spools.exe , ftp33.dll , ftpdll.dll , cftmon.exe

startseite Gastbuch Kontakt
spools.exe ftp33.dll ftpdll.dll
spools.exe ftp33.dll ftpdll.dll

spools.exe , ftp33.dll , ftpdll.dll





HijackTHis

O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\%Username%\cftmon.exe
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\%Username%\cftmon.exe

O4 - HKUS\.DEFAULT\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [autoload] C:\Documents and Settings\LocalService\cftmon.exe (User 'Default user')

O23 - Service: Task Scheduler (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe


Combofix

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))

C:\Dokumente und Einstellungen\LocalService\cftmon.exe
C:\Dokumente und Einstellungen\%Username%\cftmon.exe
C:\WINDOWS\system32\_000003_.tmp.dll
C:\WINDOWS\system32\_000006_.tmp.dll
C:\WINDOWS\system32\_000007_.tmp.dll
C:\WINDOWS\system32\_000013_.tmp.dll
C:\WINDOWS\system32\drivers\spools.exe


((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule

-------\Legacy_Schedule
-------\Service_Schedule


2008-04-26 23:50 . 2008-04-27 09:25 5,120 --a------ C:\WINDOWS\system32\ftp33.dll
2008-04-26 17:19 . 2004-08-04 01:57 15,360 --a------ C:\WINDOWS\system32\ctfmon.exe.backup



windowsscan

***** Scanning C:\WINDOWS\system32 *****

26.04.2008 ftp33.dll 19 25:5.120

C:\WINDOWS\system32\ftp33.dll 

The "ftpdll.dll" (TR/Crypt.XDR.Gen) injects itself into various 
running processes on 
an affected system to make its detection and removal difficult.

AntiVir 7.8.0.10 2008.04.25 TR/Agent.5120.106.A
Avast 4.8.1169.0 2008.04.25 Win32:Small-KBA
AVG 7.5.0.516 2008.04.25 Downloader.Zlob.12.S
BitDefender 7.2 2008.04.26 Trojan.Agent.Small.SVV
CAT-QuickHeal 9.50 2008.04.26 TrojanDownloader.Small.tra
ClamAV 0.92.1 2008.04.26 Trojan.Downloader-28937
DrWeb 4.44.0.09170 2008.04.26 Trojan.DownLoader.56634
eSafe 7.0.15.0 2008.04.21 suspicious Trojan/Worm
eTrust-Vet 31.3.5736 2008.04.26 Win32/Ruternam.F
Ewido 4.0 2008.04.26 -
F-Prot 4.4.2.54 2008.04.25 W32/Downldr2.BOAM
F-Secure 6.70.13260.0 2008.04.26 Trojan-Downloader.Win32.Small.tra
FileAdvisor 1 2008.04.26 High threat detected
Ikarus T3.1.1.26.0 2008.04.26 Trojan-Downloader.Win32.Small.tra
Kaspersky 7.0.0.125 2008.04.26 Trojan-Downloader.Win32.Small.tra
McAfee 5282 2008.04.25 Spam-Mailbot
Microsoft 1.3408 2008.04.22 -
NOD32v2 3056 2008.04.26 Win32/PSW.Agent.NHG
Norman 5.80.02 2008.04.25 W32/DLoader.GMPN
Panda 9.0.0.4 2008.04.26 Trj/Downloader.MDW
Prevx1 V2 2008.04.26 Trojan.Downloader
Rising 20.41.52.00 2008.04.26 Trojan.Win32.Undef.ffx
Sophos 4.28.0 2008.04.26 Troj/Drop-O
Sunbelt 3.0.1056.0 2008.04.17 Trojan.Agent.5120.106.A
Symantec 10 2008.04.26 Trojan Horse 

Antivirus

C:\Dokumente und Einstellungen\cftmon.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Socks.BS
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\ie_updates3r.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Tipikit.F.35
[HINWEIS] Die Datei wurde gelöscht.



- scannen (im abgesicherten Modus) mit: Dr.Web

- scannen (im abgesicherten Modus) mit: Sdfix

C:\WINDOWS\SYSTEM32\KHFFWOMC.DLL - Deleted
C:\-10589~1 - Deleted
C:\Documents and Settings\%Username%\cftmon.exe - Deleted
C:\Documents and Settings\LocalService\cftmon.exe - Deleted
C:\Documents and Settings\%Username%\Local Settings\Temp\aax13.tmp.exe - Deleted
C:\d.exe - Deleted
C:\WINDOWS\system32\717305\717305.dll - Deleted
C:\WINDOWS\system32\msvchost.exe - Deleted
C:\WINDOWS\system32\winsystem.exe - Deleted
C:\WINDOWS\Web\def.htm - Deleted
C:\WINDOWS\system32\drivers\spools.exe - Deleted
C:\WINDOWS\ydhqzop.sys - Deleted



Superantispyware 
Worm.Rbot-LD

 [ntuser] C:\WINDOWS\SYSTEM32\DRIVERS\SPOOLS.EXE
 C:\WINDOWS\SYSTEM32\DRIVERS\SPOOLS.EXE
 [ntuser] C:\WINDOWS\SYSTEM32\DRIVERS\SPOOLS.EXE
 
 HKLM\System\ControlSet001\Services\Schedule
 HKLM\System\ControlSet001\Enum\Root\LEGACY_Schedule
 HKLM\System\ControlSet003\Services\Schedule
 HKLM\System\ControlSet003\Enum\Root\LEGACY_Schedule
 HKLM\System\CurrentControlSet\Services\Schedule
 HKLM\System\CurrentControlSet\Enum\Root\LEGACY_Schedule
 
 Trojan.Unclassified/FTP-Fake
 
 C:\DOCUMENTS AND SETTINGS\%Username%\FTPDLL.DLL
 C:\WINDOWS\SYSTEM32\FTPDLL.DLL
 
 C:\Dokumente und Einstellungen\%UserName%\FTPDLL.DLL


anderer PC

hijackThis

O2 - BHO: (no name) - {D032570A-5F63-4812-A094-87D007C23012} - C:\WINDOWS\system32\IEBHO1A.dll
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKLM\..\Run: [autoload] C:\Dokumente und Einstellungen\%Username%\cftmon.exe
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKCU\..\Run: [autoload] C:\Dokumente und Einstellungen\%Username%\cftmon.exe
O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe


Start -- Ausführen -- schreib rein: cmd
kopiere von hier aus rein:

sc stop Schedule

[klicke "enter"]

und warte ein bisschen, dann kopiere rein:

sc delete Schedule

[klicke "enter"]


windowsscan 
***** Scanning C:\WINDOWS\system32 *****
***** ***** ***** ***** ***** 

29.04.2008 ftp33.dll 18 06:5.120
26.04.2008 tmp.exe 11 36:44.520 
21.04.2008 IEBHO5B.dll 20 42:82.060
17.04.2008 IEBHO2C.dll 16 41:81.827
09.04.2008 IEBHO12.dll 18 04:78.222
08.04.2008 IEBHO35.dll 21 55:78.469
08.04.2008 IEBHO5C.dll 17 18:78.469
31.03.2008 IEBHO26.dll 21 01:77.185
28.03.2008 IEBHO03.dll 19 51:77.184
28.03.2008 IEBHO21.dll 18 39:77.184
28.03.2008 IEBHO11.dll 18 39:77.184
28.03.2008 IEBHO2B.dll 18 39:77.184
28.03.2008 IEBHO05.dll 18 39:77.184
28.03.2008 IEBHO1D.dll 18 39:77.184
28.03.2008 IEBHO3F.dll 18 39:77.184
28.03.2008 IEBHO2D.dll 18 39:77.184
28.03.2008 IEBHO0F.dll 18 39:77.184
28.03.2008 IEBHO43.dll 18 39:77.184
28.03.2008 IEBHO25.dll 18 39:77.184
27.03.2008 IEBHO.dll 18 35:77.066

- scannen (im abgesicherten Modus) mit: Sdfix 
Trojan Files Found:

C:\Dokumente und Einstellungen\%Username%\cftmon.exe - Deleted
C:\Dokumente und Einstellungen\LocalService\cftmon.exe - Deleted
C:\WINDOWS\system32\IEBHO.dll - Deleted
C:\WINDOWS\system32\IEBHO03.dll - Deleted
C:\WINDOWS\system32\IEBHO05.dll - Deleted
C:\WINDOWS\system32\IEBHO0F.dll - Deleted
C:\WINDOWS\system32\IEBHO11.dll - Deleted
C:\WINDOWS\system32\IEBHO12.dll - Deleted
C:\WINDOWS\system32\IEBHO1D.dll - Deleted
C:\WINDOWS\system32\IEBHO21.dll - Deleted
C:\WINDOWS\system32\IEBHO25.dll - Deleted
C:\WINDOWS\system32\IEBHO26.dll - Deleted
C:\WINDOWS\system32\IEBHO2B.dll - Deleted
C:\WINDOWS\system32\IEBHO2C.dll - Deleted
C:\WINDOWS\system32\IEBHO2D.dll - Deleted
C:\WINDOWS\system32\IEBHO35.dll - Deleted
C:\WINDOWS\system32\IEBHO3F.dll - Deleted
C:\WINDOWS\system32\IEBHO43.dll - Deleted
C:\WINDOWS\system32\IEBHO5B.dll - Deleted
C:\WINDOWS\system32\IEBHO5C.dll - Deleted
C:\WINDOWS\system32\tmp.exe - Deleted
C:\WINDOWS\system32\drivers\spools.exe - Deleted


Combofix

2008-04-28 14:53 . 2008-04-29 18:10 5,120 --a------ C:\Dokumente und Einstellungen\%Username%\ftp33.dll



otmoveIt

öffne: OTMoveIt.exe
OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move

C:\Dokumente und Einstellungen\%Username%\ftp33.dll
C:\WINDOWS\system32\ftp33.dll
C:\WINDOWS\system32\tmp.exe

Klicke auf den Roten MoveIt!


anderer PC

Avenger 

Registry keys to delete: 
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\schedule 
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\schedule 
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\schedule 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\schedule

Folders to delete:
C:\WINDOWS\system32\wsnpoem
C:\Programme\rhc5amj0ejj3
C:\Dokumente und Einstellungen\Dramsch\Anwendungsdaten\rhc5amj0ejj3

Files to delete:
C:\Dokumente und Einstellungen\All Users\Desktop\Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\5Username%\Local Settings\Application Data\cftmon.exe

C:\WINDOWS\system32\ftpdll.dll
C:\Dokumente und Einstellungen\LocalService\ftpdll.dll
C:\Dokumente und Einstellungen\%Username%\ftpdll.dll

C:\WINDOWS\system32\phc1amj0ejj3.bmp
C:\WINDOWS\system32\lphc1amj0ejj3.exe
C:\WINDOWS\system32\blphc1amj0ejj3.scr
C:\WINDOWS\system32\pphc1amj0ejj3.exe

C:\WINDOWS\system32\ntos.exe
C:\WINDOWS\Temp\winlogon.exe
C:\WINDOWS\system32\drivers\spools.exe

C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\.tt1.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\.tt3.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\.tt2.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\.tt5.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\.tt4.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\.tt7.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\.tt9.tmp


http://board.protecus.de/t34190-1.htm#302261





virus-protect.org Valid HTML 4.01 Ranking-Hits