.exe auch nicht mit der Datei, spoolsv.exe, der Datei, die YIHI erwähnte, denn bei dieser Datei handelt es sich wohl um eine Druckerunterstützungsdatei ("Spooler","sammelt" den Druckauftrag bzw. die Druckaufträge und führt diesen bzw. diese ggf. im"Hintergrund" zu anderen laufenden Anwendungen aus), die wohl für die Systeme ab Windows2000 eingesetzt wird.

Bei dem Win98-System, ist der Name der Druckerunterstützungsdateien spool32.exe in Verbindung mit der zugehörigen Bibliotheks-Datei spoolss.dll, die Du keinesfalss löschen solltest.

Ich hoffe nun nicht den Namenwirrwarr noch mehr vergrößert zu haben.

Wenn Du in Deiner Umgebung keine Fachunterstützung finden solltest, die vielleicht sich direkt mit Deinem Rechner von"Angesicht zu Angesicht" auseinander setzen kannst, dann kann man vielleicht über einen direkten Telefonkontakt den Versuch starten, die Lösung das Problems zu suchen (gibt es den eigentlich die erwähnte Textdatei, ich glaube"Key.txt" war der Name gem. Virenbeschreibung, auf Deinem Rechner?).

Wenn Du meinst, diese Vorgehensweise könnte helfen, dann erkundige Dich bitte bei elli nach meiner Email-Adresse - das Risiko, das Testergebnis zu erfahren, wie gut meine"Virensicherung" ist, gehe ich ein - nach meiner Telefonnummer.

Gruß,
Uwe

-->>...ich bekomme das Ding nicht weg.
>In der Registry nur in dieser: HKLMSoftwareMicrosoftWindowsCurrentversionRunServicesName=srv32 spool services Wert = spoolserv32.exe
>so stehts drin und wenn ich dies löschen will, geht es zwar weg, sobald ich wieder zurückklicke ist die sache wieder da!
>Also, das Ding ist nicht wegzukriegen. Es war noch eine dll dabei, mit ähnlichem Namen, gleichem Datum, gleicher Uhrzeit. Die konnte ich löschen!
>Weiss einer Rat?
>Gruss
>Otto

AdawareSE bei www.lavasoft.com runterladen und laufen lassen. Alles bemängelte löschen. Wenn das nicht hilft:

Win98: mit einer Bootdiskette booten und die Datei umbenennen (bsp in _spoolserv32.exe). DOS-Virenscanner laufen lassen. Dann neu starten und schauen, ob die Datei erneut erscheint. Wenn nicht - OK - ansonsten wird es haarig! Dann musst du dir einen Reg-Editor besorgen, der auch im DOS-Mode läuft (wenns das gibt?!?). Alle Autostart-Ordner bereinigen.

Win2000/XP: In den Services nachschauen, ob da was eingetragen ist. Wenn ja, stoppen und in den Eigenschaften auf Disabled setzen. Bei www.sysinternals.com den ProzessExplorer holen (free) und starten. Alle Columns einschalten und man sieh die Pfade, woher der Dreck geladen wird. Die suspekten Prozesse stoppen. Ansonsten Registry bereinigen. Alle Autostart-Ordner beeinigen. Wenn nach Neustart das Zeug wieder in der Reg auftaucht, den Eintrag verändern bsp auf"unsinn.exe" und alle Rechte entfernen (Regedt32.exe). Neustart. Wenn das nicht hilft, Platte ausbauen und in"sauberes" System als Slave einbauen und mit Virenscanner/Adaware bereinigen.

Gruss

PS: CoolWebSearch ist voll die Seuche! Da hilft nur der Plattenumbau:-(

-->Autoruns

Zeigt alles, was beim Start abgeht... echt Klasse... [img][/img]

Da sollte ich öfter vorbei

sam
<ul> ~ Download</ul>

-->.....
also, da habe ich mich verschrieben, die Datei heisst spoolsrv32.exe
Die anderen von dir angeführten habe ich auch gesehen, sind auch vom Datum ok.
Mich stört die Sache eigentlich nicht, ich bin nur draufgekommen, da sich mein Firewall von Zeit zu Zeit meldet, dass diese Datei spoolsrv32.exe auf das Netzwerk zugreifen will. Also vermutlich irgendwelche Daten senden möchte. Auch dass sie sich immer wieder in den Autostart einträgt, das ist doch ungewöhnlich! Auch habe ich bemerkt, dass sich mein DFÜ von selbst meldet, d.h. das Fenster geht auf (ich habe keine Automatik eingestellt), mir kommt vor als wenn die spoolsrv32.exe dies anregt und sich einwählen möchte.

Falls das ein Spion ist, so würde dieses Verhalten genau passen.

Nun, dein Hinweis mit dem Unterstrich hilft nicht, die trägt sich immer wieder 'richtig' ein!
Ich werde mal die von anderen hier eingestellten Dinge probieren, falls das nicht klappt, wende ich mich per mail an dich!
Danke und GRuss
Otto

-->>....
>wenn die Datei für Windows benötigt wird, warum habe ich die erst seit 2.7.05?

Also, Otto,

Objekte mit neuerem Datum/Uhrzeit in Systembibliotheken sind nicht unbedingt ein Hinweis darauf, dass es sich dabei um Ir(r)egularitaeten handeln muss. Selbst bei der Altbetriebssystemschote Windows 98, die seit nunmehr ueber 1 Jahr von Microsoft aus der Wartung genommen wurde, gilt diese Regel. Im Falle eines installierten IE 6.0 koennen auch fuer W98 noch Updates neuesten Datums kommen, die in Systembibliotheken eingespielt werden.

>Ausserdem ist die Datei auch im Autostart eingetragen, wenn ich sie dort herausnehme (ich möchte dies schlank halten) ist sie schnell wieder drin! Sie setzt sich also auomatisch ein!

Na so aebbes abbera!

Der Proklammierer war schon ein fixes Buerschchen, wenn er Otto's Killerinstinkte vorausgesehen hat, nich wahr, Otto?

>Scheint also doch was mit einem Wurm zu sein? Genau heisst das Ding:
>spoolserv32.exe

Noe, es heisst spoolsrv32.exe:

Bitte spoolsrv32 vor dem suchen richtig eintippen

Du wirst herausfinden, dass die gefundene Nummer 2 bei Dir zutrifft, es handelt sich um ein Wuermchen.

Bei solchem Gelumpe, lieber Otto, da muss man schon genau hinschauen und ggf. auch ebenso eintippen, sonst wird da evtl. schnell ein perfektes nogo draus!

>Sie will auch von Zeit zu Zeit auf das Netzwerk zugreifen, zumindest meldet sich mein Firewall wenn ich im Netz bin mit dem Hinweis:
>spoolserv32.exe Zugriff auf Netzwerk gestatten?
>Ich sage nein, es passiert auch nichts wenn ich nicht gestatte.

Schoen fuer Dich, dass nix exploddert, Deine biseitige Feuerwand scheint zu funktionieren, aber eine Gewaehr, dass in so einem Fall echt nix passiert, die hast Du niemals, es koennen naemlich manchmal Dinge passieren, die Du erst viel spaeter merkst oder auch zu fuehlen bekommen wirst.

>Warum sollte ein Druckertreiber hier zugreifen wollen?

Selbstverstaendlich greifen Druckertreiber auch auf Netzwerke zu, und zwar regelmaessig dann, wenn sie vernetztes Druckgeraet suchen oder mit Arbeit ueberhaeufen wollen. Der Term Netzwerk, der heisst nicht unbedingt immer das Internet, das koennen auch lokale oder drahtlose oder virtuelle Netzwerke sein, die ggf. noch nicht mal vorhanden sein muessen sondern lediglich konfiguriert sind.

>Warum trägts sich diese Datei automatisch in den Autostartordner ein?

Na ganz einfach, weil es der Wuermchenschoepfer so wollte, s.o!

Das gleiche Spiel haette er auch in der Registry unter HKLM-Microsoft-Windows-Current Version-Run/RunOnce/RunServices/RunServicesOnce machen koennen, ohne den richtigen Regedit haetteste das ueberhaupt nicht sehen koennen, weil der Autostartordner eine ganz andere aber dennoch sehr aehnlich Baustelle ist.

>Grübel...

...gruebel und studier...

Das Deinem fehlerhaften"spoolserv32" sehr aehnlich lautende Teil, das Du erfolgreich dauerhaft aus der Registry loeschend verbannt hast, war aller Wahrscheinlichkeit nach ein kleiner aber nicht voellig unwichtiger Teil des WIN98 auf Deiner Kiste. Um das wieder zu reparieren, jetzt, nach Tagen und Deinen vielen vielen Versuchen dem armen Wuermchen den Kragen abzudrehen, da hilft nur noch ein clean setup vom WIN98 dagegen, scanreg /restore ist schon etwas sehr spaet.

Mach das mal:

kostenlos

>Gruss
>Otto

Waidmanns Heil
TD