spools.exe
|
spools.exe, ftp33.dll , ftpdll.dll, tmp.exe
HijackTHis
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\%Username%\cftmon.exe O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\%Username%\cftmon.exe O4 - HKUS\.DEFAULT\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe (User 'Default user') O4 - HKUS\.DEFAULT\..\Run: [autoload] C:\Documents and Settings\LocalService\cftmon.exe (User 'Default user') O23 - Service: Task Scheduler (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe
Combofix
C:\Dokumente und Einstellungen\LocalService\cftmon.exe C:\Dokumente und Einstellungen\%Username%\cftmon.exe C:\WINDOWS\system32\_000003_.tmp.dll C:\WINDOWS\system32\_000006_.tmp.dll C:\WINDOWS\system32\_000007_.tmp.dll C:\WINDOWS\system32\_000013_.tmp.dll C:\WINDOWS\system32\drivers\spools.exe ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule -------\Legacy_Schedule -------\Service_Schedule 2008-04-26 23:50 . 2008-04-27 09:25 5,120 --a------ C:\WINDOWS\system32\ftp33.dll 2008-04-26 17:19 . 2004-08-04 01:57 15,360 --a------ C:\WINDOWS\system32\ctfmon.exe.backup
Windowsscan
***** Scanning C:\WINDOWS\system32 ***** 26.04.2008 ftp33.dll 19 25:5.120 C:\WINDOWS\system32\ftp33.dll The "ftpdll.dll" (TR/Crypt.XDR.Gen) injects itself into various running processes on an affected system to make its detection and removal difficult. AntiVir 7.8.0.10 2008.04.25 TR/Agent.5120.106.A Avast 4.8.1169.0 2008.04.25 Win32:Small-KBA AVG 7.5.0.516 2008.04.25 Downloader.Zlob.12.S BitDefender 7.2 2008.04.26 Trojan.Agent.Small.SVV CAT-QuickHeal 9.50 2008.04.26 TrojanDownloader.Small.tra ClamAV 0.92.1 2008.04.26 Trojan.Downloader-28937 DrWeb 4.44.0.09170 2008.04.26 Trojan.DownLoader.56634 eSafe 7.0.15.0 2008.04.21 suspicious Trojan/Worm eTrust-Vet 31.3.5736 2008.04.26 Win32/Ruternam.F Ewido 4.0 2008.04.26 - F-Prot 4.4.2.54 2008.04.25 W32/Downldr2.BOAM F-Secure 6.70.13260.0 2008.04.26 Trojan-Downloader.Win32.Small.tra FileAdvisor 1 2008.04.26 High threat detected Ikarus T3.1.1.26.0 2008.04.26 Trojan-Downloader.Win32.Small.tra Kaspersky 7.0.0.125 2008.04.26 Trojan-Downloader.Win32.Small.tra McAfee 5282 2008.04.25 Spam-Mailbot Microsoft 1.3408 2008.04.22 - NOD32v2 3056 2008.04.26 Win32/PSW.Agent.NHG Norman 5.80.02 2008.04.25 W32/DLoader.GMPN Panda 9.0.0.4 2008.04.26 Trj/Downloader.MDW Prevx1 V2 2008.04.26 Trojan.Downloader Rising 20.41.52.00 2008.04.26 Trojan.Win32.Undef.ffx Sophos 4.28.0 2008.04.26 Troj/Drop-O Sunbelt 3.0.1056.0 2008.04.17 Trojan.Agent.5120.106.A Symantec 10 2008.04.26 Trojan Horse
Antivirus
C:\Dokumente und Einstellungen\cftmon.exe [FUND] Enthält Erkennungsmuster des Wurmes WORM/Socks.BS [HINWEIS] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\ie_updates3r.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Tipikit.F.35 [HINWEIS] Die Datei wurde gelöscht.
scannen (im abgesicherten Modus) mit: Dr.Web
scannen (im abgesicherten Modus) mit: Sdfix
C:\WINDOWS\SYSTEM32\KHFFWOMC.DLL - Deleted C:\-10589~1 - Deleted C:\Documents and Settings\%Username%\cftmon.exe - Deleted C:\Documents and Settings\LocalService\cftmon.exe - Deleted C:\Documents and Settings\%Username%\Local Settings\Temp\aax13.tmp.exe - Deleted C:\d.exe - Deleted C:\WINDOWS\system32\717305\717305.dll - Deleted C:\WINDOWS\system32\msvchost.exe - Deleted C:\WINDOWS\system32\winsystem.exe - Deleted C:\WINDOWS\Web\def.htm - Deleted C:\WINDOWS\system32\drivers\spools.exe - Deleted C:\WINDOWS\ydhqzop.sys - Deleted
Superantispyware
Worm.Rbot-LD [ntuser] C:\WINDOWS\SYSTEM32\DRIVERS\SPOOLS.EXE C:\WINDOWS\SYSTEM32\DRIVERS\SPOOLS.EXE [ntuser] C:\WINDOWS\SYSTEM32\DRIVERS\SPOOLS.EXE HKLM\System\ControlSet001\Services\Schedule HKLM\System\ControlSet001\Enum\Root\LEGACY_Schedule HKLM\System\ControlSet003\Services\Schedule HKLM\System\ControlSet003\Enum\Root\LEGACY_Schedule HKLM\System\CurrentControlSet\Services\Schedule HKLM\System\CurrentControlSet\Enum\Root\LEGACY_Schedule Trojan.Unclassified/FTP-Fake C:\DOCUMENTS AND SETTINGS\%Username%\FTPDLL.DLL C:\WINDOWS\SYSTEM32\FTPDLL.DLL C:\Dokumente und Einstellungen\%UserName%\FTPDLL.DLL anderer PC
HijackThis
O2 - BHO: (no name) - {D032570A-5F63-4812-A094-87D007C23012} - C:\WINDOWS\system32\IEBHO1A.dll O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe O4 - HKLM\..\Run: [autoload] C:\Dokumente und Einstellungen\%Username%\cftmon.exe O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe O4 - HKCU\..\Run: [autoload] C:\Dokumente und Einstellungen\%Username%\cftmon.exe O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe
Start -- Ausführen -- schreib rein: cmd
kopiere von hier aus rein: sc stop Schedule [klicke "enter"] und warte ein bisschen, dann kopiere rein: sc delete Schedule [klicke "enter"]
Windowsscan
***** Scanning C:\WINDOWS\system32 ***** ***** ***** ***** ***** ***** 29.04.2008 ftp33.dll 18 06:5.120 26.04.2008 tmp.exe 11 36:44.520 21.04.2008 IEBHO5B.dll 20 42:82.060 17.04.2008 IEBHO2C.dll 16 41:81.827 09.04.2008 IEBHO12.dll 18 04:78.222 08.04.2008 IEBHO35.dll 21 55:78.469 08.04.2008 IEBHO5C.dll 17 18:78.469 31.03.2008 IEBHO26.dll 21 01:77.185 28.03.2008 IEBHO03.dll 19 51:77.184 28.03.2008 IEBHO21.dll 18 39:77.184 28.03.2008 IEBHO11.dll 18 39:77.184 28.03.2008 IEBHO2B.dll 18 39:77.184 28.03.2008 IEBHO05.dll 18 39:77.184 28.03.2008 IEBHO1D.dll 18 39:77.184 28.03.2008 IEBHO3F.dll 18 39:77.184 28.03.2008 IEBHO2D.dll 18 39:77.184 28.03.2008 IEBHO0F.dll 18 39:77.184 28.03.2008 IEBHO43.dll 18 39:77.184 28.03.2008 IEBHO25.dll 18 39:77.184 27.03.2008 IEBHO.dll 18 35:77.066
scannen (im abgesicherten Modus) mit: Sdfix
Trojan Files Found: C:\Dokumente und Einstellungen\%Username%\cftmon.exe - Deleted C:\Dokumente und Einstellungen\LocalService\cftmon.exe - Deleted C:\WINDOWS\system32\IEBHO.dll - Deleted C:\WINDOWS\system32\IEBHO03.dll - Deleted C:\WINDOWS\system32\IEBHO05.dll - Deleted C:\WINDOWS\system32\IEBHO0F.dll - Deleted C:\WINDOWS\system32\IEBHO11.dll - Deleted C:\WINDOWS\system32\IEBHO12.dll - Deleted C:\WINDOWS\system32\IEBHO1D.dll - Deleted C:\WINDOWS\system32\IEBHO21.dll - Deleted C:\WINDOWS\system32\IEBHO25.dll - Deleted C:\WINDOWS\system32\IEBHO26.dll - Deleted C:\WINDOWS\system32\IEBHO2B.dll - Deleted C:\WINDOWS\system32\IEBHO2C.dll - Deleted C:\WINDOWS\system32\IEBHO2D.dll - Deleted C:\WINDOWS\system32\IEBHO35.dll - Deleted C:\WINDOWS\system32\IEBHO3F.dll - Deleted C:\WINDOWS\system32\IEBHO43.dll - Deleted C:\WINDOWS\system32\IEBHO5B.dll - Deleted C:\WINDOWS\system32\IEBHO5C.dll - Deleted C:\WINDOWS\system32\tmp.exe - Deleted C:\WINDOWS\system32\drivers\spools.exe - Deleted
Combofix
2008-04-28 14:53 . 2008-04-29 18:10 5,120 --a------ C:\Dokumente und Einstellungen\%Username%\ftp33.dll
OtmoveIt
öffne: OTMoveIt.exe OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move C:\Dokumente und Einstellungen\%Username%\ftp33.dll C:\WINDOWS\system32\ftp33.dll C:\WINDOWS\system32\tmp.exe Klicke auf den Roten MoveIt!
Avenger / Beispiel
Counter-Box.de |
