Mal was anderes: spoolsv.exe

    • Offizieller Beitrag

    Moin,


    ich bin ein wenig unsicher, weil ich in meinem Taskmanager die Datei spoolsv.exe ständig als laufenden Prozess vorfinde.
    Sie belegt 0% Systemressourcen, ist aber eben ständig aktiv.


    Ich habe es in Erinnerung, dass der Druckerspooler nur dann aktiv sein dürfte, wenn auch gedruckt wird.
    Vor einigen Jahren gab es mal einen Trojaner, welcher sich als spoolsv.exe getarnt hat.
    Aber ich kann weder in der Registry die damals vorhandenen Run-Einträge finden, noch sonst irgendwelche Hinweise darauf ausmachen, dass ich es hier mit etwas Bösem zu tun habe.
    Sowohl Antivir, als auch SpyBot und auch Ad Aware sagen mir, dass nichts auf meinem System zu finden sei.
    Auch finde ich im Verzeichnis "C:\WINDOWS\system32\spool\PRINTERS" keine "Druckleichen", also stockende oder wartende Projekte. Das Verzeichnis ist leer. Die Drucker am Rechner sind beide abgeschaltet, wobei der Pixma i865 einen Standbymodus hat und bei Druckaufträgen über den Rechner "geweckt" werden kann. Der MP810 ist komplett abgeschaltet.
    Wenn Druckaufträge gestartet werden, erhält der Prozess auch ca. 5 bis 7% CPU-Recssurcen und im Ordner erscheinen die entsprechenden Dateien.
    Ich habe keinen konkreten Verdacht auf Viren, Trojaner oder ähnliches Gekreuche, trotzdem treibt mich die Neugier zu der Frage, ob bei Denjenigen von Euch, die auch Windows XP einsetzen (SP2) ebenfalls der Spooler ständig zu den aktiven Prozessen gehört?
    Auf unserem Schleppi, welcher nur SP1 drauf hat, ist er ebenfalls aktiv. da die aber im Netz zusammenhängen, sollte das nicht sonderlich aussagekräftig sein.


    Wär prima, wenn Ihr mal in Euren Taskmamager schauen könnten und mir schreibt, ob bei Euch ebenfalls der Spooler ständig aktiv ist oder vielleicht sonst einen Hinweis hat, sofern es da etwas weiteres zu wissen gibt.


    Viele Grüße
    Marcus

    Kalorien sind die kleinen Tierchen, die im Kleiderschrank die Hosen enger machen. .


    Der Propeller eines Flugzeuges ist nichts weiter, als ein überdimensionaler Ventilator, der den Piloten im Fluge kühlt.
    Der Beweis: Hört der Prop auf zu drehen, fängt der Pilot an zu schwitzen
    .
    :pilot:

    • Offizieller Beitrag

    Hallo Marcus


    Bei meinem Büro PC ist der spoolsv.exe jedenfalls auch aktiv und, wie ich glaube, auch auf unseren 3 Heimrechnern.
    Normalerweise muss man nur misstrauisch werden, wenn sich spoolsv.exe nicht im Verzeichnis C:\WINDOWS\system32\ befindet.


    Lieben Gruss
    Edi

    • Offizieller Beitrag

    Moin,
    wenn der besagte Trojaner bei Dir aktiv ist, heißt die Datei ein wenig anders und da hast Du eine 100% Auslastung.
    Gruß
    Ulrich

  • moin, ist halt ein Windowsdienst... der läuft und läuft.
    Habe ihn an allen Rechnern die garantiert nix drucken abgeschaltet.Wie auch die alle anderen die man nicht braucht.
    Bei Null oder geringer Last ists kein Virus.

    • Offizieller Beitrag

    Hi,
    danke für die schnellen Antworten.


    Ja, wenn es ein Trojaner ist, so war es bislang so, dass er nicht im Windows/System32 liegt oder einen anderen Namen hat.
    Beides konnte ich über diverse Suchaktionen ausschließen.
    Also mache ich mir mal keine Sorgen und denke, dass mir der bislang einfach nur nicht aufgefallen ist, ... warum auch immer er mir jetzt ins Auge gestochen ist.


    Danke & Viele Grüße
    Marcus

    Kalorien sind die kleinen Tierchen, die im Kleiderschrank die Hosen enger machen. .


    Der Propeller eines Flugzeuges ist nichts weiter, als ein überdimensionaler Ventilator, der den Piloten im Fluge kühlt.
    Der Beweis: Hört der Prop auf zu drehen, fängt der Pilot an zu schwitzen
    .
    :pilot:

  • Hallo zusammen
    Der obige Thread hat mich zu folgendem "Erguss" inspiriert.
    Auf dem PC laufen Programme, die man im Normalfall nie zu Gesicht bekommt. Sie verbrauchen Rechenzeit und werden zum Teil nie benutzt. Es sind die Windows-Dienste.
    Programme wie z.B. Edius Neo oder der Internet Explorer etc. erscheinen mit einem Fenster auf dem Desktop und man kann sie über das Start-Menü aufrufen. Windows-Dienste funktionieren auch nicht anders, aber man kann sie nicht auf dem Desktop sehen. Außerdem werden sie nicht per Mausklick, sondern meist automatisch gestartet.


    Einen Überblick, der die Dienste mit den dazugehörigen Programmnamen auf einen Blick zeigt, bekommt man über Start/Hilfe und Support.
    Einen besseren Überblick über die Dienste verschafft allerdings der Process Explorer von Sysinternals. Hier sieht man nicht nur die Windows-Dienste, sondern auch alle anderen Prozesse. Die Freeware zeigt nicht nur die hinter dem Prozess stehende Programmdatei mit Erklärung an (zum Beispiel svchost.exe), sondern auch in einem weiteren Fenster alle benutzten Programmbibliotheken (DLL-Dateien). Einziger Nachteil: Das Programm hat eine englische Benutzeroberfläche, aber das sollte für die meisten kein Problem sein.
    Gruss
    Glib