BraveSentry 2.0

BraveSentry

BraveSentry

BraveSentry

If your desktop hijacked with BraveSentry you`ll look message:

Your computer is danger!
Windows Security Center has detected spyware/adware infection!
It is strongly recomended to use special antispyware tools to prevent data loss

Your system is infected. Scan found ..............

Below is a screen shot of an infestation from Game4all(dot)biz that installed both BraveSentry and AlfaCleaner

andere Infektions-Möglichkeit
http://www.news-select.de/content/view/2843/39/
Trojaner - Virendetektive bei Norman entdeckten einen neuen Trojaner-Virus der eine Sequenz eines Kinder Porno-Films zeigt und gleichzeitig schädliche Software aus dem Internet herunterlädt und installiert. Der Trojaner, mit der Bezeichnung W32/Agent.ULL", und bisher unter dem Namen childporn*****movie.mpeg.exe als Mailanhang verschickt wurde, zeigt einen Film mit eindeutigem und illegalen Inhalt und lädt gleichzeitig diverse betrügerische Software wie Spysheriff und BraveSentry in den infizierten Rechner. Diese Programme laden weitere Ad- und Malware herunter und befallen unter Umständen weitere Rechner innerhalb des Netzwerkes.

win32.exe, kernels64.exe : Installers for Tibs, BraveSentry and other Malware. Tibs is a downloader for pornographic Adware, BraveSentry is a scam-based "AntiSpyware" utility. msits.exe, cmd32.exe : Downloads SpySheriff and other downloaders. SpySheriff is another scam-based "AntiSpyware" utility. loadadv713.exe : Another downloader

Details: BraveSentry is a purported anti-spyware application to scan for and remove spyware from users' computers

HKEY_CURRENT_USER\Software\Install --> löschen

AOL Protection findet:

HKEY_CLASSES_ROOT\.key

rechtsklick -> darauf kommt man in die "BERECHTIGUNGEN". Dann ein Häkchen in das Kästchen "Vollzugriff verweigern"

AOL - Nutzer

1. Windows Defender anwenden

2. EMail-Eingang bereinigen (Spam-Ordner und verdächtige Teile bereinigen)

3. Eventuell auch mal den Versuch machen, einen neuen AOL-User (man hat ja sieben frei) einzurichten und einfach mal einige Tage ohne Mailverkehr und Internetaktivität nur mit diesem User ONLINE zu gehen (einach anmelden und nichts tun, ausser Protection checken lassen) Kommt während dieser Zeit kein Brave, gibt es einen Zusammenhang mit dem AOL-User, der normalerweise verwendet wird.

4. Mit regshot Veränderungen in Verzeichnissen und Registry überwachen

* Creates file C:\WINDOWS\TEMP\childporn.wmv
* Creates file C:\WINDOWS\SYSTEM32\win32.exe
* Creates file C:\WINDOWS\SYSTEM32\msits.exe
* Creates file C:\WINDOWS\SYSTEM32\loadadv713.exe
* Creates file C:\WINDOWS\uniq
* Creates file C:\WINDOWS\kl1.exe

[ Network services ]
* Opens URL: http://traffsale1.biz/[REMOVED]/dl.php
* Opens URL: http://traffsale1.biz/[REMOVED]/kl.txt

[ Security issues ]
* Starting downloaded file - potential security problem

[ Process/window information ]
* Attemps to open C:\WINDOWS\TEMP\childporn.wmv NULL
* Attemps to open C:\WINDOWS\SYSTEM32\win32.exe NULL
* Attemps to open C:\WINDOWS\SYSTEM32\msits.exe NULL
* Attemps to open C:\WINDOWS\SYSTEM32\loadadv713.exe NULL

[ Signature Scanning ]
* C:\WINDOWS\TEMP\childporn.wmv (142802 bytes) : no signature detection.
* C:\WINDOWS\SYSTEM32\win32.exe (7723 bytes) : no signature detection.
* C:\WINDOWS\SYSTEM32\msits.exe (8605 bytes) : no signature detection.
* C:\WINDOWS\SYSTEM32\loadadv713.exe (5185 bytes) : no signature detection.
* C:\WINDOWS\uniq (4096 bytes) : no signature detection.
* C:\WINDOWS\kl1.exe (4096 bytes) : no signature detection.

BraveSentry remove

insert advertising-related components into the Winsock Layered Service Provider chain
BraveSentry introduziert eine advertising- komponente in den Winsock Layered Service Provider

"Winsock Layered Service Provider" -> zwischen WEB-Mailprogramme u. Internet (um z.B. suspekte Mails filtern zu können)

zum Beispiel AOL-Protection ?????????????
das komplette Management sowie die Technologie zum Scannen von Daten auf dem Winsock-Layer. klinkt sich entsprechend dem Layered Service Provider Model in die Winsock-DLL ein und kann auf diese Weise transparent für alle Anwendungen den IP-Datenverkehr analysieren und modifizieren, bevor dieser in das Netz beziehungsweise an die Anwendungen geschickt wird. Auf diese Weise kann E-Mails und Webmails auf Viren prüfen, ohne dass ein Plug-in im Browser oder E-Mail-Client installiert werden muss.

File Signatures:
process: BRAVESENTRY.exe: MD5 Hash: 5ecf21908195b1f5897...
process: uninstall.exe: MD5 Hash: ...
process: xpupdate.exe: MD5 Hash: 867d68f89d724f95373...

WINDOWS\TEMP\childporn.wmv
SYSTEM\win32.exe
SYSTEM\msits.exe
SYSTEM\cmd32.exe
SYSTEMloadadv713.exe
SYSTEM\kernels64.exe

The files installed are:
win32.exe, kernels64.exe : Installers for Tibs, BraveSentry and other malware.

Combofix anwenden
Combofix

L2mfix -> Option 2 -> PC neustarten -> Scan abwarten
http://virus-protect.org/l2mfix.html

HostsXpert anwenden
http://www.virus-protect.org/host.html

arbeite smitfraud.fix ab
http://virus-protect.org/artikel/tools/smitfrautfix.html

deaktivieren Systemwiederherstellung in Windows XP (nach der Reinigung wieder aktivieren)
http://virus-protect.org/systemwiederherstellung.html

scanne mit Bitdefender und Kaspersky und Panda
http://virus-protect.org/onlinescan.html

(Kaspersky-Onlinescanner und panda erkennen nur...löschen nicht, man muss dann die Dateien manuell oder mit der Killbox loeschen)

Ewido
http://virus-protect.org/ewido.html

Rootkits finden

Download f-secure
f-secure BlackLight

RootkitRevealer
http://virus-protect.org/artikel/tools/rootkithook.html

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

C:\Windows\xpupdate.exe
C:\WINDOWS\System32\vxh8jkdq2.exe
C:\WINDOWS\System32\taskdir.exe
C:\Programme\BraveSentry\BraveSentry.exe

O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels8.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\System32\taskdir.exe --> proxy_lager
O20 - Winlogon Notify: msupdate - C:\WINDOWS\SYSTEM32\msupdate32.dll

BraveSentry

Start - Ausführen - regedit

HKEY_CURRENT_USER\Software\Install
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bravesentry
HKEY_CURRENT_USER\software\bravesentry

C:\Program Files\BraveSentry/BraveSentry.exe 
C:\Program Files\BraveSentry/BraveSentry.lic 
C:\Program Files\BraveSentry/BraveSentry0.bs 
C:\Program Files\BraveSentry/BraveSentry0.dll 
C:\Program Files\BraveSentry/BraveSentry1.bs 
C:\Program Files\BraveSentry/BraveSentry1.dll 
C:\Program Files\BraveSentry/BraveSentry2.bs 
C:\Program Files\BraveSentry/BraveSentry2.dll 
C:\Program Files\BraveSentry/BraveSentry3.dll 
C:\Program Files\BraveSentry/Uninstall.exe 
C:\Program Files\BraveSentry/winbixnkq32.dll --> Infected Trojan.Win32.Zapchast

Verzeichnis von C:\Program Files\BraveSentry

16.07.2006  472.576 BraveSentry.exe
16.07.2006  100 BraveSentry.lic
16.07.2006  410.974 BraveSentry0.bs
16.07.2006  124.928 BraveSentry0.dll
16.07.2006  25.646 BraveSentry1.bs
16.07.2006  126.464 BraveSentry1.dll
16.07.2006  117.760 BraveSentry2.dll
16.07.2006  119.296 BraveSentry3.dll
16.07.2006  114.688 Uninstall.exe

anderer PC

Verzeichnis von C:\Program Files\BraveSentry

08.08.2006 16:51 472.576 BraveSentry.exe
08.08.2006 16:51 100 BraveSentry.lic
08.08.2006 16:51 410.974 BraveSentry0.bs
08.08.2006 16:51 124.928 BraveSentry0.dll
08.08.2006 16:51 27.860 BraveSentry1.bs
08.08.2006 16:51 126.464 BraveSentry1.dll
08.08.2006 16:51 117.760 BraveSentry2.dl
08.08.2006 16:51 119.296 BraveSentry3.dll
08.08.2006 16:51 114.688 Uninstall.exe

kann sich ebenfalls mitinstallieren:

C:\WINDOWS\inet20004\3.02.00.dll 
C:\WINDOWS\inet20004\alg.exe 
C:\WINDOWS\inet20041\alg.exe.bak 
C:\WINDOWS\inet20004\mm.pid
C:\WINDOWS\inet20004\mm5.exe.bak 
C:\WINDOWS\inet20004\mm6.exe 
C:\WINDOWS\inet20004\services.exe
C:\WINDOWS\inet20004\winlogon.exe

C:\WINDOWS\system32\win32.exe
C:\WINDOWS\system32\voi519.exe --> Infected Trojan-Downloader.Win32.CWS.s
C:\WINDOWS\system32\voi355.exe
C:\WINDOWS\system32\voi549.exe
C:\WINDOWS\system32\voi756.exe
C:\WINDOWS\system32\voi780.exe
C:\WINDOWS\system32\voi683.exe 

C:\WINDOWS\system32\tio261.dll --> Infected Trojan-Downloader.Win32.Small.cjc
C:\WINDOWS\system32\tio208.dll
C:\WINDOWS\system32\tio739.dll

C:\WINDOWS\System32\taskdir.exe

C:\WINDOWS\System32\parad.raw.exe proxy_lager

C:\WINDOWS\system32\vxgamet4.exe2560.exe
C:\WINDOWS\system32\vxgamet4.exe --> Infected Trojan-Downloader.Win32.Tiny.ba
C:\WINDOWS\system32\vxgamet1.exe -> "Email-Worm.Win32.Locksky.z"
C:\WINDOWS\system32\vxgamet2.exe
C:\WINDOWS\system32\vxgamet3.exe

C:\WINDOWS\system32\vxgame6.exe
C:\WINDOWS\system32\vxgame4.exe
C:\WINDOWS\system32\vxgame3.exe
C:\WINDOWS\system32\vxgame1.exe

C:\Documents and Settings\User\Local Settings\Temp\vx2.game -> Logger.ProAgent.u
C:\Documents and Settings\User\Local Settings\Temp\vx3.game -> Downloader.CWS.s
C:\Documents and Settings\User\Local Settings\Temp\vxt1.game -> Downloader.Small.ckn
C:\Documents and Settings\User\Local Settings\Temp\vxt2.game -> Downloader.Small.skn
C:\Documents and Settings\User\Local Settings\Temp\vxt3.game -> Dropper.Delf.th
C:\Documents and Settings\User\Local Settings\Temp\vxt4.game -> Downloader.Tiny.ba 
C:\Documents and Settings\User\Local Settings\Temp\~dfte14.tmp -> Dropper.Agent.abu

---------------

bum115.exe -->  Infected Trojan-Downloader.Win32.Small.cjd
bum923.exe 

C:\WINDOWS\stchost.exe -> BehavesLike
C:\WINDOWS\sachostx.exe

O4 - HKLM\..\Run: [sachost] C:\WINDOWS\sachostx.exe

C:\WINDOWS\system32\maxd64.exe  --> Infected Trojan.Win32.Dialer.ay
C:\WINDOWS\system32\vx.tll
C:\WINDOWS\system32\sxwbfqgl.exe -> BehavesLike
C:\WINDOWS\System32\vxh8jkdq7.exe -> BehavesLike
C:\WINDOWS\System32\vxh8jkdq6.exe
C:\WINDOWS\System32\vxh8jkdq5.exe
C:\WINDOWS\System32\vxh8jkdq2.exe
C:\WINDOWS\System32\vxh8jkdq1.exe

Link: kernels8.exe

C:\WINDOWS\System32\kernels8.exe + C:\WINDOWS\system32\netsh.exe --> Infected Trojan-Downloader.Win32.Tibs.ai http://www.cyberdefender.com/risk/html/20060308152700.log.html

C:\WINDOWS\system32\sysvx.exe --> Infected Email-Worm.Win32.Locksky.m

C:\WINDOWS\system32\comdlg64.dll -->Trojan.Trojan.Wupd http://www.nuker.com/container/details/trojan_wupd.php

C:\WINDOWS\system32\whitevx.lst

C:\WINDOWS\system32\wmedia32.exe --> Infected Email-Worm.Win32.Locksky.ae

C:\WINDOWS\System32\dcom_14.dll
O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - C:\WINDOWS\System32\dcom_14.dll

IeHelperExVS.dll

C:\WINDOWS\system32\msupdate32.dll

C:\WINDOWS\system32\mspostsp.exe --> Infected Trojan.Win32.Inject.i

C:\WINDOWS\System32\zlbw.dll --> proxy_lager

sysvx_.exe --> Infected Email-Worm.Win32.Locksky.aj

C:\WINDOWS\desktop.html

C:\WINDOWS\System32\xpupdate.exe --> Trojan W32.Zotob-G
C:\Windows\xpupdate.exe

7.qtdfmp
6.qtdfmp
5.qtdfmp
2.qtdfmp
1.qtdfmp

C:\Documents and Settings\Local Settings\Temp\1.qtdfmp -> BehavesLike
C:\Documents and Settings\\Local Settings\Temp\5.qtdfmp
C:\Documents and Settings\\Local Settings\Temp\7.qtdfmp

C:\WINDOWS\avalon_6.txt -> Trojan.Agent.fs

0000cade.exe

C:\WINDOWS\system32\vxt4.game --> Infected Trojan-Downloader.Win32.Tiny.ba
C:\WINDOWS\system32\vxt3.game
C:\WINDOWS\system32\vxt2.game
C:\WINDOWS\system32\vxt1.game

C:\WINDOWS\system32\vx6.game 
C:\WINDOWS\system32\vx4.game
C:\WINDOWS\system32\vx3.game --> Infected Trojan-Downloader.Win32.CWS.s 
C:\WINDOWS\system32\vx2.game
C:\WINDOWS\system32\vx1.game

C:\Documents and Settings\\Local Settings\Temp\vx1.game 
C:\Documents and Settings\\Local Settings\Temp\vx2.game 
C:\Documents and Settings\s\Local Settings\Temp\vx3.game
C:\Documents and Settings\\Local Settings\Temp\vx4.game

maxdd.game ->Trojan.Dialer.AY
C:\Documents and Settings\\Local Settings\Temp\maxdd.game
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\maxdd.game

C:\Documents and Settings\User\Local Settings\Temp\mhblhdlc.exe -> Downloader.CWS.s
C:\Documents and Settings\User\Local Settings\Temp\maxdd.game -> Trojan.Dialer.ay
C:\Documents and Settings\Local Settings\Temporary Internet Files\Content.IE5\ENI3QTI3\game1[1].exe
C:\Documents and Settings\\Local Settings\Temp\dbnd.bat -> BAT.AutoDelete.A -> Désinfection impossible
C:\WINDOWS\TEMP\44B9.tmp -> Trojan.Agent.fs
C:\Documents and Settings\User\Local Settings\Temp\01083070\3472.tmp -> Downloader.CWS.s
C:\Documents and Settings\User\Local Settings\Temp\01083070\3516.tmp
C:\Documents and Settings\User\Local Settings\Temp\3A.tmp -> Dropper.Agent.ail
C:\Documents and Settings\User\Local Settings\Temp\3C.tmp -> Downloader.Small.clo
C:\Documents and Settings\User\Local Settings\Temp\3E.tmp -> Logger.Small.ak
C:\Documents and Settings\User\Local Settings\Temp\aiejbbcf.exe -> Dropper.Small.zd

tmxC.tmp
0006a1df.exe
temp.wsf
WER4.tmp
6278B.dmp
winlogon.exe
ld.exe --> Infected Trojan-Downloader.Win32.Small.cke
lanH32.dll.ren --> Haxdoor remove
lanH64.sys.ren
qz.dll.ren
qz.sys.ren
qvxgamet3.exe.ren
qvxgamet4.exe.ren --> Infected Email-Worm.Win32.Locksky.ae

winzrunw5.dll --> Infected Trojan-Clicker.Win32.Agent.gm

O20 - Winlogon Notify: access98 - C:\WINDOWS\SYSTEM32\access98.dll --> Haxdoor remove
O20 - Winlogon Notify: Mixer - C:\WINDOWS\SYSTEM32\sndmixex.dll
O20 - Winlogon Notify: skyx16 - C:\WINDOWS\SYSTEM32\skyx16.dll
O20 - Winlogon Notify: ssldr - C:\WINDOWS\SYSTEM32\ssldr32.dll

anderer PC

datfindbat

Verzeichnis von C:\WINDOWS\system32

20.03.2006 20:02 84 whitevx.lst
20.03.2006 20:02 6.028 sysvx.exe --> Infected Email-Worm.Win32.Locksky.m (Kaspersky)
20.03.2006 20:02 4.925 comdlg64.dll
19.03.2006 21:35 1.632 vxgamet4.exe
19.03.2006 21:35 12.800 vxgame6.exe
19.03.2006 21:35 1.632 vxgame2.exe
19.03.2006 21:35 1.632 vxgame1.exe
19.03.2006 20:31 217.869 kspydoc.log
19.03.2006 20:31 0 Sweeper.cfg
19.03.2006 20:10 4 ver
19.03.2006 17:30 1.230 wpa.dbl
19.03.2006 13:51 1 vx.tll
19.03.2006 13:51 3.328 vxh8jkdq7.exe
19.03.2006 13:51 3.104 vxh8jkdq6.exe
19.03.2006 13:51 19.256 vxh8jkdq2.exe
19.03.2006 13:51 1.632 vxh8jkdq1.exe

Verzeichnis von C:\WINDOWS

19.03.2006 17:24 1.999 desktop.html
19.03.2006 15:16 12.800 sysvx_.exe

anderer PC

ewido

C:\WINDOWS\SYSTEM32\vxh8jkdq2.exe -> Not-A-Virus.Hoax.Win32.Renos.bm
C:\WINDOWS\SYSTEM32\vxh8jkdq5.exe -> Downloader.Small.awa
C:\WINDOWS\SYSTEM32\vxh8jkdq6.exe -> Downloader.Small.atl
C:\WINDOWS\SYSTEM32\vxh8jkdq7.exe -> Downloader.Tibs.bu
C:\WINDOWS\SYSTEM32\vxgamet1.exe -> Downloader.Small.ckn
C:\WINDOWS\SYSTEM32\vxgame3.exe -> Downloader.Small.cgy
C:\WINDOWS\SYSTEM32\vxgamet2.exe -> Downloader.Small.skn
C:\WINDOWS\SYSTEM32\vxgame4.exe -> Worm.Locksky.ag
C:\WINDOWS\SYSTEM32\vxgame6.exe -> Worm.Locksky.aj
C:\WINDOWS\SYSTEM32\sysvx.exe -> Worm.Locksky.m
C:\WINDOWS\SYSTEM32\vxgamet3.exe -> Dropper.Delf.th
C:\WINDOWS\SYSTEM32\vxgamet4.exe -> Downloader.Tiny.ba
C:\WINDOWS\sysvx_.exe -> Worm.Locksky.aj
c:\windows\system32\comdlg64.dll --> Locksky.M Worm
c:\windows\system32\whitevx.lst --> Locksky.M Worm

c:\windows\system32\vx.tll

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
NoChangingWallpaper 0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
NoComponents 0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
NoDeletingComponents 0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
NoEditingComponents 0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
NoAddingComponents 0

Your computer is in Danger

BraveSentry - Bravesentry 2.0

We are sorry, but the trial version is unable to remove these threads
We strongly recommended you to purchase Full version
You will get 24 + 7 friendly support and unlimited protection

Windows Add/Remove programs was also unable to stop Bravesentry.

I tried to go to the Task Manager (using CTR+ALT+Del) but received a message that "Task Manager was disabled by the Administrator".
http://www.netsato.com/malware-report-bravesentry/

Domain Name: BRAVESENTRY.COM
Registrant:
Ocean Industries
Daniel Ocean (ceo@bravesentry.com)
731 Likeon Str
Amsterdam,21266
NL
Tel. +91.226370256
Creation Date: 26-Jan-2006
Expiration Date: 26-Jan-2007

anosurfer.com
Pietro Miezani Privaweria Ltd
Gua EC
anosurfer @ anosurfer.com

"69.50.166.195"

bravesentry.com IN NS ns1.bravesentry.com 14400s (04:00:00)
bravesentry.com IN NS ns2.bravesentry.com 14400s (04:00:00)
bravesentry.com IN A 69.50.166.195 14400s (04:00:00)
195.166.50.69.in-addr.arpa IN PTR 69.50.166.195-custblock.intercage.com 43200s
(12:00:00)

Trace-Route
6 11 11 11 67.14.10.10 bur-core-02.inet.qwest.net
7 12 17 223 205.171.213.110 lap-brdr-01.inet.qwest.net
8 20 20 19 205.171.1.82
9 19 18 18 208.48.1.22 nlayer-communications-nlayer-in-palo-alto.ge-4-0-0.ar1.lax2.gblx.net
10 19 20 20 69.22.142.85 0.so-2-1-0.cr1.sfo1.us.nlayer.net
11 20 19 20 69.22.143.14 ge4-8.hr1.sfo1.us.nlayer.net
12 19 19 19 69.22.128.250 atrivo.ge1-4.hr1.sfo1.us.nlayer.net
13 19 19 19 69.50.166.195 69.50.166.195-custblock.intercage.com
Trace complete

FTP - 21 220 FTP Server ready.
SMTP - 25 220 domain.com ESMTP Sendmail 8.13.3/8.13.3; Thu, 6 Apr 2006 02:34:56 -0700

OrgName: InterCage, Inc.
OrgID: INTER-359
Address: 1955 Monument Blvd.
Address: #236
City: Concord
StateProv: CA
PostalCode: 94520
Country: US

datfindbat

Verzeichnis von C:\WINDOWS\system32

22.05.2006 20:09 16 dlh9jkdq8.exe
22.05.2006 19:45 17'408 vxgame3.exe
22.05.2006 19:45 60'776 vxgame1.exe
22.05.2006 19:44 1'632 vxgamet3.exe
22.05.2006 19:43 8'171 776.exe
22.05.2006 19:02 4'096 vxgame6.exe
22.05.2006 19:02 3'072 vxgame6.exe3072.exe
22.05.2006 19:01 10'240 winmuse.exe
22.05.2006 19:01 8'171 3956.exe
22.05.2006 18:56 8'171 184.exe
22.05.2006 18:48 1 vx.tll
22.05.2006 18:48 7'009 dlh9jkdq7.exe
22.05.2006 18:47 7'009 dlh9jkdq6.exe
22.05.2006 18:47 18'785 dlh9jkdq2.exe
22.05.2006 18:47 8'171 1972.exe
22.05.2006 18:47 8'171 kernels8.exe
19.05.2006 12:00 6'152 cnlxzjlq.exe
14.05.2006 17:11 5'597 run.exe
11.05.2006 23:23 6'152 xgnsjgcf.exe
04.05.2006 11:12 6'152 bvnhdlhk.exe
03.05.2006 21:30 75'264 winbrume.dll
01.05.2006 16:01 2'184 wpa.dbl
26.04.2006 00:47 15'001 taskdir~.exe
26.04.2006 00:47 46'592 zlbw.dll
26.04.2006 00:47 51'221 parad.raw.exe
26.04.2006 00:47 4 winsub.xml
26.04.2006 00:47 62 svcp.csv

Verzeichnis von C:\WINDOWS

22.05.2006 23:28 47'616 OEM.exe -> -> Proxy.Agent.jw
22.05.2006 20:29 2 tmp.req
22.05.2006 20:09 47'616 OEM.exe.bak -> -> Proxy.Agent.jw
22.05.2006 18:47 18'785 xpupdate.exe -> Trojan W32.Zotob-G

Verzeichnis von C:\

23.05.2006 12:21 0 xcagpvbg.exe
23.05.2006 12:20 0 wcuwjc.exe
23.05.2006 12:18 0 gdyqjswt.exe
23.05.2006 12:16 0 ujbg.exe
23.05.2006 12:14 0 xpdklm.exe
23.05.2006 12:09 0 wowjullo.exe
23.05.2006 12:07 0 ablcgfxd.exe
23.05.2006 12:07 73'728 yxycsgu.exe
14.05.2006 14:53 0 tool5.exe
14.05.2006 14:51 0 ms1.exe
14.05.2006 14:50 0 tool4.exe
14.05.2006 14:48 0 tool3.exe
14.05.2006 14:47 0 tool1.exe
14.05.2006 14:46 0 toolbar.exe
14.05.2006 14:41 0 country.exe
14.05.2006 14:40 0 tool2.exe
14.05.2006 14:38 0 kl1.exe
14.05.2006 14:38 0 uniq

----------------------------

Gehe in die Registry
Start - Ausführen - regedit
*
hkey_current_user\software\microsoft\windows\currentversion\internet settings\zonemap\intranetname="1" ->loeschen
hkey_current_user\software\microsoft\windows\currentversion\internet settings\zonemap\uncasintranet="1" ->loeschen
hkey_current_user\software\microsoft\windows\currentversion\internet settings\zonemap\proxybypass="1" ->loeschen

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bravesentry
HKEY_CURRENT_USER\software\bravesentry
HKEY_CURRENT_USER\Software\Install

HKCR\CLSID\{196B9CB5-4C83-46F7-9B06-9672ECD9D99B}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {196B9CB5-4C83-46F7-9B06-9672ECD9D99B}

Files to delete:
C:\WINDOWS\system32\dlh9jkdq8.exe
C:\WINDOWS\system32\vxgame3.exe
C:\WINDOWS\system32\vxgame1.exe
C:\WINDOWS\system32\vxgamet3.exe
C:\WINDOWS\system32\776.exe
C:\WINDOWS\system32\vxgame6.exe
C:\WINDOWS\system32\vxgame6.exe3072.exe
C:\WINDOWS\system32\winmuse.exe
C:\WINDOWS\system32\3956.exe
C:\WINDOWS\system32\184.exe
C:\WINDOWS\system32\vx.tll
C:\WINDOWS\system32\dlh9jkdq7.exe
C:\WINDOWS\system32\dlh9jkdq6.exe
C:\WINDOWS\system32\dlh9jkdq2.exe
C:\WINDOWS\system32\1972.exe
C:\WINDOWS\system32\kernels8.exe
C:\WINDOWS\system32\cnlxzjlq.exe
C:\WINDOWS\system32\run.exe
C:\WINDOWS\system32\xgnsjgcf.exe
C:\WINDOWS\system32\bvnhdlhk.exe
C:\WINDOWS\system32\winbrume.dll
C:\WINDOWS\system32\taskdir~.exe
C:\WINDOWS\system32\zlbw.dll
C:\WINDOWS\system32\parad.raw.exe
C:\WINDOWS\system32\winsub.xml
C:\WINDOWS\system32\svcp.csv
C:\WINDOWS\OEM.exe
C:\WINDOWS\tmp.req
C:\WINDOWS\OEM.exe.bak
C:\WINDOWS\1.txt
C:\xcagpvbg.exe
C:\wcuwjc.exe
C:\gdyqjswt.exe
C:\ujbg.exe
C:\xpdklm.exe
C:\wowjullo.exe
C:\ablcgfxd.exe
C:\yxycsgu.exe
C:\tool5.exe
C:\ms1.exe
C:\tool4.exe
C:\tool3.exe
C:\tool1.exe
C:\toolbar.exe
C:\country.exe
C:\tool2.exe
C:\kl1.exe
C:\uniq
C:\Dokumente und Einstellungen\All Users.WINDOWS\Dokumente\Settings\20242402.dll

Folders to delete: 
C:\WINDOWS\inet20026

lösche:
C:\Program Files\BraveSentry\

lösche:
C:\WINDOWS\inet20026

C:\WINDOWS\xpupdate.exe

# PROFILES\ADMIN\LOCAL SETTINGS\TEMP\2.DLB
# profiles\Username\local settings\temp\2.DLB
# TEMP\2.DLB

Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp

21.05.2006 20:34 8.143 7.tmp
21.05.2006 20:34 7.173 6.tmp
21.05.2006 20:34 48.640 5.tmp
21.05.2006 20:34 150 kawkgs
21.05.2006 20:29 8.143 3.tmp
21.05.2006 20:29 7.173 2.tmp
21.05.2006 20:29 48.640 1.tmp
21.05.2006 20:29 150 kaw
21.05.2006 20:26 7.035 7.dlb
21.05.2006 20:26 7.035 6.dlb
21.05.2006 20:26 4.287 5.dlb
14.05.2006 22:54 18.871 2.dlb

Verzeichnis von C:\WINDOWS
14.05.2006 22:54 18.871 xpupdate.exe

anderer PC

Verzeichnis von C:\WINDOWS\system32

11.05.2006 07:42 2.941 a.exe
10.05.2006 15:33 1 vx.tll
10.05.2006 15:33 7.035 dlh9jkdq7.exe
10.05.2006 15:33 7.035 dlh9jkdq6.exe
10.05.2006 15:33 4.287 dlh9jkdq5.exe
10.05.2006 15:33 18.871 dlh9jkdq2.exe
10.05.2006 15:32 2.518 dlh9jkdq1.exe
10.05.2006 15:21 0 dlh9jkdq8.exe
09.05.2006 09:13 8.257 kernels8.exe
08.05.2006 07:41 41.997 regperf.exe
15.02.2006 15:17 29.696 sfx32.dll

Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp

10.05.2006 15:33 7.035 7.dlb
10.05.2006 15:33 7.035 6.dlb
10.05.2006 15:33 4.287 5.dlb
10.05.2006 15:33 18.871 2.dlb
10.05.2006 15:32 2.518 1.dlb

Verzeichnis von C:\WINDOWS

10.05.2006 15:33 18.871 xpupdate.exe
10.05.2006 15:21 0 newname.dat
23.03.2006 08:33 45.056 newname4.exe
23.03.2006 08:33 20.480 keyboard4.exe
22.03.2006 15:05 2.560 _MSRSTRT.EXE

C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\11110000.exe

HijacktHis

F3 - REG:win.ini: run=C:\DOKUME~1\Username\LOKALE~1\Temp\11110000.exe
F3 - REG:win.ini: run=C:\WINDOWS\services.exe
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKLM\..\Run: [dmzpt.exe] C:\WINDOWS\System32\dmzpt.exe
O4 - HKLM\..\Run: [dflnl.exe] C:\WINDOWS\System32\dflnl.exe
O4 - HKLM\..\RunServices: [services] C:\WINDOWS\services.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKCU\..\RunServices: [services] C:\WINDOWS\services.exe
O4 - HKCU\..\Run: [xp_system] C:\DOKUME~1\Username\LOKALE~1\Temp\11110000.exe

C:\WINDOWS\system32\dlh9jkdq8.exe
C:\WINDOWS\system32\dlh9jkdq7.exe
C:\WINDOWS\system32\dlh9jkdq6.exe
C:\WINDOWS\system32\dlh9jkdq2.exe

C:\WINDOWS\system32\vxgame6.exe
C:\WINDOWS\system32\vxgame4.exe
C:\WINDOWS\system32\vxgame3.exe
C:\WINDOWS\system32\vxgame2.exe
C:\WINDOWS\system32\vxgame1.exe

C:\WINDOWS\system32\vxgamet4.exe
C:\WINDOWS\system32\vxgamet3.exe
C:\WINDOWS\SYSTEM32\vxgamet2.exe
C:\WINDOWS\SYSTEM32\vxgamet1.exe

C:\WINDOWS\system32\vxgame6.exe3072.exe

C:\WINDOWS\SYSTEM32\vxh8jkdq1.exe
C:\WINDOWS\SYSTEM32\vxh8jkdq2.exe
C:\WINDOWS\SYSTEM32\vxh8jkdq5.exe
C:\WINDOWS\SYSTEM32\vxh8jkdq6.exe
C:\WINDOWS\SYSTEM32\vxh8jkdq7.exe

19.03.2006 13:51 3.328 vxh8jkdq7.exe
19.03.2006 13:51 3.104 vxh8jkdq6.exe
19.03.2006 13:51 19.256 vxh8jkdq2.exe
19.03.2006 13:51 1.632 vxh8jkdq1.exe

anderer PC

smitfraud.fix
http://virus-protect.org/artikel/tools/smitfrautfix.html

SmitFraudFix v2.44
»»»»»»»»»»»»»»»»»»»»»»»» C:\
C:\country.exe FOUND !
C:\kl1.exe FOUND !
C:\ms1.exe FOUND !
C:\secure32.html FOUND !
C:\tool1.exe FOUND !
C:\tool2.exe FOUND !
C:\tool4.exe FOUND !
C:\tool5.exe FOUND !
C:\toolbar.exe FOUND !
C:\uniq FOUND !
C:\winstall.exe FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
C:\WINDOWS\desktop.html FOUND !
C:\WINDOWS\svchost.exe FOUND !
C:\WINDOWS\xpupdate.exe FOUND !
C:\WINDOWS\inet20001\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
C:\WINDOWS\system32\dcom_15.dll FOUND !
C:\WINDOWS\system32\dlh9jkdq?.exe FOUND !
C:\WINDOWS\system32\dfrgsrv.exe FOUND !
C:\WINDOWS\system32\ld????.tmp FOUND !
C:\WINDOWS\system32\qvxgamet?.exe FOUND !
C:\WINDOWS\system32\vxgame?.exe FOUND !
C:\WINDOWS\system32\vxgame?.exe????.exe FOUND !
C:\WINDOWS\system32\vxgamet?.exe FOUND !
C:\WINDOWS\system32\winbrume.dll FOUND !
C:\WINDOWS\system32\winmuse.exe FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\User\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

C:\DOKUME~1\User\STARTM~1\PROGRA~1\BraveSentry FOUND !
C:\DOKUME~1\User\STARTM~1\PROGRA~1\SpySheriff FOUND !
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Klaus\FAVORI~1
»»»»»»»»»»»»»»»»»»»»»»»» Desktop
C:\DOKUME~1\User\Desktop\BraveSentry.lnk FOUND !
C:\DOKUME~1\User\Desktop\SpySheriff.lnk FOUND !
»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme
»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys
»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="about:Home"
"SubscribedURL"="about:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{2C1CD3D7-86AC-4068-93BC-A02304BB8C34}"="DCOM Server"
[HKEY_CLASSES_ROOT\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304BB8C34}\InProcServer32]
@="C:\WINDOWS\system32\dcom_15.dll"
[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304BB8C34}\InProcServer32]
@="C:\WINDOWS\system32\dcom_15.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection
»»»»»»»»»»»»»»»»»»»»»»»» End

SmitFraudFix v2.44

»»»»»»»»»»»»»»»»»»»»»»»» C:\
C:\secure32.html FOUND !

C:\WINDOWS\system32\dlh9jkdq?.exe FOUND !

C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\0cd5d2d2.exe

--------------

O2 - BHO: (no name) - {196B9CB5-4C83-46F7-9B06-9672ECD9D99B} - C:\WINDOWS\system32\winbrume.dll
O4 - HKLM\..\Run: [SysTray] C:\Program Files\fjmpqfa.exe
O4 - HKLM\..\Run: [0cd5d2d2.exe] C:\WINDOWS\System32\0cd5d2d2.exe
O4 - HKLM\..\Run: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe
O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto
O4 - HKLM\..\Run: [ZPoint] C:\WINDOWS\System32\winmuse.exe
O4 - HKLM\..\RunServices: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe

datfindbat

Verzeichnis von C:\

14.05.2006 16:59 3.055 secure32.html
07.05.2006 19:04 1.393 avtepyyp.exe
07.05.2006 19:04 1.024 kdere.exe
07.05.2006 19:04 103.423 rgcln.exe
07.05.2006 19:04 8.318 svjwu.exe
07.05.2006 19:04 1.024 wcnyjl.exe
07.05.2006 19:03 1.024 xpdvv.exe
07.05.2006 19:03 32.768 winstall.exe
07.05.2006 19:03 32.768 pkpl.exe
07.05.2006 19:03 73.728 lrodmbh.exe
07.05.2006 19:03 0 uniq

Verzeichnis von C:\WINDOWS\system32

14.05.2006 19:04 0 dlh9jkdq8.exe
14.05.2006 18:37 13.824 mpcsvc.exe
14.05.2006 18:36 2 tmp.req
14.05.2006 18:36 4 1.txt
14.05.2006 18:36 4.638 ps.a3d
14.05.2006 18:36 143.360 mstask64.dll
14.05.2006 18:06 84.480 mstask64.exe
14.05.2006 18:06 20.977 rpcc.exe
14.05.2006 18:06 159.744 srshost.exe
14.05.2006 18:06 102.400 srshostu.exe
14.05.2006 17:00 1.232 TheMatrixHasYou.exe
14.05.2006 16:49 12.992 ke7dnl.sys
14.05.2006 11:12 40.960 egkngjaa.dll
14.05.2006 11:12 20.992 empmhelc.exe
14.05.2006 10:13 1 kr_done1
14.05.2006 09:48 14.665 spoolsvv.exe
14.05.2006 00:43 64.472 ipod.raw.exe
14.05.2006 00:43 4 winsub.xml
14.05.2006 00:43 61 svcp.csv
14.05.2006 00:43 14.244 maxd641.exe
14.05.2006 00:43 1 vx.tll
14.05.2006 00:43 8.257 kernels8.exe
14.05.2006 00:39 5.597 run.exe
13.05.2006 21:28 2 cmd.com
13.05.2006 21:28 2 regedit.com
13.05.2006 21:28 2 taskkill.com
13.05.2006 21:28 2 tasklist.com
13.05.2006 21:28 2 tracert.com
13.05.2006 21:28 2 ping.com
13.05.2006 21:28 2 netstat.com
10.05.2006 14:26 62.464 bszip.dll
07.05.2006 19:04 15.355 winbrume.dat
07.05.2006 19:04 0 ImaS3r
07.05.2006 19:04 14.640 0mcamcap.exe
07.05.2006 19:04 8.318 0cd5d2d2.exe

Verzeichnis von C:\WINDOWS

14.05.2006 19:04 7.168 comdlj32.dll
14.05.2006 18:37 47.616 OEM.exe
14.05.2006 11:08 44.208 mctalk.exe

escan

C:\WINDOWS\system32\tmh.dll infected by "Trojan-Proxy.Win32.Agent.df"
C:\WINDOWS\system32\mstask64.dll infected by "Trojan-Spy.Win32.Delf.ex"
C:\WINDOWS\system32\IeHelperVY.dll infected by "Packed.Win32.Tibs"
C:\WINDOWS\system32\kernels8.exe infected by "Packed.Win32.Tibs"
C:\WINDOWS\system32\0mcamcap.exe infected by "Trojan-Proxy.Win32.Small.bo"
C:\WINDOWS\system32\rpcc.exe infected by "SpamTool.Win32.Agent.h"
C:\WINDOWS\system32\srshost.exe infected by "Trojan-Proxy.Win32.Agent.hy"
C:\Windows\xpupdate.exe infected by "Packed.Win32.Tibs"
C:\WINDOWS\SYSTEM32\KE7DNL.SYS infected by "Trojan-Downloader.Win32.Hanlo.r"
C:\WINDOWS\comdlj32.dll infected by "Trojan-Proxy.Win32.Agent.ji"
C:\WINDOWS\installer[p2p-10074,de].exe tagged as not-a-virus:Dialer.Win32.Stardialer. No Action Taken.
C:\WINDOWS\system32\0cd5d2d2.exe infected by "Trojan-Downloader.Win32.Small.csn"
C:\WINDOWS\system32\ccpcjemc.dll infected by "Trojan-Proxy.Win32.Wopla.s"
C:\WINDOWS\system32\ckbapcbk.exe infected by "Trojan-Proxy.Win32.Wopla.r"
C:\WINDOWS\system32\comdlg64.dll infected by "Rootkit.Win32.Agent.bk"

C:\WINDOWS\system32\dlh9jkdq2.exe infected by "Packed.Win32.Tibs" Virus. Action Taken: File Renamed.
C:\WINDOWS\system32\dlh9jkdq6.exe infected by "Packed.Win32.Tibs" Virus. Action Taken: File Renamed.
C:\WINDOWS\system32\dlh9jkdq7.exe infected by "Packed.Win32.Tibs" Virus. Action Taken: File Renamed.

C:\WINDOWS\system32\egkngjaa.dll infected by "Trojan-Proxy.Win32.Wopla.u" Virus. Action Taken: File Deleted.
C:\WINDOWS\system32\empmhelc.exe infected by "Trojan-Proxy.Win32.Wopla.u" Virus. Action Taken: File Deleted.
C:\WINDOWS\system32\maxd641.exe infected by "Trojan.Win32.Dialer.ay" Virus
C:\WINDOWS\system32\mstask64.exe infected by "Trojan-Spy.Win32.Delf.ex" Virus
C:\WINDOWS\system32\qvxgamet4.exe infected by "Trojan-Dropper.Win32.Small.ann" Virus
C:\WINDOWS\system32\run.exe infected by "Trojan-Downloader.Win32.Harnig.bn" Virus
C:\WINDOWS\system32\spoolsvv.exe infected by "Trojan.Win32.Spabot.x" Virus
C:\WINDOWS\system32\srshostu.exe infected by "Trojan-Proxy.Win32.Agent.bz" Virus
C:\WINDOWS\system32\TheMatrixHasYou.exe infected by "Trojan-Proxy.Win32.Small.bo" Virus
C:\WINDOWS\system32\TriacomUD.dll tagged as not-a-virus:Dialer.Win32.UDIS.a. No Action Taken.

C:\WINDOWS\system32\vxgame4.exe infected by "Trojan-Downloader.Win32.Small.ctk"
C:\WINDOWS\system32\vxgame6.exe infected by "Trojan-Downloader.Win32.Small.cug"
C:\WINDOWS\system32\vxgamet1.exe infected by "Trojan-Downloader.Win32.Agent.hy" Virus. Action Taken: File Deleted.
C:\WINDOWS\system32\vxgamet2.exe infected by "Trojan-Downloader.Win32.Small.ciw" Virus. Action Taken: File Deleted.
C:\WINDOWS\system32\vxgamet4.exe infected by "Trojan.Win32.Spabot.x" Virus. Action Taken: File Deleted.

C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\0cd5d2d2.exe infected by "Trojan-Downloader.Win32.Small.csn"
C:\Dokumente und Einstellungen\User\Eigene Dateien\ICQ Lite\305994418\felix_344217408\prolangeweile.exe infected by "not-virus:BadJoke.Win32.VB.ai"
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\0cd5d2d2.exe infected by "Trojan-Downloader.Win32.Small.csn"
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\a.exe infected by "Trojan-Downloader.Win32.Harnig.bi" Virus
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\91B3DWO7\bag[1].htm infected by "Exploit.JS.CVE-2005-1790.j"
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\91B3DWO7\dymltonie[1].txt infected by "Trojan-PSW.Win32.Sinowal.n"
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\91B3DWO7\fillmemadv500[1].htm infected by "Exploit.JS.CVE-2005-1790.j"
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\91B3DWO7\jawrqy[1].txt infected by "Trojan.Win32.StartPage.adi"
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\91B3DWO7\yzupbaixsa[1].txt infected by "Trojan-Clicker.Win32.Small.kr"
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\F7HRATUM\ctpmeml[1].txt infected by "not-virus:Hoax.Win32.Renos.cn"
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\F7HRATUM\fillmemadv500[1].htm infected by "Exploit.JS.CVE-2005-1790.j"
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\F7HRATUM\fillmemadv500[2].htm infected by "Exploit.JS.CVE-2005-1790.j"
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\F7HRATUM\otbweep[1].htm infected by "Trojan.Win32.Harnig.a"
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\H0A234NF\fillmemadv500[1].htm infected by "Exploit.JS.CVE-2005-1790.j"
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\H0A234NF\fillmemadv500[2].htm infected by "Exploit.JS.CVE-2005-1790.j"
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\H0A234NF\fillmemadv500[3].htm infected by "Exploit.JS.CVE-2005-1790.j"
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\H0A234NF\xhyuc[1].txt infected by "Trojan-Proxy.Win32.Small.bo"
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YHR1BU4E\fillmemadv500[1].htm infected by "Exploit.JS.CVE-2005-1790.j"
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YHR1BU4E\fillmemadv500[2].htm infected by "Exploit.JS.CVE-2005-1790.j"
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YHR1BU4E\loaderadv500_1[1].exe infected by "Trojan-Downloader.Win32.Harnig.bi"
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YHR1BU4E\ujrmlt[1].txt tagged as not-a-virus:AdWare.Win32.BHO.ah. No Action Taken.
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YHR1BU4E\yqlupbaiqz[1].txt infected by "Trojan-Downloader.Win32.Small.csn"

C:\Dokumente und Einstellungen\User\Anwendungsdaten\Coder\2-hun-0-0-\gn.exe infected by "Trojan-Clicker.Win32.Agent.as"
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\0cd5d2d2.exe infected by "Trojan-Downloader.Win32.Small.csn"

C:\My Downloads\Counter Strike Source.zip infected by "Worm.Win32.VB.an"

C:\program files\paytime.exe infected by "Trojan.Win32.StartPage.adi"
C:\program files\secure32.html infected by "Trojan.Win32.Harnig.a"

C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00012.dll infected by "Trojan-PSW.Win32.Sinowal.m"
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00012.exe infected by "Trojan-PSW.Win32.Sinowal.m"
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00013.dll infected by "Trojan-PSW.Win32.Sinowal.m"

C:\Programme\winupdates\a.tmp infected by "Worm.Win32.VB.an"
C:\Programme\winupdates\a.zip infected by "Worm.Win32.VB.an"

C:\secure32.html infected by "Trojan.Win32.Harnig.a"

C:\WINDOWS\Downloaded Program Files\axload.dll infected by "Trojan.Win32.Dialer.ep"
C:\WINDOWS\Downloaded Program Files\StarInstall.ocx infected by "Trojan-Downloader.Win32.Small.eb"
C:\WINDOWS\Downloaded Program Files\UERSU_0001_LPNetInstaller.exe tagged as not-a-virus:Downloader.Win32.Agent.d. No Action Taken.

C:\WINDOWS\inet20001\3.03.00.dll tagged as not-a-virus:AdWare.Win32.Ihbo.e. No Action Taken.
C:\WINDOWS\inet20001\alg.exe infected by "Email-Worm.Win32.Delf.i"
C:\WINDOWS\inet20001\killer.exe tagged as not-a-virus:RiskTool.Win32.PsKill.j. No Action Taken.
C:\WINDOWS\inet20001\mm6.exe infected by "Trojan-Spy.Win32.Delf.ig"
C:\WINDOWS\inet20001\winlogon.exe infected by "Trojan-Downloader.Win32.CWS.s"
C:\WINDOWS\inet20001\socks.exe infected by "Trojan-Proxy.Win32.Small.bt"

C:\WINDOWS\installer[p2p-10074,de].exe tagged as not-a-virus:Dialer.Win32.Stardialer. No Action Taken.
C:\WINDOWS\system32\TriacomUD.dll tagged as not-a-virus:Dialer.Win32.UDIS.a. No Action Taken.
C:\WINDOWS\Downloaded Program Files\UERSU_0001_LPNetInstaller.exe tagged as not-a-virus:Downloader.Win32.Agent.d. No Action Taken.

anderer PC

Verzeichnis von C:\WINDOWS\system32

29.05.2006 20:39 3.731 nvapps.xml
29.05.2006 19:02 1 kr_done1
29.05.2006 19:02 123.904 dcom_18.dll
29.05.2006 19:02 0 36680.exe
29.05.2006 19:00 77 bios.rom
29.05.2006 18:57 440 ps.a3d
27.05.2006 10:01 320 fux87.ini
22.05.2006 16:22 0 TFTP1596
22.05.2006 14:41 82 net.ini
19.05.2006 15:22 175.616 krnelx86.exe
18.05.2006 16:12 1.232 TheMatrixHasYou.exe
18.05.2006 14:21 6.880 socketx113.sys ->  Logger.Goldun.jz
17.05.2006 19:42 0 TFTP2544
17.05.2006 15:00 31.232 TFTP5064
16.05.2006 15:01 84 vbnet.ini
09.05.2006 20:30 0 ImaS3r
06.05.2006 20:47 175.104 algsys.exe
01.05.2006 20:26 84 rom
30.04.2006 12:21 0 16035.exe
28.04.2006 19:33 0 54477.exe
27.04.2006 14:12 16.384 76320.exe
24.04.2006 21:24 73 i
21.04.2006 21:25 0 eraseme_88367.exe
20.04.2006 21:24 11.680 eraseme_10781.exe

Verzeichnis von C:\

29.05.2006 19:00 61.952 kqpfrjg.exe
29.05.2006 18:58 3.034 secure32.html
29.05.2006 18:57 32.768 winstall.exe
29.05.2006 18:57 32.768 dnctkcrl.exe
29.05.2006 18:57 73.216 mlomlup.exe
24.05.2006 14:54 0 tbhiuhkt.exe
24.05.2006 14:54 0 kjlodjq.exe
24.05.2006 14:54 0 npxmknil.exe
24.05.2006 14:54 0 fxxe.exe
24.05.2006 14:54 0 hgqmev.exe
24.05.2006 14:54 0 hreakpb.exe
24.05.2006 14:54 24.576 gkdcmy.exe
23.05.2006 21:43 0 DBS.TXT
21.05.2006 14:12 32.768 mpjdek.exe
20.05.2006 12:14 0 sxmhdufe.exe
20.05.2006 12:14 0 ldic.exe
20.05.2006 12:14 0 kurxviib.exe
20.05.2006 12:14 0 lmubypj.exe
20.05.2006 12:14 0 dnacn.exe
20.05.2006 12:14 0 sjyf.exe
20.05.2006 12:05 32.768 keigbwcw.exe
18.05.2006 16:17 1.393 tfdbiy.exe
18.05.2006 16:12 8.318 fogqyaq.exe
18.05.2006 16:12 23.866 oasb.exe
18.05.2006 16:11 54.520 gwynxtb.exe
18.05.2006 16:11 73.728 ebjor.exe
18.05.2006 15:57 32.768 qlnq.exe
17.05.2006 14:41 1.393 vpxngy.exe
17.05.2006 14:41 8.318 uxqft.exe
17.05.2006 14:41 62.584 litfcdw.exe
17.05.2006 14:40 21.120 tpeadoxg.exe
17.05.2006 14:39 73.216 erihhm.exe
17.05.2006 14:36 32.768 xotr.exe
15.05.2006 20:02 0 tool3.exe
15.05.2006 20:01 62.584 toolbar.exe
15.05.2006 19:57 32.768 tool2.exe
15.05.2006 18:49 8.318 tool1.exe
15.05.2006 15:46 1.030 QZCOPS.LOG
15.05.2006 15:33 0 tool4.exe
15.05.2006 15:27 1.393 tool5.exe
07.05.2006 12:57 0 ms1.exe
07.05.2006 12:54 0 uniq

HijackThis

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00039.exe"
O4 - HKLM\..\Run: [SysTray] C:\Program Files\kjea.exe
O4 - HKLM\..\Run: [13f5a8bc.exe] C:\WINDOWS\System32\13f5a8bc.exe
O4 - HKLM\..\Run: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe
O4 - HKLM\..\Run: [orderShell] C:\Dokumente und Einstellungen\Steffi\orderjrcj.exe
O4 - HKLM\..\RunServices: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe
O4 - HKCU\..\Run: [13f5a8bc.exe] C:\Dokumente und Einstellungen\Steffi\Lokale Einstellungen\Anwendungsdaten\13f5a8bc.exe
4 - HKCU\..\Run: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe
O20 - Winlogon Notify: dvb03a - dvb03a.dll (file missing)
O20 - Winlogon Notify: mmxeroxk - mmxeroxk.dll (file missing)
O20 - Winlogon Notify: xptptt - C:\WINDOWS\SYSTEM32\xptptt.dll

anderer PC

Killbox

c:\wmpvqj.exe
c:\axclsm.exe
c:\rnyyrtpv.exe
c:\gacw.exe
c:\wfdth.exe
c:\nllaqta.exe
c:\ykiwsy.exe
c:\ryhpbub.exe
c:\djrek.exe
c:\winstall.exe
c:\puujo.exe
c:\eqcudara.exe
c:\cakvtqpb.exe
c:\uniq
C:\defender23.exe
c:\cakvtqpb.exe3072.exe
c:\Program Files\lilbuhgx.exe
C:\program files\prifjvxr.exe
C:\program files\secure32.html
C:\WINDOWS\system32\m264lcjq1foe.dll
C:\WINDOWS\system32\ipv4mons.dll
C:\WINDOWS\system32\irj2l51o1.dll
C:\WINDOWS\system32\36227.exe
C:\WINDOWS\system32\bios.rom
C:\WINDOWS\system32\hrj2051oe.dll
C:\WINDOWS\system32\info.txt
C:\WINDOWS\system32\kr_done1
C:\WINDOWS\system32\rpcc.exe
C:\WINDOWS\system32\rdpwsx32.dll
C:\WINDOWS\system32\kernlx86.exe
C:\WINDOWS\system32\TFTP2904
C:\WINDOWS\system32\setup_64721.exe
C:\WINDOWS\system32\RUOCURS.DLL
C:\WINDOWS\system32\i
C:\WINDOWS\system32\TFTP3776
C:\WINDOWS\iconu.exe
C:\WINDOWS\icont.exe
C:\WINDOWS\WHCC2.exe
C:\WINDOWS\keyboard231.dat

Look2Me-Destroyer V1.0.5 - abarbeiten
http://virus-protect.org/l2mfix.html

L2mfix - Option 2 ->PC neustarten, scan abwarten
http://virus-protect.org/l2mfix.html

Kaspersky-Online
Kaspersky-Online

C:\!KillBox\cakvtqpb.exe Infected: Trojan-Downloader.Win32.Small.cug skipped
C:\!KillBox\cakvtqpb.exe3072.exe Infected: Trojan-Downloader.Win32.Tiny.cp skipped
C:\!KillBox\djrek.exe Infected: Trojan-Spy.Win32.BZub.y skipped
C:\!KillBox\guard.tmp Infected: not-a-virus:AdWare.Win32.Look2Me.ab skipped
C:\!KillBox\icont.exe Infected: not-a-virus:AdWare.Win32.AdURL.c skipped
C:\!KillBox\iconu.exe Infected: not-a-virus:AdWare.Win32.Zestyfind skipped
C:\!KillBox\puujo.exe Infected: not-virus:Hoax.Win32.Renos.cn skipped
C:\!KillBox\WHCC2.exe/data.rar/whAgent.exe Infected: not-a-virus:AdWare.Win32.WebHancer.351 skipped
C:\!KillBox\WHCC2.exe/data.rar Infected: not-a-virus:AdWare.Win32.WebHancer.351 skipped
C:\!KillBox\WHCC2.exe RarSFX: infected - 2 skipped
C:\!KillBox\winstall.exe Infected: not-virus:Hoax.Win32.Renos.cn skipped

C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SP7K7FJM\AppWrap[1].exe Infected: not-a-virus:AdWare.Win32.Zestyfind
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M2U5SQ0P\pxtsdzkjlk[1].txt Infected: Trojan-Proxy.Win32.Small.bo
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\N5E0OVAY\kfnmlihse[1].txt Infected: not-virus:Hoax.Win32.Renos.dc
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SV0WGWSH\cksamyj[1].htm Infected: Trojan.Win32.Harnig.k
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U7B8YDCE\maxidr[1].avi/data0004 Infected: not-a-virus:AdWare.Win32.Agent.y

C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\?ymantec\services.exe Infected: Trojan-Downloader.Win32.PurityScan.cl skipped

C:\program files\prifjvxr.exe Infected: not-virus:Hoax.Win32.Renos.dc skipped
C:\program files\secure32.html Infected: Trojan.Win32.Harnig.k skipped
C:\WINDOWS\system32\rdpwsx32.dll Infected: not-a-virus:AdWare.Win32.BHO.aa skipped
C:\WINDOWS\Temp\adv.exe Infected: Packed.Win32.Tibs skipped
C:\WINDOWS\Temp\bw2.com Infected: not-a-virus:AdWare.Win32.Zestyfind skipped

anderer PC

Avenger

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bravesentry
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpySheriff
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{196B9CB5-4C83-46F7-9B06-9672ECD9D99B}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\winm64.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\winm64.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winm64
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\winm64.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\winm64.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winm64
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\winm64.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\winm64.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winm64
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\winm32.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\winm32.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winm32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\winm32.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\winm32.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winm32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\winm32.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\winm32.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winm32

Files to delete:
C:\WINDOWS\system32\dllcache\lock.exe
C:\WINDOWS\system32\jsssvc.exe
C:\WINDOWS\Temp\CC74.tmp
C:\WINDOWS\Temp\543A.tmp
C:\WINDOWS\Temp\9E0C.tmp
C:\WINDOWS\Temp\680D.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\5.dlb
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\6.dlb
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\7.dlb
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\maxdd1.game
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\vxt2.game
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\vxt3.game
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\h91746.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\vxt4.game 
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00010.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00013.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00014.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00015.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00015.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00016.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00017.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Anwendungsdaten\efd9e5d5.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Anwendungsdaten\fec7cee1.exe
C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\artm_new.dll
C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\polymorph.dll
C:\Program Files\ceys.exe
C:\WINDOWS\system32\dxvwyrcr.exe
C:\WINDOWS\system32\ps.a3d
C:\WINDOWS\system32\dxvwzpnc.exe
C:\WINDOWS\system32\tmp.req
C:\WINDOWS\system32\1.txt
C:\WINDOWS\system32\winbrume.dll
C:\WINDOWS\system32\dxvwpton.exe
C:\WINDOWS\system32\dxvwajoz.exe
C:\WINDOWS\system32\dxvwdrcu.exe
C:\WINDOWS\system32\dxvwsksg.exe
C:\WINDOWS\system32\win32hlp.exe
C:\WINDOWS\system32\dxvwagof.exe
C:\WINDOWS\system32\efd9e5d5.exe
C:\WINDOWS\system32\dxvwzbeu.exe
C:\WINDOWS\system32\dxvwadky.exe
C:\WINDOWS\system32\fec7cee1.exe
C:\WINDOWS\system32\dxvwvzrk.exe
C:\WINDOWS\system32\vxgamet3.exe
C:\WINDOWS\system32\vxgamet2.exe
C:\WINDOWS\system32\0mcamcap.exe
C:\WINDOWS\system32\vxgame1.exe
C:\WINDOWS\system32\TheMatrixHasYou.exe
C:\WINDOWS\system32\vxgame4.exe
C:\WINDOWS\system32\spoolsvv.exe
C:\WINDOWS\system32\dxvwpfbb.exe
C:\WINDOWS\system32\PowerNow.log
C:\WINDOWS\system32\hSox.exe
C:\WINDOWS\system32\dxvwqedk.exe
C:\WINDOWS\system32\dlh9jkdq8.exe
C:\WINDOWS\system32\dlh9jkdq7.exe
C:\WINDOWS\system32\dlh9jkdq6.exe
C:\WINDOWS\system32\dlh9jkdq2.exe
C:\WINDOWS\system32\dlh9jkdq5.exe
C:\WINDOWS\system32\dlh9jkdq1.exe
C:\WINDOWS\system32\dxvwnfov.exe
C:\WINDOWS\system32\imfdfcj.dll
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\senssrv.dll
C:\WINDOWS\system32\dxvwsjci.exe
C:\WINDOWS\system32\dxvwylwl.exe
C:\WINDOWS\system32\ImaS3r
C:\WINDOWS\system32\vxgame6.exe3072.exe
C:\WINDOWS\system32\ipod.raw.exe
C:\WINDOWS\system32\taskdir.exe
C:\WINDOWS\system32\maxd641.exe
C:\WINDOWS\system32\kernels8.exe
C:\WINDOWS\system32\2480.exe
C:\WINDOWS\system32\scmt16.exe
C:\WINDOWS\system32\winnuts.dll
C:\WINDOWS\system32\regperf.exe
C:\WINDOWS\OEM.exe
C:\WINDOWS\comdlg66.dll
C:\WINDOWS\comdlj32.dll
C:\WINDOWS\OEM.exe.bak
C:\WINDOWS\xpupdate.exe
C:\WINDOWS\godbe1rv.exe
C:\WINDOWS\xhp1ykbq.exe
C:\WINDOWS\loadnew.exe
C:\cppdscgg.exe
C:\eexplek.exe
C:\xqnhk.exe
C:\tfhufrl.exe
C:\secure32.html
C:\acscn.exe
C:\winstall.exe
C:\lbety.exe
C:\cwfcpf.exe
C:\exit
C:\velyov.exe
C:\adbui.exe
C:\vovqcmw.exe
C:\jdbay.exe
C:\uniq
C:\temp.html
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url
C:\Programme\Internet Explorer\winbrume.dat
C:\Programme\Internet Explorer\lock.exe
C:\Programme\Internet Explorer\update.exe
C:\WINDOWS\comdlg66.dll
C:\WINDOWS\system32\d.bat
C:\WINDOWS\system32\dxvwynas.exe
C:\WINDOWS\system32\dxvwpmos.exe
C:\WINDOWS\system32\dxvwasmt.exe
C:\WINDOWS\system32\dxvwmwqi.exe
C:\WINDOWS\System32\clcbt.exe
c:\WINDOWS\SYSTEM32\WINM32.DLL
c:\WINDOWS\SYSTEM32\QZ.DLL
c:\WINDOWS\SYSTEM32\WINM64.SYS
c:\WINDOWS\SYSTEM32\QZ.SYS
c:\WINDOWS\SYSTEM32\WINM32.SYS
c:\WINDOWS\SYSTEM32\QY.SYS
c:\WINDOWS\SYSTEM32\P3.INI
c:\WINDOWS\Prefetch\CLCBT.EXE-1B55EDA4.pf
C:\WINDOWS\SYSTEM32\winm32.dll 
C:\WINDOWS\system32\ps.a3d
C:\WINDOWS\system32\klogini.dll 

Folders to delete: 
C:\WINDOWS\inet20026
C:\Program Files\BraveSentry

SmitfraudFix
http://virus-protect.org/artikel/tools/smitfrautfix.html

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00015.exe"
F3 - REG:win.ini: run=C:\WINDOWS\inet20026\winlogon.exe
O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL
O2 - BHO: Acrobat IE Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE083} - C:\WINDOWS\system\ctldlg32.dll
O2 - BHO: (no name) - {196B9CB5-4C83-46F7-9B06-9672ECD9D99B} - C:\WINDOWS\system32\winbrume.dll
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O2 - BHO: (no name) - {D44CCDBD-C9C1-44C7-9A6B-74B250FD070F} - C:\WINDOWS\system32\winnuts.dll

O4 - HKLM\..\Run: [win32hp] C:\WINDOWS\System32\win32hlp.exe
O4 - HKLM\..\Run: [efd9e5d5.exe] C:\WINDOWS\System32\efd9e5d5.exe
O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\System32\spoolsvv.exe
O4 - HKLM\..\Run: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe
O4 - HKLM\..\Run: [Windows hSox Server] C:\WINDOWS\System32\hSox.exe
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20026\winlogon.exe
O4 - HKLM\..\Run: [DCOM Server] C:\WINDOWS\System32\dxvwsksg.exe
O4 - HKLM\..\Run: [Microsoft standard protector] C:\WINDOWS\inet20026\socks.exe
O4 - HKLM\..\Run: [jssvc23] jsssvc.exe
O4 - HKLM\..\Run: [SysTray] C:\Program Files\ceys.exe
O4 - HKLM\..\Run: [fec7cee1.exe] C:\WINDOWS\System32\fec7cee1.exe
O4 - HKLM\..\RunServices: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe
O4 - HKLM\..\RunServices: [jssvc23] jsssvc.exe
O4 - HKLM\..\RunOnce: [update.exe] C:\Programme\Internet Explorer\update.exe
O4 - HKCU\..\Run: [efd9e5d5.exe] C:\Dokumente und Einstellungen\TEMP.CUSTOMER-DE25EC.000\Lokale Einstellungen\Anwendungsdaten\efd9e5d5.exe
O4 - HKCU\..\Run: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20026\winlogon.exe
O4 - HKCU\..\Run: [fec7cee1.exe] C:\Dokumente und Einstellungen\TEMP.CUSTOMER-DE25EC.000\Lokale Einstellungen\Anwendungsdaten\fec7cee1.exe
O4 - HKCU\..\Run: [Windows hSox Server] C:\WINDOWS\System32\hSox.exe
O4 - HKLM\..\Run: [clcbt.exe] C:\WINDOWS\System32\clcbt.exe

O20 - Winlogon Notify: artm_newreg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\artm_new.dll
O20 - Winlogon Notify: polymorphreg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\polymorph.dll
O20 - Winlogon Notify: SensSrv - C:\WINDOWS\SYSTEM32\senssrv.dll
O20 - Winlogon Notify: winm32 - C:\WINDOWS\SYSTEM32\winm32.dll
O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - C:\WINDOWS\System32\dxvwagof.exe

Panda - Online

BraveSentry - Adware/SpySheriff

C:\Program Files\BraveSentry\BraveSentry0.dll
C:\Program Files\BraveSentry\BraveSentry1.dll
C:\Program Files\BraveSentry\BraveSentry2.dll
C:\Program Files\BraveSentry\BraveSentry3.dll
C:\Program Files\SpySheriff\heur001.dll
C:\Program Files\SpySheriff\SpySheriff.exe
C:\Program Files\SpySheriff\Uninstall.exe

C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/winstall.exe
C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/lbety.exe
C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/velyov.exe
C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/adbui.exe
C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/vovqcmw.exe
C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/jdbay.exe
C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/xpupdate.exe
C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/vxgame6.exe3072.exe
C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/dlh9jkdq2.exe

Adware:Adware/SpySheriff
C:\Dokumente und Einstellungen\Owner\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3HUETUEW\qhwmh[3].txt

Virus:Exploit/BodyOnLoad

C:\Dokumente und Einstellungen\Owner\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LGHNYYHF\fillmemadv470[1].htm
C:\Dokumente und Einstellungen\Owner\Lokale Einstellungen\Temporary Internet Files\Content.IE5\LGHNYYHF\fillmemadv470[2].htm

Virus:JS/Exploit.C

C:\Dokumente und Einstellungen\Owner\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3HUETUEW\bag[1].htm

Virus:Trj/ClassLoader.E

C:\Dokumente und Einstellungen\Owner\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3HUETUEW\ms0311[1].jar

Virus:Trj/Xorpix.L

C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/polymorph.dll

Adware:Adware/CWS.Yexe Nicht desinfiziert C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/services.exe
Adware:Adware/CWS.Yexe Nicht desinfiziert C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/winlogon.exe
Adware:Adware/CWS.Yexe Nicht desinfiziert C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/3.03.00.dll
Adware:Adware/CWS.Yexe Nicht desinfiziert C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/alg.exe.bak
Adware:Adware/CWS.Yexe Nicht desinfiziert C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/alg.exe

Virus:Trj/Alanchum.AI

C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/ipod.raw.exe
C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/taskdir.exe

Tool:Application/KillApp

C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/acscn.exe
C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/killer.exe.bak
C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/killer.exe

Adware/SecurityError

C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/socks.exe.bak
C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/socks.exe

Adware/SystemDoctor

C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/efd9e5d5.exe

Virus:Bck/AIMvision.D

C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/win32hlp.exe

Dialer:Dialer.FGG

C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/dlh9jkdq5.exe
C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/maxd641.exe

Virus:Trj/Downloader.IZQ

C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/dxvwqedk.exe
C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/dxvwnfov.exe
C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/dxvwsjci.exe
C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/dxvwylwl.exe

Virus:Trj/Spammer.H

C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/spoolsvv.exe

Virus:Trj/Jupillites.G

C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/tfhufrl.exe
C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/0mcamcap.exe
C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/TheMatrixHasYou.exe

Virus:Trj/Gagar.J

C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/vxgamet3.exe

Virus:Trj/Gagar.J

C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/vxgamet2.exe

Virus:Trj/Agent.BXT

C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/xqnhk.exe
C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/fec7cee1.exe

Adware:Adware/Vog

C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/eexplek.exe
C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/godbe1rv.exe
C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/winnuts.dll

Virus:Trj/Downloader.IOL

C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/cppdscgg.exe

Virus:Trj/Unkma.A

C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/comdlj32.dll

Virus:Trj/Payclicker.BL

C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/comdlg66.dll

Adware:Adware/Adsmart

C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/kernels8.exe
C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/2480.exe
C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/dlh9jkdq7.exe
C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/dlh9jkdq6.exe
C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/dlh9jkdq1.exe
C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/vxgame4.exe
C:\avenger\backup-07.06.2006-16.17.29,71.zip[avenger/vxgamet3.exe

C:\FOUND.002\FILE0007.CHK
C:\FOUND.002\FILE0012.CHK 
C:\FOUND.002\FILE0013.CHK
C:\FOUND.002\FILE0029.CHK
C:\FOUND.002\FILE0030.CHK
C:\FOUND.002\FILE0056.CHK

Adware:Adware/CWS.Yexe Nicht desinfiziert C:\FOUND.002\FILE0083.CHK
Adware:Adware/CWS.Yexe Nicht desinfiziert C:\FOUND.002\FILE0084.CHK
Adware:Adware/SpySheriff Nicht desinfiziert C:\FOUND.002\FILE0095.CHK
Virus:Trj/Alanchum.AI Desinfiziert C:\FOUND.002\FILE0098.CHK 
Application/KillApp.A Nicht desinfiziert C:\FOUND.002\FILE0109.CHK
Application/BraveSentry Nicht desinfiziert C:\FOUND.002\FILE0114.CHK
Adware:Adware/Secure32 Nicht desinfiziert C:\FOUND.002\FILE0118.CHK
Adware:Adware/SystemDoctor Nicht desinfiziert C:\FOUND.002\FILE0130.CHK
Virus:Trj/Unkma.A Desinfiziert C:\FOUND.002\FILE0136.CHK 

BraveSentry  C:\Program Files\BraveSentry\BraveSentry0.dll
BraveSentry  C:\Program Files\BraveSentry\BraveSentry3.dll
SpySheriff C:\Program Files\BraveSentry\BraveSentry1.dll
SpySheriff C:\Program Files\BraveSentry\BraveSentry2.dll
SpySheriff C:\Program Files\SpySheriff\heur001.dll
SpySheriff C:\Program Files\SpySheriff\SpySheriff.exe
SpySheriff C:\Program Files\SpySheriff\Uninstall.exe

anderer PC

datfindbat

Verzeichnis von C:\WINDOWS\system32

01.07.2006 08:51 19 2.txt
01.07.2006 08:51 1 1.txt
01.07.2006 08:50 9.266 taskdir~.exe
01.07.2006 08:42 149.504 dcom_24.dll
01.07.2006 01:56 46.592 zlbw.dll
01.07.2006 01:53 1 kr_done1
01.07.2006 01:52 4.608 taskdir.dll
01.07.2006 01:52 0 winrknj
01.07.2006 01:52 13.312 vxgame6.exe
01.07.2006 01:52 3.072 vxgame4.exe
01.07.2006 01:52 2.149 vxgame3.exe
01.07.2006 01:52 35.952 vxgame2.exe
01.07.2006 01:52 63.562 ipod.raw.exe
01.07.2006 01:52 63.562 taskdir.exe
01.07.2006 01:52 22.528 vxgame1.exe
01.07.2006 01:52 149.504 dcom_21.dll
01.07.2006 01:52 2.169 qvxgamet3.exe
01.07.2006 01:52 1.632 qvxgamet2.exe
01.07.2006 01:52 4 winsub.xml
01.07.2006 01:52 62 svcp.csv
01.07.2006 01:52 20.992 4ef7eada.exe
01.07.2006 01:52 26.705 spoolsvv.exe
01.07.2006 01:52 26.705 vxgamet4.exe
01.07.2006 01:52 13.312 maxd641.exe
01.07.2006 01:52 5.744 vxgamet3.exe
01.07.2006 01:52 5.744 testtestt.exe
01.07.2006 01:52 7.773 vxgamet2.exe
01.07.2006 01:52 7.087 vxgamet1.exe
01.07.2006 01:52 1 vx.tll
01.07.2006 01:52 7.482 dlh9jkdq7.exe
01.07.2006 01:52 7.482 dlh9jkdq6.exe
01.07.2006 01:52 6.630 dlh9jkdq5.exe
01.07.2006 01:52 17.894 dlh9jkdq2.exe
01.07.2006 01:52 2.518 dlh9jkdq1.exe
01.07.2006 01:52 17 dlh9jkdq8.exe
01.07.2006 01:51 7.792 kernels8.exe
07.06.2006 01:39 425.020 kilacln.exe
07.06.2006 01:39 5.165 favset.ex
07.06.2006 01:39 45.568 pppcgm.exe
07.06.2006 01:39 4.608 sphlp32.exe
07.06.2006 01:39 155.648 nborl.dll
07.06.2006 01:38 3.107 howiper.exe
07.06.2006 01:38 51.217 csoyh.exe

C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\
01.07.2006 08:41 4.350 B2E9.tmp
01.07.2006 01:52 22.528 vx1.game
01.07.2006 01:52 1.267 rsysinit.exe
01.07.2006 01:52 0 $b17a2e8.tmp
01.07.2006 01:52 184.320 ahwixftu.exe
01.07.2006 01:52 75.776 msn.exe
01.07.2006 01:52 4.608 qvxt4.game
01.07.2006 01:52 2.169 qvxt3.game
01.07.2006 01:52 1.632 qvxt2.game
01.07.2006 01:52 204 qvxt1.game
01.07.2006 01:52 20.992 h91746.exe
01.07.2006 01:52 26.705 vxt4.game
01.07.2006 01:52 13.312 maxdd1.game
01.07.2006 01:52 5.744 vxt3.game
01.07.2006 01:52 7.773 vxt2.game
01.07.2006 01:52 7.087 vxt1.game
01.07.2006 01:52 7.482 7.dlb
01.07.2006 01:52 7.482 6.dlb
01.07.2006 01:52 6.630 5.dlb
01.07.2006 01:52 17.894 2.dlb
01.07.2006 01:52 2.518 1.dlb
01.07.2006 01:51 16.036 do5trz8n.wmf
01.07.2006 01:44 0 2ay32.tmp
01.07.2006 01:37 0 1.11.1.5462.deDE
01.07.2006 01:25 0 jnu20.tmp
01.07.2006 01:25 0 ijt1F.tmp
01.07.2006 01:24 0 5db13.tmp
01.07.2006 01:22 0 w3111.tmp
01.07.2006 01:22 0 zj010.tmp

Verzeichnis von C:\WINDOWS
01.07.2006 08:36 47.616 OEM.exe
01.07.2006 08:31 7.168 comdlj32.dll
01.07.2006 01:52 1.999 desktop.html
01.07.2006 01:52 17.894 xpupdate.exe
01.07.2006 01:35 4.456 rdt.ini
07.06.2006 01:39 6.400 balloon.wav

Verzeichnis von C:\
01.07.2006 01:51 7.792 t.inx

C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\B2E9.tmp
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\vx1.game
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\rsysinit.exe
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\$b17a2e8.tmp
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\ahwixftu.exe
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\msn.exe
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\qvxt4.game
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\qvxt3.gam
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\qvxt2.game
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\qvxt1.game
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\h91746.exe
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\vxt4.game
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\maxdd1.game
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\vxt3.game
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\vxt2.game
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\vxt1.game
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\7.dlb
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\6.dlb
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\5.dlb
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\2.dlb
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\1.dlb
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\do5trz8n.wmf
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\2ay32.tmp
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\1.11.1.5462.deDE
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\jnu20.tmp
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\ijt1F.tmp
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\5db13.tmp
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\w3111.tmp
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\zj010.tmp
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\1.11.0.5428.deDE
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\w9p1B.tmp
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\16911.tmp
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\lo917.tmp
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\u7716.tmp

C:\WINDOWS\system32\_zskwrkni05OICF]B]VWUVYG\NU.exe
C:\WINDOWS\system32\dmkmh.exe
C:\WINDOWS\system32\2.txt
C:\WINDOWS\system32\1.txt
C:\WINDOWS\system32\taskdir~.exe
C:\WINDOWS\system32\dcom_24.dll
C:\WINDOWS\system32\zlbw.dll
C:\WINDOWS\system32\kr_done1
C:\WINDOWS\system32\taskdir.dll
C:\WINDOWS\system32\winrknj
C:\WINDOWS\system32\vxgame6.exe
C:\WINDOWS\system32\vxgame4.exe
C:\WINDOWS\system32\vxgame3.exe
C:\WINDOWS\system32\vxgame2.exe
C:\WINDOWS\system32\ipod.raw.exe
C:\WINDOWS\system32\taskdir.exe
C:\WINDOWS\system32\vxgame1.exe
C:\WINDOWS\system32\dcom_21.dll
C:\WINDOWS\system32\qvxgamet3.exe
C:\WINDOWS\system32\qvxgamet2.exe
C:\WINDOWS\system32\winsub.xml
C:\WINDOWS\system32\svcp.csv
C:\WINDOWS\system32\4ef7eada.exe
C:\WINDOWS\system32\spoolsvv.exe
C:\WINDOWS\system32\vxgamet4.exe
C:\WINDOWS\system32\maxd641.exe
C:\WINDOWS\system32\vxgamet3.exe
C:\WINDOWS\system32\testtestt.exe
C:\WINDOWS\system32\vxgamet2.exe
C:\WINDOWS\system32\vxgamet1.exe
C:\WINDOWS\system32\vx.tll
C:\WINDOWS\system32\dlh9jkdq7.exe
C:\WINDOWS\system32\dlh9jkdq6.exe
C:\WINDOWS\system32\dlh9jkdq5.exe
C:\WINDOWS\system32\dlh9jkdq2.exe
C:\WINDOWS\system32\dlh9jkdq1.exe
C:\WINDOWS\system32\dlh9jkdq8.exe
C:\WINDOWS\system32\kernels8.exe
C:\WINDOWS\system32\kilacln.exe
C:\WINDOWS\system32\favset.exe
C:\WINDOWS\system32\pppcgm.exe
C:\WINDOWS\system32\sphlp32.exe
C:\WINDOWS\system32\nborl.dll
C:\WINDOWS\system32\howiper.exe
C:\WINDOWS\system32\csoyh.exe
C:\WINDOWS\system32\aof.dll
C:\WINDOWS\OEM.exe
C:\WINDOWS\comdlj32.dll
C:\WINDOWS\desktop.html
C:\WINDOWS\xpupdate.exe
C:\WINDOWS\rdt.ini
C:\WINDOWS\balloon.wav

C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\artm_new.dll
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Anwendungsdaten\4ef7eada.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00002.dll

C:\WINDOWS\inet20026\services.exe
C:\WINDOWS\inet20026\winlogon.exe
C:\WINDOWS\inet20026\3.03.00.dll
C:\WINDOWS\inet20026\mm.pid
C:\WINDOWS\inet20026\1.txt
C:\WINDOWS\inet20026\tmp.req
C:\WINDOWS\inet20026\mm6.exe
C:\WINDOWS\inet20026\mm5.exe.bak
C:\WINDOWS\inet20026\mm5.exe
C:\WINDOWS\inet20026\alg.exe.bak
C:\WINDOWS\inet20026\alg.exe
C:\WINDOWS\inet20026\select.exe.bak
C:\WINDOWS\inet20026\select.exe
C:\WINDOWS\inet20026\killer.exe.bak
C:\WINDOWS\inet20026\killer.exe
C:\WINDOWS\inet20026\socks.exe.bak
C:\WINDOWS\inet20026\socks.exe
C:\t.inx

FixWareout
Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt

Host HostsXpert.zip - laden + anwenden

Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung---> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

scanne mit smitfraud.fix
http://virus-protect.org/artikel/tools/smitfrautfix.html

Report:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{2C1CD3D7-86AC-4068-93BC-A02304BB8C34}"="DCOM Server"

Ewido

C:\avenger\backup.zip/avenger/sphlp32.exe -> Adware.FindSpy
C:\avenger\backup.zip/avenger/pppcgm.exe -> Adware.Msnagent 
C:\avenger\backup.zip/avenger/nborl.dll -> Adware.SBSoft 
C:\avenger\backup.zip/avenger/csoyh.exe -> Downloader.Agent.uj 
C:\avenger\backup.zip/avenger/5.dlb -> Downloader.Small.cwj 
C:\avenger\backup.zip/avenger/taskdir~.exe -> Downloader.Small.cwo 
C:\avenger\backup.zip/avenger/6.dlb -> Downloader.Tibs.ew 
C:\avenger\backup.zip/avenger/7.dlb -> Downloader.Tibs.ew 
C:\avenger\backup.zip/avenger/kernels8.exe 
C:\avenger\backup.zip/avenger/t.inx -> Downloader.Tibs.fc 
C:\avenger\backup.zip/avenger/do5trz8n.wmf -> Exploit.MS05-053-WMF
C:\avenger\backup.zip/avenger/favset.exe -> Hijacker.Small.kg 
C:\avenger\backup.zip/avenger/2.dlb -> Hijacker.Spywad.o 
C:\avenger\backup.zip/avenger/xpupdate.exe -> Hijacker.Spywad.o 
C:\avenger\backup.zip/avenger/aof.dll -> Proxy.Agent.df 
C:\avenger\backup.zip/avenger/OEM.exe -> Proxy.Agent.jw 
C:\avenger\backup.zip/avenger/ipod.raw.exe -> Proxy.Lager.aq 
C:\avenger\backup.zip/avenger/taskdir.dll -> Proxy.Lager.aq 
C:\avenger\backup.zip/avenger/taskdir.exe -> Proxy.Lager.aq 
C:\avenger\backup.zip/avenger/ahwixftu.exe -> Proxy.Xmiler.c 
C:\avenger\backup.zip/avenger/dcom_21.dll -> Proxy.Xmiler.c 
C:\avenger\backup.zip/avenger/dcom_24.dll -> Trojan.Agent.pk 
C:\avenger\backup.zip/avenger/rsysinit.exe -> Trojan.ExitWin.z 
C:\avenger\backup.zip/avenger/howiper.exe -> Trojan.Hoster 
C:\avenger\backup.zip/avenger/ibm00002.dll -> Trojan.Sinowal.aa 
C:\avenger\backup.zip/avenger/msn.exe -> Trojan.Sinowal.aa 

C:\WINDOWS\system32\dmwzs.exe -> Trojan.Pakes 

C:\RECYCLER\S-1-5-21-1993962763-1326574676-1417001333-1003\Dc25\runfile[1].exe -> Hijacker.Small.cc 
C:\RECYCLER\S-1-5-21-1993962763-1326574676-1417001333-1003\Dc26\scane[1].exe 

C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\6715\2236.exe -> Proxy.Xmiler.c 

C:\WINDOWS\comdlj32.dll_tobedeleted -> Proxy.Agent.ji 
C:\WINDOWS\OEM.exe.bak -> Proxy.Agent.jw

anderer PC

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bravesentry

Files to delete:
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\1.dlb
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\2.dlb
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\25.tmp
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\26.tmp
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\27.tmp
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\28.tmp
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\29.tmp
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\2A.tmp
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\2B.tmp
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\2C.tmp
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\5.dlb
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\6.dlb
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\7.dlb
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\h91746.exe
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\kaw
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\kawkgs
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\maxdd1.game
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\msn.exe
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\vx1.game
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\vx2.game
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\vx3.game
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\vx4.game
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\vx6.game
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\vxt1.game
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\vxt2.game
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\vxt3.game
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\vxt4.game
C:\WINDOWS\Temp\$_2341234.TMP
C:\WINDOWS\system32\2.txt
C:\WINDOWS\system32\1.txt
C:\WINDOWS\system32\zlbw.dll
C:\WINDOWS\system32\satau325.sys
C:\WINDOWS\system32\taskdir~.exe
C:\WINDOWS\system32\mscdaux.dll
C:\WINDOWS\system32\vxgame4.exe
C:\WINDOWS\system32\vxgame3.exe
C:\WINDOWS\system32\taskdir.exe
C:\WINDOWS\system32\ipod.raw.exe
C:\WINDOWS\system32\vxgame1.exe
C:\WINDOWS\system32\winsub.xml
C:\WINDOWS\system32\svcp.csv
C:\WINDOWS\system32\vxgamet3.exe
C:\WINDOWS\system32\testtestt.exe
C:\WINDOWS\system32\vxgamet2.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Anwendungsdaten\8f924053.exe
C:\WINDOWS\system32\8f924053.exe
C:\WINDOWS\system32\maxd641.exe
C:\WINDOWS\system32\vx.tll
C:\WINDOWS\system32\dlh9jkdq7.exe
C:\WINDOWS\system32\dlh9jkdq6.exe
C:\WINDOWS\system32\dlh9jkdq5.exe
C:\WINDOWS\system32\dlh9jkdq2.exe
C:\WINDOWS\system32\dlh9jkdq8.exe
C:\WINDOWS\system32\kernels8.exe -> http://virus-protect.org/artikel/spyware/kernels8.html
C:\WINDOWS\system32\slx.exe???????????????????p
C:\WINDOWS\system32\ypxysovg.txt
C:\WINDOWS\desktop.html
C:\WINDOWS\xpupdate.exe

Folders to delete:
C:\Program Files\BraveSentry

Verzeichnis von C:\WINDOWS\system32

16.07.2006 13:48 19 2.txt
16.07.2006 13:48 1 1.txt
16.07.2006 13:11 46.592 zlbw.dll
16.07.2006 13:10 6.928 satau325.sys
16.07.2006 13:10 9.266 taskdir~.exe
16.07.2006 13:10 84.480 mscdaux.dll
16.07.2006 13:09 3.072 vxgame4.exe
16.07.2006 13:09 2.149 vxgame3.exe
16.07.2006 13:08 63.562 taskdir.exe
16.07.2006 13:08 63.562 ipod.raw.exe
16.07.2006 13:08 30.406 vxgame1.exe
16.07.2006 13:08 4 winsub.xml
16.07.2006 13:08 61 svcp.csv
16.07.2006 13:08 5.744 vxgamet3.exe
16.07.2006 13:08 5.744 testtestt.exe
16.07.2006 13:08 5.596 vxgamet2.exe
16.07.2006 13:08 20.992 8f924053.exe
16.07.2006 13:08 13.312 maxd641.exe
16.07.2006 13:08 1 vx.tll
16.07.2006 13:08 7.051 dlh9jkdq7.exe
16.07.2006 13:08 6.539 dlh9jkdq6.exe
16.07.2006 13:08 6.630 dlh9jkdq5.exe
16.07.2006 13:08 17.894 dlh9jkdq2.exe
16.07.2006 13:08 16 dlh9jkdq8.exe
16.07.2006 13:08 7.644 kernels8.exe
16.07.2006 13:08 7.644 slx.exe???????????????????p
04.07.2006 19:45 2.206 wpa.dbl
18.06.2006 17:09 52 ypxysovg.txt

Verzeichnis von C:\DOKUME~1\User\LOKALE~1\Temp
16.07.2006 13:10 3.072 25.tmp3072.exe
16.07.2006 13:10 26.332 2C.tmp
16.07.2006 13:10 0 2B.tmp
16.07.2006 13:10 5.120 2A.tmp
16.07.2006 13:10 2.560 29.tmp
16.07.2006 13:10 73.216 msn.exe
16.07.2006 13:10 131 kawkgs
16.07.2006 13:09 26.332 28.tm
16.07.2006 13:09 0 27.tmp
16.07.2006 13:09 5.120 26.tmp
16.07.2006 13:09 2.560 25.tmp
16.07.2006 13:09 131 kaw
16.07.2006 13:09 1.632 vx6.game
16.07.2006 13:09 3.072 vx4.game
16.07.2006 13:09 2.149 vx3.game
16.07.2006 13:08 3.264 vx2.game
16.07.2006 13:08 30.406 vx1.game
16.07.2006 13:08 1.632 vxt4.game
16.07.2006 13:08 5.744 vxt3.game
16.07.2006 13:08 5.596 vxt2.game
16.07.2006 13:08 7.087 vxt1.game
16.07.2006 13:08 20.992 h91746.exe
16.07.2006 13:08 13.312 maxdd1.game
16.07.2006 13:08 7.051 7.dlb
16.07.2006 13:08 6.539 6.dlb
16.07.2006 13:08 6.630 5.dlb
16.07.2006 13:08 17.894 2.dlb
16.07.2006 13:08 2.518 1.dlb

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"WinUpdate.exe"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"taskdir"=-
"BraveSentry"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"pgikh"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"isbmyiye"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{F6C95B20-E9D5-4927-8C00-2B03B554417D}"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{3F143C3A-1457-6CCA-03A7-7AA23B61E40F}"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"DisableTaskMgr"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoActiveDesktopChanges"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoSaveSettings"=-
"NoViewContextMenu"=-
"NoActiveDesktop"=-
"ForceActiveDesktopOn"=-
"ClassicShell"=-
"NoThemesTab"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoAddingComponents"=-
"NoComponents"=-
"NoDeletingComponents"=-
"NoEditingComponents"=-
"NoCloseDragDropBands"=-
"NoMovingBands"=-
"NoHTMLWallPaper"=-
"NoChangingWallPaper"=-

F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe"
O4 - HKLM\..\Run: [isbmyiye] C:\bqonysvp.bat
O4 - HKLM\..\RunServices: [SystemTools] C:\WINDOWS\System32\testtestt.exe
O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\System32\taskdir.exe
O20 - Winlogon Notify: artm_newreg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\artm_new.dll
O20 - Winlogon Notify: satau320 - satau320.dll (file missing)

wende smitfraud.fix an und poste den report von Option 1 und 2 (lasse auch die Registry mitreinigen )
smitfraudfix

Verzeichnis von C:\WINDOWS\system32
16.07.2006 14:25 4.608 taskdir.dll
16.07.2006 13:08 7.644 slx.exe???????????????????p

Files to delete:
C:\bqonysvp.bat
C:\WINDOWS\System32\msgsple.dll
C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\artm_new.dll
C:\WINDOWS\System32\taskdir.exe
C:\WINDOWS\System32\testtestt.exe
C:\WINDOWS\system32\taskdir.dll
C:\WINDOWS\system32\slx.exe???????????????????p
C:\WINDOWS\system32\slx.exe
C:\WINDOWS\System32\mscdaux.dll
C:\WINDOWS\System32\satau320.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00002.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00002.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00004.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00004.exe

Start > Ausfuehren --> reinschreiben --> cmd.exe
und ok. kopiere rein und poste alles, was im Texteditor erscheint

dir /s /a "c:\slx.exe???????????????????p*.*" > c:\find.txt & start notepad c:\find.txt

dir /s /a "c:\slx.exe*.*" > c:\find.txt & start notepad c:\find.txt

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"taskdir" = "C:\WINDOWS\System32\taskdir.exe" [null data]
"BraveSentry" = "(null value)" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"pgikh" = "C:\WINDOWS\System32\pgikh.exe" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"isbmyiye" = "C:\bqonysvp.bat" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{F6C95B20-E9D5-4927-8C00-2B03B554417D}" = "Managed SpoolExt Extension"
-> {HKLM...CLSID} = "Managed SpoolExt Class"
\InProcServer32\(Default) = "C:\WINDOWS\System32\msgsple.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\
"{3F143C3A-1457-6CCA-03A7-7AA23B61E40F}" = "OLE Automation Module"
\InProcServer32\(Default) = "C:\WINDOWS\System32\mscdaux.dll" [null data]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
artm_newreg\DLLName = "C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\artm_new.dll" [null data]
satau320\DLLName = "satau320.dll" [file not found]

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HIJACK WARNING! "ForceActiveDesktopOn"=dword:00000001

anderer PC

Combofix

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))

C:\WINDOWS\system32\vxgamet1.exe
C:\WINDOWS\system32\vxgamet2.exe
C:\WINDOWS\system32\vxgamet3.exe
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Install.dat
C:\WINDOWS\system32\kernels8.exe
C:\WINDOWS\system32\maxd641.exe
C:\WINDOWS\xpupdate.exe

((((((((((((((((((((((((((((((( Files Created from 2006-07-31 to 2006-08-31 ))))))))))))))

2006-08-30 11:49 95,232 --a------ C:\WINDOWS\system32\cpehmyc.dll
2006-08-30 11:49 72,704 --a------ C:\WINDOWS\system32\pkmjdqd.dll
2006-08-08 16:51 5,744 --a------ C:\WINDOWS\system32\testtestt.exe
2006-08-08 16:50 6,599 --a------ C:\WINDOWS\system32\dlh9jkdq7.exe
2006-08-08 16:50 6,599 --a------ C:\WINDOWS\system32\dlh9jkdq6.exe
2006-08-08 16:50 36,864 --a------ C:\WINDOWS\system32\qjcgejln.dll
2006-08-08 16:50 20,992 --a------ C:\WINDOWS\system32\fae624fe.exe
2006-08-08 16:50 18,944 --ah----- C:\WINDOWS\system32\pejohnkm.exe
2006-08-08 16:50 18,585 --a------ C:\WINDOWS\system32\dlh9jkdq2.exe
2006-08-08 16:50 15 --a------ C:\WINDOWS\system32\dlh9jkdq8.exe
2006-08-08 16:33 74,968 --a------ C:\WINDOWS\KB902767.exe
2006-08-08 16:33 56,536 --a------ C:\WINDOWS\system32\ipv6mons.dll
2006-08-08 16:33 5,392 --a------ C:\23100247.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"fae624fe.exe"="C:\\WINDOWS\\system32\\fae624fe.exe"
"cpehmyc.dll"="C:\\WINDOWS\\system32\\rundll32.exe C:\\WINDOWS\\system32\\cpehmyc.dll,bhejphb"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BraveSentry"="C:\\Program Files\\BraveSentry\\BraveSentry.exe"
"fae624fe.exe"="C:\\Dokumente und Einstellungen\\User\\Lokale Einstellungen\\Anwendungsdaten\\fae624fe.exe"
"WinMedia"="C:\\DOKUME~1\\User\\LOKALE~1\\Temp\\update1.exe3072.exe"

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"fae624fe.exe"=-
"cpehmyc.dll"=

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BraveSentry"=-
"fae624fe.exe"=-
"WinMedia"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoActiveDesktop"=-
"ClassicShell"=-
"ForceActiveDesktopOn"=-

[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]

Avenger

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bravesentry

Files to delete:
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Anwendungsdaten\fae624fe.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\update1.exe3072.exe
C:\WINDOWS\system32\2.txt
C:\WINDOWS\system32\1.txt
C:\WINDOWS\system32\cpehmyc.dll
C:\WINDOWS\system32\pkmjdqd.dll
C:\WINDOWS\system32\winsub.xml
C:\WINDOWS\system32\svcp.csv
C:\WINDOWS\system32\testtestt.exe
C:\WINDOWS\system32\fae624fe.exe
C:\WINDOWS\system32\dlh9jkdq8.exe
C:\WINDOWS\system32\vx.tll
C:\WINDOWS\system32\dlh9jkdq7.exe
C:\WINDOWS\system32\dlh9jkdq6.exe
C:\WINDOWS\system32\dlh9jkdq2.exe
C:\WINDOWS\system32\qjcgejln.dll
C:\WINDOWS\system32\pejohnkm.exe
C:\WINDOWS\system32\ipv6mons.dll
C:\Windows\xpupdate.exe
C:\WINDOWS\desktop.html
C:\WINDOWS\KB902767.exe
C:\23100247.exe

Folders to delete: 
C:\Program Files\BraveSentry

virus-protect.org

BraveSentry

BraveSentry

Your computer is danger! Windows Security Center has detected spyware/adware infection! It is strongly recomended to use special antispyware tools to prevent data loss Your system is infected. Scan found ..............

BraveSentry remove

BraveSentry

Your computer is in Danger

BraveSentry - Bravesentry 2.0

We are sorry, but the trial version is unable to remove these threads We strongly recommended you to purchase Full version You will get 24 + 7 friendly support and unlimited protection

Your computer is danger!
Windows Security Center has detected spyware/adware infection!
It is strongly recomended to use special antispyware tools to prevent data loss

Your system is infected. Scan found ..............

We are sorry, but the trial version is unable to remove these threads
We strongly recommended you to purchase Full version
You will get 24 + 7 friendly support and unlimited protection