BraveSentry
|
BraveSentryIf your desktop hijacked with BraveSentry you`ll look message:
Your computer is in Danger
BraveSentry
We are sorry, but the trial version is unable to remove these threads We strongly recommended you to purchase Full version You will get 24 + 7 friendly support and unlimited protection Windows Add/Remove programs was also unable to stop Bravesentry. Domain Name: BRAVESENTRY.COM Registrant: Ocean Industries Daniel Ocean (ceo@bravesentry.com) 731 Likeon Str Amsterdam,21266 NL Tel. +91.226370256 Creation Date: 26-Jan-2006 Expiration Date: 26-Jan-2007 anosurfer.com Pietro Miezani Privaweria Ltd Gua EC anosurfer @ anosurfer.com "69.50.166.195" Below is a screen shot of an infestation from Game4all(dot)biz that installed both BraveSentry and AlfaCleaner
Trojaner - Virendetektive bei Norman entdeckten einen neuen Trojaner-Virus der eine Sequenz eines Kinder Porno-Films zeigt und gleichzeitig schädliche Software aus dem Internet herunterlädt und installiert. Der Trojaner, mit der Bezeichnung W32/Agent.ULL", und bisher unter dem Namen childporn*****movie.mpeg.exe als Mailanhang verschickt wurde, zeigt einen Film mit eindeutigem und illegalen Inhalt und lädt gleichzeitig diverse betrügerische Software wie Spysheriff und BraveSentry in den infizierten Rechner. Diese Programme laden weitere Ad- und Malware herunter und befallen unter Umständen weitere Rechner innerhalb des Netzwerkes. win32.exe, kernels64.exe : Installers for Tibs, BraveSentry and other Malware. Tibs is a downloader for pornographic Adware, BraveSentry is a scam-based "AntiSpyware" utility. msits.exe, cmd32.exe : Downloads SpySheriff and other downloaders. SpySheriff is another scam-based "AntiSpyware" utility. loadadv713.exe : Another downloader Details: BraveSentry is a purported anti-spyware application to scan for and remove spyware from users' computers HKEY_CURRENT_USER\Software\Install --> löschen AOL Protection findet: HKEY_CLASSES_ROOT\.key rechtsklick -> darauf kommt man in die "BERECHTIGUNGEN". Dann ein Häkchen in das Kästchen "Vollzugriff verweigern"
BraveSentry removeinsert advertising-related components into the Winsock Layered Service Provider chainBraveSentry introduziert eine advertising- komponente in den Winsock Layered Service Provider "Winsock Layered Service Provider" -> zwischen WEB-Mailprogramme u. Internet (um z.B. suspekte Mails filtern zu können) File Signatures: process: BRAVESENTRY.exe: MD5 Hash: 5ecf21908195b1f5897... process: uninstall.exe: MD5 Hash: ... process: xpupdate.exe: MD5 Hash: 867d68f89d724f95373... WINDOWS\TEMP\childporn.wmv SYSTEM\win32.exe SYSTEM\msits.exe SYSTEM\cmd32.exe SYSTEMloadadv713.exe SYSTEM\kernels64.exe The files installed are: win32.exe, kernels64.exe : Installers for Tibs, BraveSentry and other malware. « Combofix « L2mfix -> Option 2 -> PC neustarten -> Scan abwarten L2mfix « HostsXpert anwenden HostsXpert « smitfrautfix « Onlinescans « AVG Antispyware Rootkits finden « f-secure BlackLight « RootkitRevealer « HijackThis C:\Windows\xpupdate.exe C:\WINDOWS\System32\vxh8jkdq2.exe C:\WINDOWS\System32\taskdir.exe C:\Programme\BraveSentry\BraveSentry.exe O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels8.exe O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\System32\taskdir.exe --> Link: proxy_lager O20 - Winlogon Notify: msupdate - C:\WINDOWS\SYSTEM32\msupdate32.dll Start - Ausführen - regedit HKEY_CURRENT_USER\Software\Install HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bravesentry HKEY_CURRENT_USER\software\bravesentry C:\Program Files\BraveSentry/BraveSentry.exe C:\Program Files\BraveSentry/BraveSentry.lic C:\Program Files\BraveSentry/BraveSentry0.bs C:\Program Files\BraveSentry/BraveSentry0.dll C:\Program Files\BraveSentry/BraveSentry1.bs C:\Program Files\BraveSentry/BraveSentry1.dll C:\Program Files\BraveSentry/BraveSentry2.bs C:\Program Files\BraveSentry/BraveSentry2.dll C:\Program Files\BraveSentry/BraveSentry3.dll C:\Program Files\BraveSentry/Uninstall.exe C:\Program Files\BraveSentry/winbixnkq32.dll --> Infected Trojan.Win32.Zapchast Verzeichnis von C:\Program Files\BraveSentry 16.07.2006 472.576 BraveSentry.exe 16.07.2006 100 BraveSentry.lic 16.07.2006 410.974 BraveSentry0.bs 16.07.2006 124.928 BraveSentry0.dll 16.07.2006 25.646 BraveSentry1.bs 16.07.2006 126.464 BraveSentry1.dll 16.07.2006 117.760 BraveSentry2.dll 16.07.2006 119.296 BraveSentry3.dll 16.07.2006 114.688 Uninstall.exe Verzeichnis von C:\Program Files\BraveSentry 08.08.2006 16:51 472.576 BraveSentry.exe 08.08.2006 16:51 100 BraveSentry.lic 08.08.2006 16:51 410.974 BraveSentry0.bs 08.08.2006 16:51 124.928 BraveSentry0.dll 08.08.2006 16:51 27.860 BraveSentry1.bs 08.08.2006 16:51 126.464 BraveSentry1.dll 08.08.2006 16:51 117.760 BraveSentry2.dl 08.08.2006 16:51 119.296 BraveSentry3.dll 08.08.2006 16:51 114.688 Uninstall.exe kann sich ebenfalls mitinstallieren: C:\WINDOWS\inet20004\3.02.00.dll C:\WINDOWS\inet20004\alg.exe C:\WINDOWS\inet20041\alg.exe.bak C:\WINDOWS\inet20004\mm.pid C:\WINDOWS\inet20004\mm5.exe.bak C:\WINDOWS\inet20004\mm6.exe C:\WINDOWS\inet20004\services.exe C:\WINDOWS\inet20004\winlogon.exe C:\WINDOWS\system32\win32.exe C:\WINDOWS\system32\voi519.exe --> Infected Trojan-Downloader.Win32.CWS.s C:\WINDOWS\system32\voi355.exe C:\WINDOWS\system32\voi549.exe C:\WINDOWS\system32\voi756.exe C:\WINDOWS\system32\voi780.exe C:\WINDOWS\system32\voi683.exe C:\WINDOWS\system32\tio261.dll --> Infected Trojan-Downloader.Win32.Small.cjc C:\WINDOWS\system32\tio208.dll C:\WINDOWS\system32\tio739.dll C:\WINDOWS\System32\taskdir.exe C:\WINDOWS\System32\parad.raw.exe C:\WINDOWS\system32\vxgamet4.exe2560.exe C:\WINDOWS\system32\vxgamet4.exe --> Infected Trojan-Downloader.Win32.Tiny.ba C:\WINDOWS\system32\vxgamet1.exe -> "Email-Worm.Win32.Locksky.z" C:\WINDOWS\system32\vxgamet2.exe C:\WINDOWS\system32\vxgamet3.exe C:\WINDOWS\system32\vxgame6.exe C:\WINDOWS\system32\vxgame4.exe C:\WINDOWS\system32\vxgame3.exe C:\WINDOWS\system32\vxgame1.exe C:\Documents and Settings\User\Local Settings\Temp\vx2.game -> Logger.ProAgent.u C:\Documents and Settings\User\Local Settings\Temp\vx3.game -> Downloader.CWS.s C:\Documents and Settings\User\Local Settings\Temp\vxt1.game -> Downloader.Small.ckn C:\Documents and Settings\User\Local Settings\Temp\vxt2.game -> Downloader.Small.skn C:\Documents and Settings\User\Local Settings\Temp\vxt3.game -> Dropper.Delf.th C:\Documents and Settings\User\Local Settings\Temp\vxt4.game -> Downloader.Tiny.ba C:\Documents and Settings\User\Local Settings\Temp\~dfte14.tmp -> Dropper.Agent.abu --------------- bum115.exe --> Infected Trojan-Downloader.Win32.Small.cjd bum923.exe C:\WINDOWS\stchost.exe -> BehavesLike C:\WINDOWS\sachostx.exe O4 - HKLM\..\Run: [sachost] C:\WINDOWS\sachostx.exe C:\WINDOWS\system32\maxd64.exe --> Infected Trojan.Win32.Dialer.ay C:\WINDOWS\system32\vx.tll C:\WINDOWS\system32\sxwbfqgl.exe -> BehavesLike C:\WINDOWS\System32\vxh8jkdq7.exe -> BehavesLike C:\WINDOWS\System32\vxh8jkdq6.exe C:\WINDOWS\System32\vxh8jkdq5.exe C:\WINDOWS\System32\vxh8jkdq2.exe C:\WINDOWS\System32\vxh8jkdq1.exe C:\WINDOWS\System32\kernels8.exe + C:\WINDOWS\system32\netsh.exe --> Infected Trojan-Downloader.Win32.Tibs.ai C:\WINDOWS\system32\sysvx.exe --> Infected Email-Worm.Win32.Locksky.m C:\WINDOWS\system32\comdlg64.dll --> Trojan.Trojan.Wupd C:\WINDOWS\system32\whitevx.lst C:\WINDOWS\system32\wmedia32.exe --> Infected Email-Worm.Win32.Locksky.ae C:\WINDOWS\System32\dcom_14.dll O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - C:\WINDOWS\System32\dcom_14.dll IeHelperExVS.dll C:\WINDOWS\system32\msupdate32.dll C:\WINDOWS\system32\mspostsp.exe --> Infected Trojan.Win32.Inject.i C:\WINDOWS\System32\zlbw.dll sysvx_.exe --> Infected Email-Worm.Win32.Locksky.aj C:\WINDOWS\desktop.html C:\WINDOWS\System32\xpupdate.exe --> Trojan W32.Zotob-G C:\Windows\xpupdate.exe 7.qtdfmp 6.qtdfmp 5.qtdfmp 2.qtdfmp 1.qtdfmp C:\Documents and Settings\Local Settings\Temp\1.qtdfmp -> BehavesLike C:\Documents and Settings\\Local Settings\Temp\5.qtdfmp C:\Documents and Settings\\Local Settings\Temp\7.qtdfmp C:\WINDOWS\avalon_6.txt -> Trojan.Agent.fs 0000cade.exe C:\WINDOWS\system32\vxt4.game --> Infected Trojan-Downloader.Win32.Tiny.ba C:\WINDOWS\system32\vxt3.game C:\WINDOWS\system32\vxt2.game C:\WINDOWS\system32\vxt1.game C:\WINDOWS\system32\vx6.game C:\WINDOWS\system32\vx4.game C:\WINDOWS\system32\vx3.game --> Infected Trojan-Downloader.Win32.CWS.s C:\WINDOWS\system32\vx2.game C:\WINDOWS\system32\vx1.game C:\Documents and Settings\\Local Settings\Temp\vx1.game C:\Documents and Settings\\Local Settings\Temp\vx2.game C:\Documents and Settings\s\Local Settings\Temp\vx3.game C:\Documents and Settings\\Local Settings\Temp\vx4.game maxdd.game ->Trojan.Dialer.AY C:\Documents and Settings\\Local Settings\Temp\maxdd.game C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\maxdd.game C:\Documents and Settings\User\Local Settings\Temp\mhblhdlc.exe -> Downloader.CWS.s C:\Documents and Settings\User\Local Settings\Temp\maxdd.game -> Trojan.Dialer.ay C:\Documents and Settings\Local Settings\Temporary Internet Files\Content.IE5\ENI3QTI3\game1[1].exe C:\Documents and Settings\\Local Settings\Temp\dbnd.bat -> BAT.AutoDelete.A -> Désinfection impossible C:\WINDOWS\TEMP\44B9.tmp -> Trojan.Agent.fs C:\Documents and Settings\User\Local Settings\Temp\01083070\3472.tmp -> Downloader.CWS.s C:\Documents and Settings\User\Local Settings\Temp\01083070\3516.tmp C:\Documents and Settings\User\Local Settings\Temp\3A.tmp -> Dropper.Agent.ail C:\Documents and Settings\User\Local Settings\Temp\3C.tmp -> Downloader.Small.clo C:\Documents and Settings\User\Local Settings\Temp\3E.tmp -> Logger.Small.ak C:\Documents and Settings\User\Local Settings\Temp\aiejbbcf.exe -> Dropper.Small.zd tmxC.tmp 0006a1df.exe temp.wsf WER4.tmp 6278B.dmp winlogon.exe ld.exe --> Infected Trojan-Downloader.Win32.Small.cke lanH32.dll.ren --> Haxdoor remove lanH64.sys.ren qz.dll.ren qz.sys.ren qvxgamet3.exe.ren qvxgamet4.exe.ren --> Infected Email-Worm.Win32.Locksky.ae winzrunw5.dll --> Infected Trojan-Clicker.Win32.Agent.gm * HijackThis O20 - Winlogon Notify: access98 - C:\WINDOWS\SYSTEM32\access98.dll --> Link: Haxdoor remove O20 - Winlogon Notify: Mixer - C:\WINDOWS\SYSTEM32\sndmixex.dll O20 - Winlogon Notify: skyx16 - C:\WINDOWS\SYSTEM32\skyx16.dll O20 - Winlogon Notify: ssldr - C:\WINDOWS\SYSTEM32\ssldr32.dll * Datfindbat Verzeichnis von C:\WINDOWS\system32 20.03.2006 20:02 84 whitevx.lst 20.03.2006 20:02 6.028 sysvx.exe --> Infected Email-Worm.Win32.Locksky.m (Kaspersky) 20.03.2006 20:02 4.925 comdlg64.dll 19.03.2006 21:35 1.632 vxgamet4.exe 19.03.2006 21:35 12.800 vxgame6.exe 19.03.2006 21:35 1.632 vxgame2.exe 19.03.2006 21:35 1.632 vxgame1.exe 19.03.2006 20:31 217.869 kspydoc.log 19.03.2006 20:31 0 Sweeper.cfg 19.03.2006 20:10 4 ver 19.03.2006 17:30 1.230 wpa.dbl 19.03.2006 13:51 1 vx.tll 19.03.2006 13:51 3.328 vxh8jkdq7.exe 19.03.2006 13:51 3.104 vxh8jkdq6.exe 19.03.2006 13:51 19.256 vxh8jkdq2.exe 19.03.2006 13:51 1.632 vxh8jkdq1.exe Verzeichnis von C:\WINDOWS 19.03.2006 17:24 1.999 desktop.html 19.03.2006 15:16 12.800 sysvx_.exe C:\WINDOWS\SYSTEM32\vxh8jkdq2.exe -> Not-A-Virus.Hoax.Win32.Renos.bm C:\WINDOWS\SYSTEM32\vxh8jkdq5.exe -> Downloader.Small.awa C:\WINDOWS\SYSTEM32\vxh8jkdq6.exe -> Downloader.Small.atl C:\WINDOWS\SYSTEM32\vxh8jkdq7.exe -> Downloader.Tibs.bu C:\WINDOWS\SYSTEM32\vxgamet1.exe -> Downloader.Small.ckn C:\WINDOWS\SYSTEM32\vxgame3.exe -> Downloader.Small.cgy C:\WINDOWS\SYSTEM32\vxgamet2.exe -> Downloader.Small.skn C:\WINDOWS\SYSTEM32\vxgame4.exe -> Worm.Locksky.ag C:\WINDOWS\SYSTEM32\vxgame6.exe -> Worm.Locksky.aj C:\WINDOWS\SYSTEM32\sysvx.exe -> Worm.Locksky.m C:\WINDOWS\SYSTEM32\vxgamet3.exe -> Dropper.Delf.th C:\WINDOWS\SYSTEM32\vxgamet4.exe -> Downloader.Tiny.ba C:\WINDOWS\sysvx_.exe -> Worm.Locksky.aj c:\windows\system32\comdlg64.dll --> Locksky.M Worm c:\windows\system32\whitevx.lst --> Locksky.M Worm c:\windows\system32\vx.tll HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop NoChangingWallpaper 0 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop NoComponents 0 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop NoDeletingComponents 0 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop NoEditingComponents 0 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop NoAddingComponents 0 * Datfindbat Verzeichnis von C:\WINDOWS\system32 22.05.2006 20:09 16 dlh9jkdq8.exe 22.05.2006 19:45 17'408 vxgame3.exe 22.05.2006 19:45 60'776 vxgame1.exe 22.05.2006 19:44 1'632 vxgamet3.exe 22.05.2006 19:43 8'171 776.exe 22.05.2006 19:02 4'096 vxgame6.exe 22.05.2006 19:02 3'072 vxgame6.exe3072.exe 22.05.2006 19:01 10'240 winmuse.exe 22.05.2006 19:01 8'171 3956.exe 22.05.2006 18:56 8'171 184.exe 22.05.2006 18:48 1 vx.tll 22.05.2006 18:48 7'009 dlh9jkdq7.exe 22.05.2006 18:47 7'009 dlh9jkdq6.exe 22.05.2006 18:47 18'785 dlh9jkdq2.exe 22.05.2006 18:47 8'171 1972.exe 22.05.2006 18:47 8'171 kernels8.exe 19.05.2006 12:00 6'152 cnlxzjlq.exe 14.05.2006 17:11 5'597 run.exe 11.05.2006 23:23 6'152 xgnsjgcf.exe 04.05.2006 11:12 6'152 bvnhdlhk.exe 03.05.2006 21:30 75'264 winbrume.dll 01.05.2006 16:01 2'184 wpa.dbl 26.04.2006 00:47 15'001 taskdir~.exe 26.04.2006 00:47 46'592 zlbw.dll 26.04.2006 00:47 51'221 parad.raw.exe 26.04.2006 00:47 4 winsub.xml 26.04.2006 00:47 62 svcp.csv Verzeichnis von C:\WINDOWS 22.05.2006 23:28 47'616 OEM.exe -> -> Proxy.Agent.jw 22.05.2006 20:29 2 tmp.req 22.05.2006 20:09 47'616 OEM.exe.bak -> -> Proxy.Agent.jw 22.05.2006 18:47 18'785 xpupdate.exe -> Trojan W32.Zotob-G Verzeichnis von C:\ 23.05.2006 12:21 0 xcagpvbg.exe 23.05.2006 12:20 0 wcuwjc.exe 23.05.2006 12:18 0 gdyqjswt.exe 23.05.2006 12:16 0 ujbg.exe 23.05.2006 12:14 0 xpdklm.exe 23.05.2006 12:09 0 wowjullo.exe 23.05.2006 12:07 0 ablcgfxd.exe 23.05.2006 12:07 73'728 yxycsgu.exe 14.05.2006 14:53 0 tool5.exe 14.05.2006 14:51 0 ms1.exe 14.05.2006 14:50 0 tool4.exe 14.05.2006 14:48 0 tool3.exe 14.05.2006 14:47 0 tool1.exe 14.05.2006 14:46 0 toolbar.exe 14.05.2006 14:41 0 country.exe 14.05.2006 14:40 0 tool2.exe 14.05.2006 14:38 0 kl1.exe 14.05.2006 14:38 0 uniq Gehe in die Registry Start - Ausführen - regedit hkey_current_user\software\microsoft\windows\currentversion\internet settings\zonemap\intranetname="1" ->löschen hkey_current_user\software\microsoft\windows\currentversion\internet settings\zonemap\uncasintranet="1" ->löschen hkey_current_user\software\microsoft\windows\currentversion\internet settings\zonemap\proxybypass="1" ->löschen HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bravesentry HKEY_CURRENT_USER\software\bravesentry HKEY_CURRENT_USER\Software\Install HKCR\CLSID\{196B9CB5-4C83-46F7-9B06-9672ECD9D99B} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {196B9CB5-4C83-46F7-9B06-9672ECD9D99B}
Verzeichnis von C:\WINDOWS\system32 16.07.2006 13:48 19 2.txt 16.07.2006 13:48 1 1.txt 16.07.2006 13:11 46.592 zlbw.dll 16.07.2006 13:10 6.928 satau325.sys 16.07.2006 13:10 9.266 taskdir~.exe 16.07.2006 13:10 84.480 mscdaux.dll 16.07.2006 13:09 3.072 vxgame4.exe 16.07.2006 13:09 2.149 vxgame3.exe 16.07.2006 13:08 63.562 taskdir.exe 16.07.2006 13:08 63.562 ipod.raw.exe 16.07.2006 13:08 30.406 vxgame1.exe 16.07.2006 13:08 4 winsub.xml 16.07.2006 13:08 61 svcp.csv 16.07.2006 13:08 5.744 vxgamet3.exe 16.07.2006 13:08 5.744 testtestt.exe 16.07.2006 13:08 5.596 vxgamet2.exe 16.07.2006 13:08 20.992 8f924053.exe 16.07.2006 13:08 13.312 maxd641.exe 16.07.2006 13:08 1 vx.tll 16.07.2006 13:08 7.051 dlh9jkdq7.exe 16.07.2006 13:08 6.539 dlh9jkdq6.exe 16.07.2006 13:08 6.630 dlh9jkdq5.exe 16.07.2006 13:08 17.894 dlh9jkdq2.exe 16.07.2006 13:08 16 dlh9jkdq8.exe 16.07.2006 13:08 7.644 kernels8.exe 16.07.2006 13:08 7.644 slx.exe???????????????????p 04.07.2006 19:45 2.206 wpa.dbl 18.06.2006 17:09 52 ypxysovg.txt Verzeichnis von C:\DOKUME~1\User\LOKALE~1\Temp 16.07.2006 13:10 3.072 25.tmp3072.exe 16.07.2006 13:10 26.332 2C.tmp 16.07.2006 13:10 0 2B.tmp 16.07.2006 13:10 5.120 2A.tmp 16.07.2006 13:10 2.560 29.tmp 16.07.2006 13:10 73.216 msn.exe 16.07.2006 13:10 131 kawkgs 16.07.2006 13:09 26.332 28.tm 16.07.2006 13:09 0 27.tmp 16.07.2006 13:09 5.120 26.tmp 16.07.2006 13:09 2.560 25.tmp 16.07.2006 13:09 131 kaw 16.07.2006 13:09 1.632 vx6.game 16.07.2006 13:09 3.072 vx4.game 16.07.2006 13:09 2.149 vx3.game 16.07.2006 13:08 3.264 vx2.game 16.07.2006 13:08 30.406 vx1.game 16.07.2006 13:08 1.632 vxt4.game 16.07.2006 13:08 5.744 vxt3.game 16.07.2006 13:08 5.596 vxt2.game 16.07.2006 13:08 7.087 vxt1.game 16.07.2006 13:08 20.992 h91746.exe 16.07.2006 13:08 13.312 maxdd1.game 16.07.2006 13:08 7.051 7.dlb 16.07.2006 13:08 6.539 6.dlb 16.07.2006 13:08 6.630 5.dlb 16.07.2006 13:08 17.894 2.dlb 16.07.2006 13:08 2.518 1.dlb
* HijackThis F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe" O4 - HKLM\..\Run: [isbmyiye] C:\bqonysvp.bat O4 - HKLM\..\RunServices: [SystemTools] C:\WINDOWS\System32\testtestt.exe O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\System32\taskdir.exe O20 - Winlogon Notify: artm_newreg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\artm_new.dll O20 - Winlogon Notify: satau320 - satau320.dll (file missing) * wende smitfraudfix an - Option 1 und 2 (lasse auch die Registry mitreinigen ) Verzeichnis von C:\WINDOWS\system32 16.07.2006 14:25 4.608 taskdir.dll 16.07.2006 13:08 7.644 slx.exe???????????????????p
Start > Ausführen --> reinschreiben --> cmd.exe und ok. kopiere rein und poste alles, was im Texteditor erscheint dir /s /a "c:\slx.exe???????????????????p*.*" > c:\find.txt & start notepad c:\find.txt dir /s /a "c:\slx.exe*.*" > c:\find.txt & start notepad c:\find.txt HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "taskdir" = "C:\WINDOWS\System32\taskdir.exe" [null data] "BraveSentry" = "(null value)" [file not found] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++} "pgikh" = "C:\WINDOWS\System32\pgikh.exe" [file not found] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "isbmyiye" = "C:\bqonysvp.bat" [file not found] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{F6C95B20-E9D5-4927-8C00-2B03B554417D}" = "Managed SpoolExt Extension" -> {HKLM...CLSID} = "Managed SpoolExt Class" \InProcServer32\(Default) = "C:\WINDOWS\System32\msgsple.dll" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\ "{3F143C3A-1457-6CCA-03A7-7AA23B61E40F}" = "OLE Automation Module" \InProcServer32\(Default) = "C:\WINDOWS\System32\mscdaux.dll" [null data] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ artm_newreg\DLLName = "C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\artm_new.dll" [null data] satau320\DLLName = "satau320.dll" [file not found] HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ HIJACK WARNING! "ForceActiveDesktopOn"=dword:00000001 * Combofix (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))) C:\WINDOWS\system32\vxgamet1.exe C:\WINDOWS\system32\vxgamet2.exe C:\WINDOWS\system32\vxgamet3.exe C:\Dokumente und Einstellungen\User\Anwendungsdaten\Install.dat C:\WINDOWS\system32\kernels8.exe C:\WINDOWS\system32\maxd641.exe C:\WINDOWS\xpupdate.exe ((((((((((((((((((((((((((((((( Files Created from 2006-07-31 to 2006-08-31 )))))))))))))) 2006-08-30 11:49 95,232 --a------ C:\WINDOWS\system32\cpehmyc.dll 2006-08-30 11:49 72,704 --a------ C:\WINDOWS\system32\pkmjdqd.dll 2006-08-08 16:51 5,744 --a------ C:\WINDOWS\system32\testtestt.exe 2006-08-08 16:50 6,599 --a------ C:\WINDOWS\system32\dlh9jkdq7.exe 2006-08-08 16:50 6,599 --a------ C:\WINDOWS\system32\dlh9jkdq6.exe 2006-08-08 16:50 36,864 --a------ C:\WINDOWS\system32\qjcgejln.dll 2006-08-08 16:50 20,992 --a------ C:\WINDOWS\system32\fae624fe.exe 2006-08-08 16:50 18,944 --ah----- C:\WINDOWS\system32\pejohnkm.exe 2006-08-08 16:50 18,585 --a------ C:\WINDOWS\system32\dlh9jkdq2.exe 2006-08-08 16:50 15 --a------ C:\WINDOWS\system32\dlh9jkdq8.exe 2006-08-08 16:33 74,968 --a------ C:\WINDOWS\KB902767.exe 2006-08-08 16:33 56,536 --a------ C:\WINDOWS\system32\ipv6mons.dll 2006-08-08 16:33 5,392 --a------ C:\23100247.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "fae624fe.exe"="C:\\WINDOWS\\system32\\fae624fe.exe" "cpehmyc.dll"="C:\\WINDOWS\\system32\\rundll32.exe C:\\WINDOWS\\system32\\cpehmyc.dll,bhejphb" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "BraveSentry"="C:\\Program Files\\BraveSentry\\BraveSentry.exe" "fae624fe.exe"="C:\\Dokumente und Einstellungen\\User\\Lokale Einstellungen\\Anwendungsdaten\\fae624fe.exe" "WinMedia"="C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\update1.exe3072.exe" Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen
* Avenger
Counter-Box.de |