spools.exe - was ist das... Druckerwarteschlange ist es nicht

[Poison Nuke 10]

Hallo,

 

nachdem ich wegen eines recht großes Floods im IP Netzs meines Servers mal wieder genauer nach ihm geschaut hatte, ist mir der Prozess "spools.exe *32" aufgefallen. Der ist mir doch irgendwie neu....aber der Dienst "Druckerwarteschlange" ist deaktivert und läuft nicht.

 

Es muss also was anderes sein. Die Datei ist zu finden unter:

 

C:\Windows\SysWOW64\mui\0401\

 

als ich den den Prozess beenden wollte...ging nicht...lief einfach weiter.

Die Datei löschen ging auch nicht...aber interessanterweise konnte ich mit Notepad da drin rumschreiben...also einfach mal den gesamten Inhalt der Datei gelöscht und System neu gestartet...und HILFFE..da ging rein gar nix mehr danach, kein Remote Desktop, keine MMC, keine Dienste, keine Taskleiste, kein Explorer nur Apache und MySQL liefen noch.

 

Naja, dann bin ich halt schnell ins Rechenzentrum und lokal konnte ich mich noch anmelden, da hab ich die spools.exe wiederhergestellt und neugestartet und alles läuft.

 

 

Jetzt bin ich echt mal total platt...laut Google ists zu 54% ein Trojaner...ja super, was soll denn das jetzt bedeuten.

Interessanterweise zeigt die Windows Firewall nix an...kann man der wohl doch nicht vertrauen? Oder ists irgendwas von Windows x64, was mir bisher nie aufgefallen ist? Weil außer XAMPP, Mail Enable und Bandwith Monitor ist da nix an Software installiert worden. Ich wüsste also nicht, wie es überhaupt draufkommen sollte :?

[IThome 10]

Die Datei ist mir auch nicht bekannt (spoolsv.exe und spoolss.dll ist bekannt), daher tippe ich auf einen Trojaner (laut mehrerer Beschreibungen ein Keylogger). Warum sollte die Windows Firewall etwas anzeigen ? Eventuell ist der Server gehackt worden oder ein lokaler Benutzer, falls vorhanden, hat sich etwas gefangen. Wie ist er denn abgesichert, Virenschutz, Firewall, IDS oder was weiss ich ?

[Poison Nuke 10]

der einzige Schutz ist leider nur die Windows Firewall, lokal kann sich kein Nutzer anmelden...weil dazu müsste er erstmal an den Server rankommen.

 

Softwaremäßig hab ich nix installiert, außer die genannte Software.

 

Wie kann der überhaupt drauf gekommen sein?

Und ob ich den ohne Neuinstall loswerde?

[IThome 10]

Ich kenne das Ding jetzt nicht, aber nach erster Sichtung in anderen Forenbeiträgen wird das sehr schwierig. In jedem Fall aber ist es nicht zu empfehlen, einen durch einen Keylogger befallenen Rechner retten zu wollen, die Gefahr ist einfach zu gross. Welcher Virenschutz läuft da eigentlich drauf ? Ich persönlich bin der Meinung, dass der Rechner eine feindliche Übernahme hinter sich hat (von selbst kommt sowas sicher nicht, schon gar nicht, wenn sich niemand dort anmeldet) ...

[Lian 2.376]

Welchen Anti-Virus verwendest Du?

 

Ich würde sagen: F&R (Flat & Rebuild) => Neuinstallieren. Stimme also IThome zu.

[Poison Nuke 10]

aber ganz ehrlich: WIE ?

 

Wenn da einer ins System rein gekommen ist, muss er ja mein Passwort gehabt haben, oder gäbe es noch einen anderen Weg?

 

AV Software hab ich AntiVir und Rising AV drüberlaufen lassen, beide zeigen nix an...noch verwunderlicher.

 

 

gäbe es eine Testversion von einer anderen AV Software? Will nicht extra eine Soft für nichts kaufen.

[Lian 2.376]

Fast jeder Virenhersteller bietet auch einen Trial, versuch mal Kaspersky oder McAfee.

 

Es gibt viele Wege für einen Virus, Trojaner oder eine Backdoor Infektion. Vor allem, wenn das System ungeschützt, sprich ohne AntiVirus war.

[Poison Nuke 10]

von der Logik her sollte eine AV Software ja unnötig sein, wenn die Firewall funktionieren würde. Aber ok, da die Firewall nicht funktioniert hat, muss ich wohl doch noch zusätlich eine AV kaufen.

 

Diese gigantische Imkompetenz von MS regt mich mehr und mehr auf.

[IThome 10]

Hm, Du veröffentlichst einen Windows-Server im Internet ohne richtige Firewall und ohne Virenschutz und sprichst von einer gigantischen Inkompetenz Microsofts, wenn etwas passiert ... naja ...

[Lian 2.376]

Da vermute ich mal stark, daß eher XAMPP die Lücke ist, zumal es nicht für den Produktivbetrieb ausgelegt ist, das sagen die Macher selbst.

 

Jedes OS ist verwundbar.

 

Um ehrlich zu sein klingt es eher danach, daß der Admin des Systems nachlässig oder das war, was Du MS nachsagst.

[Poison Nuke 10]

nichts naja...es ist Codeschrott, da müssen wir nicht um den heißen Brei reden.

 

Wenn schon die hauseigene Firewall ihren Dienst nicht tut und man massenhaft Software braucht, um den schweizer Käse einigermaßen geschlossen zu halten. Ich hatte halt dummerweise darauf vertraut, dass bei 2k3 die Firewall ihrem Namen gerecht wird.

 

schon ****, wenn man auf Windows angewiesen ist, weil einige benötigte Software nicht unter Linux läuft.

 

 

 

PS: also der Problematik um XAMPP bin ich mir bewusst und hab da auch sämtliche Zugänge, die von den Entwicklern genannt wurden, abgesichtert. Es läuft ja nur noch der Apache mit PHP und MySQL und das allein ist ja für den Produktivbetrieb ausgelegt... oder hab ich da was übersehen?

[GuentherH 61]

Hallo.

 

Es läuft ja nur noch der Apache mit PHP und MySQL und das allein ist ja für den Produktivbetrieb ausgelegt... oder hab ich da was übersehen?

 

Wenn ich mir so die Statistiken der Sicherheitsdienste ansehe, wie viele Server durch PHP-Lücken und SQL-Injection übernommen wurden, dann würde ich sagen, dass dein Server auch in dieser Statistik aufscheint. ;)

 

Und wahrscheinlich gibst du auch deinem Autohersteller die Schuld, wenn du besoffen mit dem Auto gegen den Laternenmast fährst. ;)

 

LG Günther

[Lian 2.376]

oder hab ich da was übersehen?

Ja, um nicht um den zitierten heißen Brei zu reden: Den Virenschutz und sicherlich auch ein ordentliches Patchmanagement.

Zudem ist die Software Firewall nicht dazu gedacht eine vernünftige Appliance zu ersetzen.

[djmaker 95]

Bzgl. des "unsicheren" Microsoft-Quellcodes:

 

Auch "sichere" Linux-/Unix- und Solaris-Systeme stehen meistens in einer sogenannten DMZ.

 

Demilitarized Zone ? Wikipedia

 

Normalerweise sollte der Server sofort physisch vom Netz getrennt werden. Sofern nicht noch Daten gesichert werden müssen (die natürlich auch geprüft werden müssen) kann man den Server nur noch löschen und neu installieren. Alles andere ist grob fahrlässig und grenzt an Vorsatz.

[Dr.Melzer 191]

nichts naja...es ist Codeschrott, da müssen wir nicht um den heißen Brei reden.

 

Wenn es so wäre wundert es mich dass die meisten enterprise Firmen dann doch diesen "Codeschrott" einsetzen. Mann müssen die doof sein...

 

Wenn schon die hauseigene Firewall ihren Dienst nicht tut und man massenhaft Software braucht, um den schweizer Käse einigermaßen geschlossen zu halten. Ich hatte halt dummerweise darauf vertraut, dass bei 2k3 die Firewall ihrem Namen gerecht wird.

 

Ich würde dir mal einen grundlegenden Kurs über Systemsecurity empfehlen, denn da lernt man unter anderen dass eine Firewall und ein Virenscanner zwei Paar Stiefel sinde und unterschiedliche Aufgabenbereiche bedienen.

 

Dummerweise hast du auf deine (eher als mangelhaft zu bezeichnende) Kompetenz vertraut was ein großer Fehler war.

 

Wie sagte meine Oma immer:

 

"Jeder Mensch ist schlau. Weniger vorher und die meisten halt erst nachher..."

 

schon ****, wenn man auf Windows angewiesen ist, weil einige benötigte Software nicht unter Linux läuft.

 

Auch schlecht wenn man auf Admins mit rudimentärem Halbwissen angewiesen ist...

 

Wer auch immer das System designt, aufgesetzt und betrieben hat sollte sich ertsmal mit den grundlegenden Funktionsprinzipien solcher Systeme vertraut machen, denn ich sehe da enorme Wissenslücken.