kernels8.exe, vx.tll, kernels88.exe, aspi213121.exe, svcp.csv

Link: -
Bravesentry
Beispiel
HijackThis
C:\WINDOWS\System32\vxh8jkdq2.exe
C:\WINDOWS\System32\vxh8jkdq6.exe
C:\WINDOWS\System32\vxh8jkdq7.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels8.exe
O4 - HKLM\..\RunServices: [SystemTools] C:\WINDOWS\System32\kernels8.exe
|
datfindbat
Verzeichnis von C:\WINDOWS\system32
19.10.2005 01:10 2.816 vxgamet3.exe
19.10.2005 01:10 7.678 vxgame2.exe
19.10.2005 01:10 2.816 vxgamet1.exe
19.10.2005 01:10 1 vx.tll
19.10.2005 01:10 3.376 vxh8jkdq7.exe
19.10.2005 01:10 3.152 vxh8jkdq6.exe
19.10.2005 01:10 3.280 vxh8jkdq5.exe
19.10.2005 01:10 28.160 vxh8jkdq2.exe
C:\WINDOWS\system32\vx.tll
Adware:Adware/Adsmart
|

It includes functionality to access the internet and communicate with a remote server via HTTP to download and install software.

When first run, it copies itself to "System"\kernels8.exe and creates
"Temp"\1.dlb
"Temp"\4.dlb

The following registry entry is created to run kernels8.exe on startup:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
System
"System"\kernels8.exe
The following registry entry is set, disabling the Windows task manager:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr
1
* %WINDIR%\system32\vxh8jkdq6.exe
* %WINDIR%\system32\vxh8jkdq5.exe ( 91408 bytes )
* %WINDIR%\system32\vxh8jkdq1.exe ( 91408 bytes )
* %WINDIR%\system32\vx.tll ( 1 bytes )
* %WINDIR%\system32\vxh8jkdq2.exe ( 91408 bytes )
* %WINDIR%\system32\kernels8.exe
* %WINDIR%\system32\vxh8jkdq7.exe ( 91408 bytes )
Registry
* hkey_current_user\software\microsoft\windows\currentversion\policies\system
* hkey_current_user\software\microsoft\windows\currentversion\policies\system\disabletaskmgr="1"
* hkey_local_machine\software\microsoft\windows\currentversion\run\[System] C:\WINDOWS\system32\kernels8.exe
* hkey_current_user\software\microsoft\windows\currentversion\internet settings\zonemap\intranetname="1"
* hkey_current_user\software\microsoft\windows\currentversion\internet settings\zonemap\uncasintranet="1"
* hkey_current_user\software\microsoft\windows\currentversion\internet settings\zonemap\proxybypass="1"
Beispiel
datfindbat
Verzeichnis von C:\WINDOWS\system32
22.05.2006 15:09 71.168 dxvwgaql.exe
22.05.2006 14:59 71.168 dxvwwhkc.exe
22.05.2006 13:15 459 imon1.dat
22.05.2006 13:12 15 dlh9jkdq8.exe
22.05.2006 13:06 71.168 dxvwqaym.exe
22.05.2006 12:46 71.168 dxvwublj.exe
21.05.2006 20:41 274.432 imon.dll
21.05.2006 20:39 46.592 zlbw.dll
21.05.2006 20:37 9.704 taskdir~.exe
21.05.2006 20:29 3.072 vxgame6.exe3072.exe
21.05.2006 20:29 14.665 vxgamet4.exe
21.05.2006 20:29 63.949 ipod.raw.exe
21.05.2006 20:29 63.949 taskdir.exe
21.05.2006 20:29 4 winsub.xml
21.05.2006 20:29 59 svcp.csv
21.05.2006 20:29 0 ImaS3r
21.05.2006 20:28 3.072 vxgame4.exe
21.05.2006 20:26 29.280 0mcamcap.exe
21.05.2006 20:26 7.035 dlh9jkdq7.exe
21.05.2006 20:26 7.035 dlh9jkdq6.exe
21.05.2006 20:26 4.287 dlh9jkdq5.exe
14.05.2006 22:55 1 vx.tll
14.05.2006 22:54 18.871 dlh9jkdq2.exe
14.05.2006 22:46 9.047 run.exe
14.05.2006 22:46 9.047 kernels8.exe
10.05.2006 21:43 4.096 tmp_x.dll
29.04.2006 16:07 229.376 cemetrix.dll
29.04.2006 16:06 8.464 sporder.dll
|
Verzeichnis von C:\WINDOWS
14.05.2006 22:54 18.871 xpupdate.exe
17.04.2006 00:00 780 hosts
Verzeichnis von C:\
21.05.2006 20:36 1.397 vtigjymc.exe
16.04.2006 23:58 0 uniq
---------------------------------------------------
C:\WINDOWS\system32\kernels8.exe
C:\WINDOWS\system32\dxvwqaym.exe
C:\Windows\xpupdate.exe
C:\WINDOWS\system32\0mcamcap.exe
C:\WINDOWS\system32\taskdir.exe
C:\WINDOWS\system32\dlh9jkdq2.exe
C:\WINDOWS\system32\dlh9jkdq6.exe
C:\WINDOWS\system32\dlh9jkdq7.exe
C:\WINDOWS\system32\dxvwwhkc.exe
C:\WINDOWS\system32\dxvwgaql.exe
C:\WINDOWS\system32\dlh9jkdq5.exe
C:\WINDOWS\system32\dxvwndgl.exe
|
HijackThis
O1 - Hosts: 82.146.56.35 ww
O4 - HKLM\..\Run: [WMedia32] wmedia32.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernels8.exe
O4 - HKLM\..\Run: [0mcamcap] C:\WINDOWS\system32\0mcamcap.exe
O4 - HKLM\..\Run: [xZibit] C:\DOKUME~1\Username\LOKALE~1\Temp\5.tmp
O4 - HKLM\..\Run: [DCOM Server] C:\WINDOWS\system32\dxvwndgl.exe
O4 - HKLM\..\RunServices: [SystemTools] C:\WINDOWS\system32\kernels8.exe
O4 - HKLM\..\RunServices: [0mcamcap] C:\WINDOWS\system32\0mcamcap.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [0mcamcap] C:\WINDOWS\system32\0mcamcap.exe
O4 - HKCU\..\Run: [WinMedia] C:\WINDOWS\system32\vxgame6.exe3072.exe
O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\system32\taskdir.exe
O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - C:\WINDOWS\system32\dxvwqaym.exe
anderer PC
HijackThis
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\
kernels88.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O23 - Service: Microsoft ASPI Manager - Unknown - C:\WINDOWS\system32\aspi213121.exe

Start -- Ausführen -- schreib rein:
cmd
sc stop Microsoft ASPI Manager
[klicke "enter"]
und warte ein bisschen, dann kopiere rein:
sc delete Microsoft ASPI Manager
[klicke "enter"]
del C:\WINDOWS\system32\aspi213121.exe
[klicke "enter"]
Avenger
Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|System
Files to delete:
C:\WINDOWS\system32\vxga1me4t1.exe
C:\WINDOWS\system32\aspi21621.exe
C:\WINDOWS\system32\vxg6ame4.exe
C:\WINDOWS\system32\vxg4am1et2.exe
C:\WINDOWS\system32\svcp.csv
C:\WINDOWS\system32\dlh9jkd1q6.exe
C:\WINDOWS\system32\dlh9jkd1q2.exe
C:\WINDOWS\system32\dlh9jkd1q8.exe
C:\WINDOWS\system32\aspi213121.exe
C:\WINDOWS\system32\aspi215151.exe
C:\WINDOWS\system32\advvpi32.dll
C:\WINDOWS\system32\vx.tll
C:\WINDOWS\system32\dlh9jkd1q7.exe
C:\WINDOWS\system32\kernels88.exe
C:\WINDOWS\Downloaded Program Files\ax_mjpeg.ocx
C:\WINDOWS\desktop.html
C:\WINDOWS\xpupdate.exe
|
smitfrautfix abarbeiten (Option 1 und 2 - lasse auch die
Registry mitreinigen)