# winspool.exe



## Anonymous (9 März 2004)

Mein Virenscanner verhinderte den Zugriff an winspool.exe...Diese Datei kann jediglich in Quarantäne geschoben werden, da sie weder manuell gelöscht, noch desinfiziert werden kann...Kann mir jemand ein Tipp zur Beseitigung dieses Übels zukommen lassen? Was macht diese Datei genau? Angeblich ist sie selbst kein Trojaner, kann aber solche vom Internet unbemerkt runterladen...Womöglich auch Dialer?

Im Ordner: C:\WINDOWS\system32 
Beschreibung: Windows 16-bit WOW Psuedo Printer Driver (loaded as WINSPOOL.DRV) 
Firma: Microsoft Corporation 
Größe: 2.06KB (eve. auch 3?) 

Dankeschön


----------



## BenTigger (9 März 2004)

Naja, Winspool.exe oder winspool.drv ist eine Betriebsystem Datei.

Wenn du die loswerden willst, lösche Windows und installiere Linux.
Denn es liegt nicht an dieser Datei sondern an Windows selbst. Das lädt gerne Trojaner heimlich runter 

Ansonsten musst du die behalten, da sie zu deinem Betriebssystem gehört. Deswegen kann die auch nicht gelöscht werden, da dein Betriebsystem die im Zugriff hat, weil es die zum drucken benötigt.

Ebenso die immer wieder nachgefragte Datei DIALER.EXE. Die gibt es auch und ist AUCH eine Betriebsystemdatei und wird des öfteren von einigen Dialerwarnprogrammen angemäkelt.

Nur zur Beruhigung. Ich habe diese Dateien auch. :holy:


----------



## Counselor (9 März 2004)

Winspool.exe ist ein Prozess, der bei Bedarf zugeschalten wird, wenn jemand über eine alte Windows Anwendung aus Windows 95 Zeiten druckt.
Ob diese Datei Trojaner nachladen kann, weiß ich nicht. Fakt ist, dass das 16-bit Subsytem ein Sicherheitsrisiko sein kann, wenn jemand - wie auch immer - von außen Zugriff auf das Dateisystem bekommt. Wenn jemand zB über einen Gastzugang eingebrochen ist, dann kann er sich mittels DOS-Tools die Rechte erhöhen.

Wenn du die Datei loswerden willst, dann mußt du das Win16/WoW Subsystem entfernen:


```
(Advanced) Remove POSIX and OS/2 subystems and DOS/Win16 if feasible. 
Caution: some installers and older applications may require these subsystems 
Modify the Registry SubSystem Value Name Type Recommended Value 
  HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Optional REG_BINARY 00 00 
OS/2 HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Os2 REG_SZ Remove 
POSIX HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Posix REG_SZ Remove 
WIN16 HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\WOW REG_SZ Remove 
1 
Remove the following files Filename Description 
ntio.sys DOS io.sys equivalent 
ntdos.sys DOS dos.sys equivalent 
command.com DOS command interpreter 
ntvdm.exe Win16 VDM subsystem 
krnl386.exe Win16 VDM component 
posix.exe POSIX subsystem 
psxdll.dll POSIX component 
psxss.exe POSIX component 
os2.exe OS/2 1.x subsystem 
os2ss.exe OS/2 1.x component 
os2srv.exe OS/2 1.x component 
os2 (directory) Other OS/2 files 

2

Remove the following unused tools so that hackers can't use them against you. Filename Description 
debug.exe MS-DOS debugger 
edit.com MS-DOS text editor 
edlin.exe Another MS-DOS text editor 
finger.exe Finger client 
ftp.exe FTP client 
nbtstat.exe Shows NetBT statistics 
qbasic.exe MS-DOS Quick Basic 
rcp.exe Remote Copy 
rexec.exe Remote Execute 
rsh.exe Remote Shell client 
telnet.exe Clear text Telnet client 
tftp.exe Trivial FTP client 
3
```

http://web.mit.edu/jmhunt/www/dontindex/securingnt.html


----------



## eb-victim (10 März 2004)

hilflos schrieb:
			
		

> Mein Virenscanner verhinderte den Zugriff an winspool.exe...Angeblich ist sie selbst kein Trojaner, kann aber solche vom Internet unbemerkt runterladen...Womöglich auch Dialer?


Don't panic!
Es gibt Trojaner, die die Namen von Systemdateien verwenden, sich aber unter \Windows\system (und nicht \Windows\system32) abspeichern. Bei mir hatte sich so ein Trojaner auch eingenistet.
Die Datei, die Du hast, ist anscheinend das Original von Microsoft (zumindest das "Psuedo" ist von Microsoft   ) und nicht verdächtig.
Es gibt immer wieder Hoaxes, die vor Systemdateien warnen ...


----------

