"Warning!
HijackThis
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
res://C:\WINNT\system32\bsljd.dll/sp.html#53142%resultposition.net
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {1EAAB520-B574-75B8-8492-757394BF97F2} - C:\WINNT\system32\sdkaw32.dll
O4 - HKLM\..\Run: [ACTNSTA.EXE] ACTNSTA.EXE START
O4 - HKLM\..\Run: [NAVNet] "C:\Dokumente und Einstellungen\Mr.Crosby\Startmenü\Programme\Autostart\ms.exe" /m
O23 - Service: Workstation NetLogon Service ( 11Fßä.#·ºÄÖ`I) - Unknown owner - C:\WINNT\apipu.exe
HKLM\SOFTWARE\Classes\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3} -> Trojan.Agent.eo
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE -> Spyware.CoolWebSearch
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW -> Spyware.CoolWebSearch
datfindbat
Verzeichnis von C:\WINNT\system32
25.12.2005 18:24 133.791 sdkaw32.dll
25.12.2005 17:09 49.152 GEARSEC.EXE
25.12.2005 17:09 61.440 GEARASPI.DLL
25.12.2005 09:28 23.166 stub3.ini
25.12.2005 09:27 22.711 stub2.ini
25.12.2005 09:27 22.854 stub1.ini
15.12.2005 04:46 68.608 bsljd.dll
09.12.2005 12:21 1.536 TrueSoft.dat
04.12.2005 23:57 11.895 apilj32.exe
03.12.2005 04:17 3.567 bjcgh.txt
01.12.2005 01:49 3.567 dhpsn.log
Verzeichnis von C:\WINNT
25.12.2005 09:27 13.581 fgndp.dat
21.12.2005 09:11 68.608 kfrel.dll
20.12.2005 06:14 5.538 ~TempMui.inf
05.12.2005 00:47 35.447 javaxh.exe
04.12.2005 22:46 35.447 sysoc.exe
C:\WINNT\system32\sdkaw32.dll --> Trojan-Downloader.Win32.Agent.bc
C:\WINNT\system32\stub3.ini
C:\WINNT\system32\stub2.ini
C:\WINNT\system32\stub1.ini
C:\WINNT\system32\bsljd.dll
C:\WINNT\system32\apilj32.exe --> Trojan.Win32.Agent.bi
C:\WINNT\system32\bjcgh.txt
C:\WINNT\fgndp.dat
C:\WINNT\kfrel.dll
C:\WINNT\javaxh.exe --> Trojan-Downloader.Win32.Agent.td
C:\WINNT\sysoc.exe --> Trojan-Downloader.Win32.Agent.td
ADSSpy.exe
Scanreport von ADSSpy:
C:\WINNT\~TempMui.inf : rmkfv (35447 bytes)
C:\WINNT\~TempMui.inf : wdxwyw (13581 bytes)
C:\WINNT\clock.avi : aftuot (197761 bytes)
C:\WINNT\Präriewind.bmp : lhwnl (133791 bytes)
C:\WINNT\RMM.INI : wihxhs (133791 bytes)
C:\WINNT\SchedLgU.Txt : obsljd (11895 bytes)
C:\WINNT\system32\oleext.dll Infected: Trojan.Win32.Small.ev
C:\WINNT\system32\wininet.dll Infected: Virus.Win32.Nsag.b
SmitRem
laden --> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
leere das Java-Cache
SmitRem
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar
goatse.jar-2073dc2d-7e13d883.zip
goatse.jar-2073dc2d-7e13d883.zip/Installer.class Infected: Trojan-Downloader.Java.OpenConnection.v
count.jar-32d570e5-44502242.zip
virustotal
C:\WINNT\javaxh.exe
AntiVir 6.33.0.70 12.26.2005 TR/Dldr.Agent.TD.65
Avira 6.33.0.70 12.26.2005 TR/Dldr.Agent.TD.65
BitDefender 7.2 12.26.2005 GenPack:Trojan.Downloader.Agent.TD
CAT-QuickHeal 8.00 12.24.2005 (Suspicious) - DNAScan
eTrust-Vet 12.4.1.0 12.25.2005 Win32/Winshow!generic
Kaspersky 4.0.2.24 12.26.2005 Trojan-Downloader.Win32.Agent.td
McAfee 4658 12.23.2005 New Malware.q
NOD32v2 1.1339 12.24.2005 a variant of Win32/TrojanDownloader.Agent.BQ
Sophos 4.01.0 12.26.2005 Troj/SpyDldr-C
HijackThis
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {375C0CE9-277B-1474-3904-B569FE152065} - C:\WINDOWS\system32\addxb.dll
O2 - BHO: Class - {7F0F2565-877E-9354-50D9-CAEBA6908734} - C:\WINDOWS\system32\iegm32.dll
O4 - HKLM\..\Run: [C.tmp] C:\DOKUME~1\Walter\LOKALE~1\Temp\C.tmp.exe
O4 - HKLM\..\Run: [8.tmp] C:\DOKUME~1\Walter\LOKALE~1\Temp\8.tmp.exe
O4 - HKLM\..\Run: [javacq32.exe] C:\WINDOWS\javacq32.exe
O4 - HKLM\..\Run: [8.tmp.exe] C:\DOKUME~1\Walter\LOKALE~1\Temp\8.tmp.exe
O4 - HKLM\..\Run: [appyg.exe] C:\WINDOWS\appyg.exe
datfindbat
Verzeichnis von C:\WINDOWS\system32
22.12.2005 18:04 12.532 mfclj.exe
22.12.2005 17:59 12.632 syszz.exe
22.12.2005 17:55 92.831 iegm32.dll
22.12.2005 17:47 0 uspoj.dat
22.12.2005 17:47 92.831 addxb.dll
11.12.2005 11:02 11.895 mfcux.exe
02.12.2005 12:30 11.895 sdkgp32.exe
02.12.2005 09:30 11.895 crmr.exe
Verzeichnis von C:\WINDOWS
22.12.2005 21:47 248 accessdll.log
21.12.2005 22:49 197.761 lwrub.dat
04.12.2005 04:09 35.447 appyg.exe
C:\WINDOWS\system32\crmr.exe
CAT-QuickHeal 8.00 12.21.2005 (Suspicious) - DNAScan
eTrust-Vet 12.4.1.0 12.22.2005 Win32/Winshow!generic
Kaspersky 4.0.2.24 12.23.2005 Trojan.Win32.Agent.bi
McAfee 4656 12.22.2005 New Malware.q
NOD32v2 1.1335 12.22.2005 Win32/TrojanDownloader.Agent.BQ
Sophos 4.01.0 12.22.2005 Troj/Iefeat-AK
C:\WINDOWS\appyg.exe
BitDefender 7.2 12.22.2005 GenPack:Trojan.Downloader.Agent.TD
CAT-QuickHeal 8.00 12.21.2005 (Suspicious) - DNAScan
eTrust-Vet 12.4.1.0 12.22.2005 Win32/Winshow!generic
Kaspersky 4.0.2.24 12.23.2005 Trojan-Downloader.Win32.Agent.td
McAfee 4655 12.21.2005 New Malware.q
NOD32v2 1.1335 12.22.2005 a variant of Win32/TrojanDownloader.Agent.BQ
Sophos 4.01.0 12.22.2005 Troj/SpyDldr-C
C:\WINDOWS\system32\addxb.dll
NOD32v2 1.1335 12.22.2005 a variant of Win32/TrojanDownloader.Agent.BQ
C:\WINDOWS\system32\iegm32.dll
McAfee 4655 12.21.2005 AdClicker-AJ.gen
NOD32v2 1.1335 12.22.2005 a variant of Win32/TrojanDownloader.Agent.BQ
C:\WINDOWS\system32\mfcux.exe
CAT-QuickHeal 8.00 12.21.2005 (Suspicious) - DNAScan
eTrust-Vet 12.4.1.0 12.22.2005 Win32/Winshow!generic
Kaspersky 4.0.2.24 12.23.2005 Trojan.Win32.Agent.bi
McAfee 4655 12.21.2005 New Malware.q
NOD32v2 1.1335 12.22.2005 Win32/TrojanDownloader.Agent.BQ
Norman 5.70.10 12.22.2005 no virus found
Panda 8.02.00 12.22.2005 no virus found
Sophos 4.01.0 12.22.2005 Troj/Iefeat-AK
C:\WINDOWS\system32\syszz.exe
CAT-QuickHeal 8.00 12.21.2005 (Suspicious) - DNAScan
eTrust-Vet 12.4.1.0 12.22.2005 Win32/Winshow!generic
Fortinet 2.54.0.0 12.22.2005 suspicious
Kaspersky 4.0.2.24 12.23.2005 Trojan.Win32.Agent.bi
McAfee 4656 12.22.2005 New Malware.q
NOD32v2 1.1335 12.22.2005 Win32/TrojanDownloader.Agent.BQ
