BraveSentry

BraveSentry

If your desktop hijacked with BraveSentry you`ll look message:

Your computer is danger!
Windows Security Center has detected spyware/adware infection!
It is strongly recomended to use special antispyware tools to prevent data loss

Your system is infected. Scan found ..............
Your computer is in Danger
Your computer is in Danger
BraveSentry
Brave Sentry

We are sorry, but the trial version is unable to remove these threads
We strongly recommended you to purchase Full version
You will get 24 + 7 friendly support and unlimited protection

Windows Add/Remove programs was also unable to stop Bravesentry.

Domain Name: BRAVESENTRY.COM
Registrant:
Ocean Industries
Daniel Ocean (ceo@bravesentry.com)
731 Likeon Str
Amsterdam,21266
NL
Tel. +91.226370256
Creation Date: 26-Jan-2006
Expiration Date: 26-Jan-2007

anosurfer.com
Pietro Miezani Privaweria Ltd
Gua EC
anosurfer @ anosurfer.com

"69.50.166.195"

Below is a screen shot of an infestation from Game4all(dot)biz that installed both BraveSentry and AlfaCleaner

BraveSentry

Trojaner - Virendetektive bei Norman entdeckten einen neuen Trojaner-Virus der eine Sequenz eines Kinder Porno-Films zeigt und gleichzeitig schädliche Software aus dem Internet herunterlädt und installiert. Der Trojaner, mit der Bezeichnung W32/Agent.ULL", und bisher unter dem Namen childporn*****movie.mpeg.exe als Mailanhang verschickt wurde, zeigt einen Film mit eindeutigem und illegalen Inhalt und lädt gleichzeitig diverse betrügerische Software wie Spysheriff und BraveSentry in den infizierten Rechner.
Diese Programme laden weitere Ad- und Malware herunter und befallen unter Umständen weitere Rechner innerhalb des Netzwerkes.

win32.exe, kernels64.exe : Installers for Tibs, BraveSentry and other Malware. Tibs is a downloader for pornographic Adware, BraveSentry is a scam-based "AntiSpyware" utility. msits.exe, cmd32.exe : Downloads SpySheriff and other downloaders. SpySheriff is another scam-based "AntiSpyware" utility. loadadv713.exe : Another downloader

Details: BraveSentry is a purported anti-spyware application to scan for and remove spyware from users' computers

HKEY_CURRENT_USER\Software\Install --> löschen

AOL Protection findet:

HKEY_CLASSES_ROOT\.key

rechtsklick -> darauf kommt man in die "BERECHTIGUNGEN". Dann ein Häkchen in das Kästchen "Vollzugriff verweigern" 

* Creates file C:\WINDOWS\TEMP\childporn.wmv
* Creates file C:\WINDOWS\SYSTEM32\win32.exe
* Creates file C:\WINDOWS\SYSTEM32\msits.exe
* Creates file C:\WINDOWS\SYSTEM32\loadadv713.exe
* Creates file C:\WINDOWS\uniq
* Creates file C:\WINDOWS\kl1.exe

[ Network services ]
* Opens URL: http://traffsale1.biz/[REMOVED]/dl.php
* Opens URL: http://traffsale1.biz/[REMOVED]/kl.txt

[ Security issues ]
* Starting downloaded file - potential security problem

[ Process/window information ]
* Attemps to open C:\WINDOWS\TEMP\childporn.wmv NULL
* Attemps to open C:\WINDOWS\SYSTEM32\win32.exe NULL
* Attemps to open C:\WINDOWS\SYSTEM32\msits.exe NULL
* Attemps to open C:\WINDOWS\SYSTEM32\loadadv713.exe NULL

[ Signature Scanning ]
* C:\WINDOWS\TEMP\childporn.wmv (142802 bytes) : no signature detection.
* C:\WINDOWS\SYSTEM32\win32.exe (7723 bytes) : no signature detection.
* C:\WINDOWS\SYSTEM32\msits.exe (8605 bytes) : no signature detection.
* C:\WINDOWS\SYSTEM32\loadadv713.exe (5185 bytes) : no signature detection.
* C:\WINDOWS\uniq (4096 bytes) : no signature detection.
* C:\WINDOWS\kl1.exe (4096 bytes) : no signature detection.
BraveSentry remove
insert advertising-related components into the Winsock Layered Service Provider chain
BraveSentry introduziert eine advertising- komponente in den Winsock Layered Service Provider

"Winsock Layered Service Provider" -> zwischen WEB-Mailprogramme u. Internet (um z.B. suspekte Mails filtern zu können)

File Signatures:

process: BRAVESENTRY.exe: MD5 Hash: 5ecf21908195b1f5897...
process: uninstall.exe: MD5 Hash: ...
process: xpupdate.exe: MD5 Hash: 867d68f89d724f95373...

WINDOWS\TEMP\childporn.wmv
SYSTEM\win32.exe
SYSTEM\msits.exe
SYSTEM\cmd32.exe
SYSTEMloadadv713.exe
SYSTEM\kernels64.exe

The files installed are:
win32.exe, kernels64.exe : Installers for Tibs, BraveSentry and other malware.

« Combofix

« L2mfix -> Option 2 -> PC neustarten -> Scan abwarten L2mfix

« HostsXpert anwenden HostsXpert

« smitfrautfix
« Onlinescans
« AVG Antispyware

Rootkits finden

« f-secure BlackLight
« RootkitRevealer

« HijackThis

C:\Windows\xpupdate.exe
C:\WINDOWS\System32\vxh8jkdq2.exe
C:\WINDOWS\System32\taskdir.exe
C:\Programme\BraveSentry\BraveSentry.exe

O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels8.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\System32\taskdir.exe --> Link: proxy_lager
O20 - Winlogon Notify: msupdate - C:\WINDOWS\SYSTEM32\msupdate32.dll

Start - Ausführen - regedit

HKEY_CURRENT_USER\Software\Install
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bravesentry
HKEY_CURRENT_USER\software\bravesentry 
C:\Program Files\BraveSentry/BraveSentry.exe 
C:\Program Files\BraveSentry/BraveSentry.lic 
C:\Program Files\BraveSentry/BraveSentry0.bs 
C:\Program Files\BraveSentry/BraveSentry0.dll 
C:\Program Files\BraveSentry/BraveSentry1.bs 
C:\Program Files\BraveSentry/BraveSentry1.dll 
C:\Program Files\BraveSentry/BraveSentry2.bs 
C:\Program Files\BraveSentry/BraveSentry2.dll 
C:\Program Files\BraveSentry/BraveSentry3.dll 
C:\Program Files\BraveSentry/Uninstall.exe 
C:\Program Files\BraveSentry/winbixnkq32.dll --> Infected Trojan.Win32.Zapchast

Verzeichnis von C:\Program Files\BraveSentry

16.07.2006  472.576 BraveSentry.exe
16.07.2006  100 BraveSentry.lic
16.07.2006  410.974 BraveSentry0.bs
16.07.2006  124.928 BraveSentry0.dll
16.07.2006  25.646 BraveSentry1.bs
16.07.2006  126.464 BraveSentry1.dll
16.07.2006  117.760 BraveSentry2.dll
16.07.2006  119.296 BraveSentry3.dll
16.07.2006  114.688 Uninstall.exe

Verzeichnis von C:\Program Files\BraveSentry 
08.08.2006 16:51 472.576 BraveSentry.exe
08.08.2006 16:51 100 BraveSentry.lic
08.08.2006 16:51 410.974 BraveSentry0.bs
08.08.2006 16:51 124.928 BraveSentry0.dll
08.08.2006 16:51 27.860 BraveSentry1.bs
08.08.2006 16:51 126.464 BraveSentry1.dll
08.08.2006 16:51 117.760 BraveSentry2.dl
08.08.2006 16:51 119.296 BraveSentry3.dll
08.08.2006 16:51 114.688 Uninstall.exe

kann sich ebenfalls mitinstallieren: 
C:\WINDOWS\inet20004\3.02.00.dll 
C:\WINDOWS\inet20004\alg.exe 
C:\WINDOWS\inet20041\alg.exe.bak 
C:\WINDOWS\inet20004\mm.pid
C:\WINDOWS\inet20004\mm5.exe.bak 
C:\WINDOWS\inet20004\mm6.exe 
C:\WINDOWS\inet20004\services.exe
C:\WINDOWS\inet20004\winlogon.exe

C:\WINDOWS\system32\win32.exe
C:\WINDOWS\system32\voi519.exe --> Infected Trojan-Downloader.Win32.CWS.s
C:\WINDOWS\system32\voi355.exe
C:\WINDOWS\system32\voi549.exe
C:\WINDOWS\system32\voi756.exe
C:\WINDOWS\system32\voi780.exe
C:\WINDOWS\system32\voi683.exe 

C:\WINDOWS\system32\tio261.dll --> Infected Trojan-Downloader.Win32.Small.cjc
C:\WINDOWS\system32\tio208.dll
C:\WINDOWS\system32\tio739.dll

C:\WINDOWS\System32\taskdir.exe 
C:\WINDOWS\System32\parad.raw.exe

C:\WINDOWS\system32\vxgamet4.exe2560.exe
C:\WINDOWS\system32\vxgamet4.exe --> Infected Trojan-Downloader.Win32.Tiny.ba
C:\WINDOWS\system32\vxgamet1.exe -> "Email-Worm.Win32.Locksky.z"
C:\WINDOWS\system32\vxgamet2.exe
C:\WINDOWS\system32\vxgamet3.exe

C:\WINDOWS\system32\vxgame6.exe
C:\WINDOWS\system32\vxgame4.exe
C:\WINDOWS\system32\vxgame3.exe
C:\WINDOWS\system32\vxgame1.exe

C:\Documents and Settings\User\Local Settings\Temp\vx2.game -> Logger.ProAgent.u
C:\Documents and Settings\User\Local Settings\Temp\vx3.game -> Downloader.CWS.s
C:\Documents and Settings\User\Local Settings\Temp\vxt1.game -> Downloader.Small.ckn
C:\Documents and Settings\User\Local Settings\Temp\vxt2.game -> Downloader.Small.skn
C:\Documents and Settings\User\Local Settings\Temp\vxt3.game -> Dropper.Delf.th
C:\Documents and Settings\User\Local Settings\Temp\vxt4.game -> Downloader.Tiny.ba 
C:\Documents and Settings\User\Local Settings\Temp\~dfte14.tmp -> Dropper.Agent.abu

---------------

bum115.exe -->  Infected Trojan-Downloader.Win32.Small.cjd
bum923.exe 

C:\WINDOWS\stchost.exe -> BehavesLike
C:\WINDOWS\sachostx.exe

O4 - HKLM\..\Run: [sachost] C:\WINDOWS\sachostx.exe

C:\WINDOWS\system32\maxd64.exe  --> Infected Trojan.Win32.Dialer.ay
C:\WINDOWS\system32\vx.tll
C:\WINDOWS\system32\sxwbfqgl.exe -> BehavesLike
C:\WINDOWS\System32\vxh8jkdq7.exe -> BehavesLike
C:\WINDOWS\System32\vxh8jkdq6.exe
C:\WINDOWS\System32\vxh8jkdq5.exe
C:\WINDOWS\System32\vxh8jkdq2.exe
C:\WINDOWS\System32\vxh8jkdq1.exe

C:\WINDOWS\System32\kernels8.exe + C:\WINDOWS\system32\netsh.exe --> Infected Trojan-Downloader.Win32.Tibs.ai

C:\WINDOWS\system32\sysvx.exe --> Infected Email-Worm.Win32.Locksky.m

C:\WINDOWS\system32\comdlg64.dll --> Trojan.Trojan.Wupd

C:\WINDOWS\system32\whitevx.lst

C:\WINDOWS\system32\wmedia32.exe --> Infected Email-Worm.Win32.Locksky.ae

C:\WINDOWS\System32\dcom_14.dll

O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - C:\WINDOWS\System32\dcom_14.dll

IeHelperExVS.dll

C:\WINDOWS\system32\msupdate32.dll

C:\WINDOWS\system32\mspostsp.exe --> Infected Trojan.Win32.Inject.i

C:\WINDOWS\System32\zlbw.dll

sysvx_.exe --> Infected Email-Worm.Win32.Locksky.aj

C:\WINDOWS\desktop.html

C:\WINDOWS\System32\xpupdate.exe --> Trojan W32.Zotob-G
C:\Windows\xpupdate.exe

7.qtdfmp
6.qtdfmp
5.qtdfmp
2.qtdfmp
1.qtdfmp

C:\Documents and Settings\Local Settings\Temp\1.qtdfmp -> BehavesLike
C:\Documents and Settings\\Local Settings\Temp\5.qtdfmp
C:\Documents and Settings\\Local Settings\Temp\7.qtdfmp

C:\WINDOWS\avalon_6.txt -> Trojan.Agent.fs

0000cade.exe 
C:\WINDOWS\system32\vxt4.game --> Infected Trojan-Downloader.Win32.Tiny.ba
C:\WINDOWS\system32\vxt3.game
C:\WINDOWS\system32\vxt2.game
C:\WINDOWS\system32\vxt1.game

C:\WINDOWS\system32\vx6.game 
C:\WINDOWS\system32\vx4.game
C:\WINDOWS\system32\vx3.game --> Infected Trojan-Downloader.Win32.CWS.s 
C:\WINDOWS\system32\vx2.game
C:\WINDOWS\system32\vx1.game

C:\Documents and Settings\\Local Settings\Temp\vx1.game 
C:\Documents and Settings\\Local Settings\Temp\vx2.game 
C:\Documents and Settings\s\Local Settings\Temp\vx3.game
C:\Documents and Settings\\Local Settings\Temp\vx4.game

maxdd.game ->Trojan.Dialer.AY
C:\Documents and Settings\\Local Settings\Temp\maxdd.game
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\maxdd.game

C:\Documents and Settings\User\Local Settings\Temp\mhblhdlc.exe -> Downloader.CWS.s
C:\Documents and Settings\User\Local Settings\Temp\maxdd.game -> Trojan.Dialer.ay
C:\Documents and Settings\Local Settings\Temporary Internet Files\Content.IE5\ENI3QTI3\game1[1].exe
C:\Documents and Settings\\Local Settings\Temp\dbnd.bat -> BAT.AutoDelete.A -> Désinfection impossible
C:\WINDOWS\TEMP\44B9.tmp -> Trojan.Agent.fs
C:\Documents and Settings\User\Local Settings\Temp\01083070\3472.tmp -> Downloader.CWS.s
C:\Documents and Settings\User\Local Settings\Temp\01083070\3516.tmp
C:\Documents and Settings\User\Local Settings\Temp\3A.tmp -> Dropper.Agent.ail
C:\Documents and Settings\User\Local Settings\Temp\3C.tmp -> Downloader.Small.clo
C:\Documents and Settings\User\Local Settings\Temp\3E.tmp -> Logger.Small.ak
C:\Documents and Settings\User\Local Settings\Temp\aiejbbcf.exe -> Dropper.Small.zd

tmxC.tmp
0006a1df.exe
temp.wsf
WER4.tmp
6278B.dmp
winlogon.exe

ld.exe --> Infected Trojan-Downloader.Win32.Small.cke

lanH32.dll.ren --> Haxdoor remove

lanH64.sys.ren

qz.dll.ren

qz.sys.ren

qvxgamet3.exe.ren

qvxgamet4.exe.ren --> Infected Email-Worm.Win32.Locksky.ae

winzrunw5.dll --> Infected Trojan-Clicker.Win32.Agent.gm

* HijackThis

O20 - Winlogon Notify: access98 - C:\WINDOWS\SYSTEM32\access98.dll --> Link: Haxdoor remove
O20 - Winlogon Notify: Mixer - C:\WINDOWS\SYSTEM32\sndmixex.dll
O20 - Winlogon Notify: skyx16 - C:\WINDOWS\SYSTEM32\skyx16.dll
O20 - Winlogon Notify: ssldr - C:\WINDOWS\SYSTEM32\ssldr32.dll

* Datfindbat

Verzeichnis von C:\WINDOWS\system32

20.03.2006 20:02 84 whitevx.lst
20.03.2006 20:02 6.028 sysvx.exe --> Infected Email-Worm.Win32.Locksky.m (Kaspersky)
20.03.2006 20:02 4.925 comdlg64.dll
19.03.2006 21:35 1.632 vxgamet4.exe
19.03.2006 21:35 12.800 vxgame6.exe
19.03.2006 21:35 1.632 vxgame2.exe
19.03.2006 21:35 1.632 vxgame1.exe
19.03.2006 20:31 217.869 kspydoc.log
19.03.2006 20:31 0 Sweeper.cfg
19.03.2006 20:10 4 ver
19.03.2006 17:30 1.230 wpa.dbl
19.03.2006 13:51 1 vx.tll
19.03.2006 13:51 3.328 vxh8jkdq7.exe
19.03.2006 13:51 3.104 vxh8jkdq6.exe
19.03.2006 13:51 19.256 vxh8jkdq2.exe
19.03.2006 13:51 1.632 vxh8jkdq1.exe

Verzeichnis von C:\WINDOWS

19.03.2006 17:24 1.999 desktop.html
19.03.2006 15:16 12.800 sysvx_.exe

C:\WINDOWS\SYSTEM32\vxh8jkdq2.exe -> Not-A-Virus.Hoax.Win32.Renos.bm
C:\WINDOWS\SYSTEM32\vxh8jkdq5.exe -> Downloader.Small.awa
C:\WINDOWS\SYSTEM32\vxh8jkdq6.exe -> Downloader.Small.atl
C:\WINDOWS\SYSTEM32\vxh8jkdq7.exe -> Downloader.Tibs.bu
C:\WINDOWS\SYSTEM32\vxgamet1.exe -> Downloader.Small.ckn
C:\WINDOWS\SYSTEM32\vxgame3.exe -> Downloader.Small.cgy
C:\WINDOWS\SYSTEM32\vxgamet2.exe -> Downloader.Small.skn
C:\WINDOWS\SYSTEM32\vxgame4.exe -> Worm.Locksky.ag
C:\WINDOWS\SYSTEM32\vxgame6.exe -> Worm.Locksky.aj
C:\WINDOWS\SYSTEM32\sysvx.exe -> Worm.Locksky.m
C:\WINDOWS\SYSTEM32\vxgamet3.exe -> Dropper.Delf.th
C:\WINDOWS\SYSTEM32\vxgamet4.exe -> Downloader.Tiny.ba
C:\WINDOWS\sysvx_.exe -> Worm.Locksky.aj
c:\windows\system32\comdlg64.dll --> Locksky.M Worm
c:\windows\system32\whitevx.lst --> Locksky.M Worm

c:\windows\system32\vx.tll

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
NoChangingWallpaper 0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
NoComponents 0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
NoDeletingComponents 0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
NoEditingComponents 0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
NoAddingComponents 0

* Datfindbat

Verzeichnis von C:\WINDOWS\system32 
22.05.2006 20:09 16 dlh9jkdq8.exe
22.05.2006 19:45 17'408 vxgame3.exe
22.05.2006 19:45 60'776 vxgame1.exe
22.05.2006 19:44 1'632 vxgamet3.exe
22.05.2006 19:43 8'171 776.exe
22.05.2006 19:02 4'096 vxgame6.exe
22.05.2006 19:02 3'072 vxgame6.exe3072.exe
22.05.2006 19:01 10'240 winmuse.exe
22.05.2006 19:01 8'171 3956.exe
22.05.2006 18:56 8'171 184.exe
22.05.2006 18:48 1 vx.tll
22.05.2006 18:48 7'009 dlh9jkdq7.exe
22.05.2006 18:47 7'009 dlh9jkdq6.exe
22.05.2006 18:47 18'785 dlh9jkdq2.exe
22.05.2006 18:47 8'171 1972.exe
22.05.2006 18:47 8'171 kernels8.exe
19.05.2006 12:00 6'152 cnlxzjlq.exe
14.05.2006 17:11 5'597 run.exe
11.05.2006 23:23 6'152 xgnsjgcf.exe
04.05.2006 11:12 6'152 bvnhdlhk.exe
03.05.2006 21:30 75'264 winbrume.dll
01.05.2006 16:01 2'184 wpa.dbl
26.04.2006 00:47 15'001 taskdir~.exe
26.04.2006 00:47 46'592 zlbw.dll
26.04.2006 00:47 51'221 parad.raw.exe
26.04.2006 00:47 4 winsub.xml
26.04.2006 00:47 62 svcp.csv

Verzeichnis von C:\WINDOWS

22.05.2006 23:28 47'616 OEM.exe -> -> Proxy.Agent.jw
22.05.2006 20:29 2 tmp.req
22.05.2006 20:09 47'616 OEM.exe.bak -> -> Proxy.Agent.jw
22.05.2006 18:47 18'785 xpupdate.exe -> Trojan W32.Zotob-G

Verzeichnis von C:\ 
23.05.2006 12:21 0 xcagpvbg.exe
23.05.2006 12:20 0 wcuwjc.exe
23.05.2006 12:18 0 gdyqjswt.exe
23.05.2006 12:16 0 ujbg.exe
23.05.2006 12:14 0 xpdklm.exe
23.05.2006 12:09 0 wowjullo.exe
23.05.2006 12:07 0 ablcgfxd.exe
23.05.2006 12:07 73'728 yxycsgu.exe
14.05.2006 14:53 0 tool5.exe
14.05.2006 14:51 0 ms1.exe
14.05.2006 14:50 0 tool4.exe
14.05.2006 14:48 0 tool3.exe
14.05.2006 14:47 0 tool1.exe
14.05.2006 14:46 0 toolbar.exe
14.05.2006 14:41 0 country.exe
14.05.2006 14:40 0 tool2.exe
14.05.2006 14:38 0 kl1.exe
14.05.2006 14:38 0 uniq

Gehe in die Registry
Start - Ausführen - regedit

hkey_current_user\software\microsoft\windows\currentversion\internet settings\zonemap\intranetname="1" ->löschen
hkey_current_user\software\microsoft\windows\currentversion\internet settings\zonemap\uncasintranet="1" ->löschen
hkey_current_user\software\microsoft\windows\currentversion\internet settings\zonemap\proxybypass="1" ->löschen

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bravesentry
HKEY_CURRENT_USER\software\bravesentry
HKEY_CURRENT_USER\Software\Install

HKCR\CLSID\{196B9CB5-4C83-46F7-9B06-9672ECD9D99B}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {196B9CB5-4C83-46F7-9B06-9672ECD9D99B} 

Files to delete:
C:\WINDOWS\system32\dlh9jkdq8.exe
C:\WINDOWS\system32\vxgame3.exe
C:\WINDOWS\system32\vxgame1.exe
C:\WINDOWS\system32\vxgamet3.exe
C:\WINDOWS\system32\776.exe
C:\WINDOWS\system32\vxgame6.exe
C:\WINDOWS\system32\vxgame6.exe3072.exe
C:\WINDOWS\system32\winmuse.exe
C:\WINDOWS\system32\3956.exe
C:\WINDOWS\system32\184.exe
C:\WINDOWS\system32\vx.tll
C:\WINDOWS\system32\dlh9jkdq7.exe
C:\WINDOWS\system32\dlh9jkdq6.exe
C:\WINDOWS\system32\dlh9jkdq2.exe
C:\WINDOWS\system32\1972.exe
C:\WINDOWS\system32\kernels8.exe
C:\WINDOWS\system32\cnlxzjlq.exe
C:\WINDOWS\system32\run.exe
C:\WINDOWS\system32\xgnsjgcf.exe
C:\WINDOWS\system32\bvnhdlhk.exe
C:\WINDOWS\system32\winbrume.dll
C:\WINDOWS\system32\taskdir~.exe
C:\WINDOWS\system32\zlbw.dll
C:\WINDOWS\system32\parad.raw.exe
C:\WINDOWS\system32\winsub.xml
C:\WINDOWS\system32\svcp.csv
C:\WINDOWS\OEM.exe
C:\WINDOWS\tmp.req
C:\WINDOWS\OEM.exe.bak
C:\WINDOWS\1.txt
C:\xcagpvbg.exe
C:\wcuwjc.exe
C:\gdyqjswt.exe
C:\ujbg.exe
C:\xpdklm.exe
C:\wowjullo.exe
C:\ablcgfxd.exe
C:\yxycsgu.exe
C:\tool5.exe
C:\ms1.exe
C:\tool4.exe
C:\tool3.exe
C:\tool1.exe
C:\toolbar.exe
C:\country.exe
C:\tool2.exe
C:\kl1.exe
C:\uniq
C:\Dokumente und Einstellungen\All Users.WINDOWS\Dokumente\Settings\20242402.dll

Folders to delete: 
C:\WINDOWS\inet20026


Verzeichnis von C:\WINDOWS\system32 
16.07.2006 13:48 19 2.txt
16.07.2006 13:48 1 1.txt
16.07.2006 13:11 46.592 zlbw.dll
16.07.2006 13:10 6.928 satau325.sys
16.07.2006 13:10 9.266 taskdir~.exe
16.07.2006 13:10 84.480 mscdaux.dll
16.07.2006 13:09 3.072 vxgame4.exe
16.07.2006 13:09 2.149 vxgame3.exe
16.07.2006 13:08 63.562 taskdir.exe
16.07.2006 13:08 63.562 ipod.raw.exe
16.07.2006 13:08 30.406 vxgame1.exe
16.07.2006 13:08 4 winsub.xml
16.07.2006 13:08 61 svcp.csv
16.07.2006 13:08 5.744 vxgamet3.exe
16.07.2006 13:08 5.744 testtestt.exe
16.07.2006 13:08 5.596 vxgamet2.exe
16.07.2006 13:08 20.992 8f924053.exe
16.07.2006 13:08 13.312 maxd641.exe
16.07.2006 13:08 1 vx.tll
16.07.2006 13:08 7.051 dlh9jkdq7.exe
16.07.2006 13:08 6.539 dlh9jkdq6.exe
16.07.2006 13:08 6.630 dlh9jkdq5.exe
16.07.2006 13:08 17.894 dlh9jkdq2.exe
16.07.2006 13:08 16 dlh9jkdq8.exe
16.07.2006 13:08 7.644 kernels8.exe
16.07.2006 13:08 7.644 slx.exe???????????????????p
04.07.2006 19:45 2.206 wpa.dbl
18.06.2006 17:09 52 ypxysovg.txt

Verzeichnis von C:\DOKUME~1\User\LOKALE~1\Temp
16.07.2006 13:10 3.072 25.tmp3072.exe
16.07.2006 13:10 26.332 2C.tmp
16.07.2006 13:10 0 2B.tmp
16.07.2006 13:10 5.120 2A.tmp
16.07.2006 13:10 2.560 29.tmp
16.07.2006 13:10 73.216 msn.exe
16.07.2006 13:10 131 kawkgs
16.07.2006 13:09 26.332 28.tm
16.07.2006 13:09 0 27.tmp
16.07.2006 13:09 5.120 26.tmp
16.07.2006 13:09 2.560 25.tmp
16.07.2006 13:09 131 kaw
16.07.2006 13:09 1.632 vx6.game
16.07.2006 13:09 3.072 vx4.game
16.07.2006 13:09 2.149 vx3.game
16.07.2006 13:08 3.264 vx2.game
16.07.2006 13:08 30.406 vx1.game
16.07.2006 13:08 1.632 vxt4.game
16.07.2006 13:08 5.744 vxt3.game
16.07.2006 13:08 5.596 vxt2.game
16.07.2006 13:08 7.087 vxt1.game
16.07.2006 13:08 20.992 h91746.exe
16.07.2006 13:08 13.312 maxdd1.game
16.07.2006 13:08 7.051 7.dlb
16.07.2006 13:08 6.539 6.dlb
16.07.2006 13:08 6.630 5.dlb
16.07.2006 13:08 17.894 2.dlb
16.07.2006 13:08 2.518 1.dlb

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"WinUpdate.exe"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"taskdir"=-
"BraveSentry"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"pgikh"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"isbmyiye"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{F6C95B20-E9D5-4927-8C00-2B03B554417D}"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{3F143C3A-1457-6CCA-03A7-7AA23B61E40F}"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"DisableTaskMgr"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoActiveDesktopChanges"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoSaveSettings"=-
"NoViewContextMenu"=-
"NoActiveDesktop"=-
"ForceActiveDesktopOn"=-
"ClassicShell"=-
"NoThemesTab"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoAddingComponents"=-
"NoComponents"=-
"NoDeletingComponents"=-
"NoEditingComponents"=-
"NoCloseDragDropBands"=-
"NoMovingBands"=-
"NoHTMLWallPaper"=-
"NoChangingWallPaper"=-


* HijackThis

F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe"
O4 - HKLM\..\Run: [isbmyiye] C:\bqonysvp.bat
O4 - HKLM\..\RunServices: [SystemTools] C:\WINDOWS\System32\testtestt.exe
O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\System32\taskdir.exe
O20 - Winlogon Notify: artm_newreg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\artm_new.dll
O20 - Winlogon Notify: satau320 - satau320.dll (file missing)

* wende smitfraudfix an - Option 1 und 2 (lasse auch die Registry mitreinigen )

Verzeichnis von C:\WINDOWS\system32
16.07.2006 14:25 4.608 taskdir.dll
16.07.2006 13:08 7.644 slx.exe???????????????????p

Files to delete:
C:\bqonysvp.bat
C:\WINDOWS\System32\msgsple.dll
C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\artm_new.dll
C:\WINDOWS\System32\taskdir.exe
C:\WINDOWS\System32\testtestt.exe
C:\WINDOWS\system32\taskdir.dll
C:\WINDOWS\system32\slx.exe???????????????????p
C:\WINDOWS\system32\slx.exe
C:\WINDOWS\System32\mscdaux.dll
C:\WINDOWS\System32\satau320.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00002.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00002.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00004.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00004.exe


Start > Ausführen --> reinschreiben --> cmd.exe
und ok. kopiere rein und poste alles, was im Texteditor erscheint

dir /s /a "c:\slx.exe???????????????????p*.*" > c:\find.txt & start notepad c:\find.txt

dir /s /a "c:\slx.exe*.*" > c:\find.txt & start notepad c:\find.txt

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"taskdir" = "C:\WINDOWS\System32\taskdir.exe" [null data]
"BraveSentry" = "(null value)" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"pgikh" = "C:\WINDOWS\System32\pgikh.exe" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"isbmyiye" = "C:\bqonysvp.bat" [file not found]


HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{F6C95B20-E9D5-4927-8C00-2B03B554417D}" = "Managed SpoolExt Extension"
-> {HKLM...CLSID} = "Managed SpoolExt Class"
\InProcServer32\(Default) = "C:\WINDOWS\System32\msgsple.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\
"{3F143C3A-1457-6CCA-03A7-7AA23B61E40F}" = "OLE Automation Module"
\InProcServer32\(Default) = "C:\WINDOWS\System32\mscdaux.dll" [null data]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
artm_newreg\DLLName = "C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\artm_new.dll" [null data]
satau320\DLLName = "satau320.dll" [file not found]

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HIJACK WARNING! "ForceActiveDesktopOn"=dword:00000001

* Combofix

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))

C:\WINDOWS\system32\vxgamet1.exe
C:\WINDOWS\system32\vxgamet2.exe
C:\WINDOWS\system32\vxgamet3.exe
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Install.dat
C:\WINDOWS\system32\kernels8.exe
C:\WINDOWS\system32\maxd641.exe
C:\WINDOWS\xpupdate.exe

((((((((((((((((((((((((((((((( Files Created from 2006-07-31 to 2006-08-31 ))))))))))))))

2006-08-30 11:49 95,232 --a------ C:\WINDOWS\system32\cpehmyc.dll
2006-08-30 11:49 72,704 --a------ C:\WINDOWS\system32\pkmjdqd.dll
2006-08-08 16:51 5,744 --a------ C:\WINDOWS\system32\testtestt.exe
2006-08-08 16:50 6,599 --a------ C:\WINDOWS\system32\dlh9jkdq7.exe
2006-08-08 16:50 6,599 --a------ C:\WINDOWS\system32\dlh9jkdq6.exe
2006-08-08 16:50 36,864 --a------ C:\WINDOWS\system32\qjcgejln.dll
2006-08-08 16:50 20,992 --a------ C:\WINDOWS\system32\fae624fe.exe
2006-08-08 16:50 18,944 --ah----- C:\WINDOWS\system32\pejohnkm.exe
2006-08-08 16:50 18,585 --a------ C:\WINDOWS\system32\dlh9jkdq2.exe
2006-08-08 16:50 15 --a------ C:\WINDOWS\system32\dlh9jkdq8.exe
2006-08-08 16:33 74,968 --a------ C:\WINDOWS\KB902767.exe
2006-08-08 16:33 56,536 --a------ C:\WINDOWS\system32\ipv6mons.dll
2006-08-08 16:33 5,392 --a------ C:\23100247.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"fae624fe.exe"="C:\\WINDOWS\\system32\\fae624fe.exe"
"cpehmyc.dll"="C:\\WINDOWS\\system32\\rundll32.exe C:\\WINDOWS\\system32\\cpehmyc.dll,bhejphb"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BraveSentry"="C:\\Program Files\\BraveSentry\\BraveSentry.exe"
"fae624fe.exe"="C:\\Dokumente und Einstellungen\\User\\Lokale Einstellungen\\Anwendungsdaten\\fae624fe.exe"
"WinMedia"="C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\update1.exe3072.exe"

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"fae624fe.exe"=-
"cpehmyc.dll"=

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BraveSentry"=-
"fae624fe.exe"=-
"WinMedia"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoActiveDesktop"=-
"ClassicShell"=-
"ForceActiveDesktopOn"=-

[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]


* Avenger 

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bravesentry

Files to delete:
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Anwendungsdaten\fae624fe.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\update1.exe3072.exe
C:\WINDOWS\system32\2.txt
C:\WINDOWS\system32\1.txt
C:\WINDOWS\system32\cpehmyc.dll
C:\WINDOWS\system32\pkmjdqd.dll
C:\WINDOWS\system32\winsub.xml
C:\WINDOWS\system32\svcp.csv
C:\WINDOWS\system32\testtestt.exe
C:\WINDOWS\system32\fae624fe.exe
C:\WINDOWS\system32\dlh9jkdq8.exe
C:\WINDOWS\system32\vx.tll
C:\WINDOWS\system32\dlh9jkdq7.exe
C:\WINDOWS\system32\dlh9jkdq6.exe
C:\WINDOWS\system32\dlh9jkdq2.exe
C:\WINDOWS\system32\qjcgejln.dll
C:\WINDOWS\system32\pejohnkm.exe
C:\WINDOWS\system32\ipv6mons.dll
C:\Windows\xpupdate.exe
C:\WINDOWS\desktop.html
C:\WINDOWS\KB902767.exe
C:\23100247.exe

Folders to delete: 
C:\Program Files\BraveSentry






Counter-Box.de


virus-protect.org
startseite Valid HTML 4.01 Ranking-Hits antispam