kernels8.exe, vx.tll, kernels88.exe, aspi213121.exe, svcp.csv

startseite Gastbuch Kontakt
kernels8.exe vx.tll kernels88.exe aspi213121.exe svcp.csv
kernels8.exe

kernels8.exe, vx.tll, kernels88.exe, aspi213121.exe, svcp.csv





Link: - bravesentry

Beispiel:

HijackThis

C:\WINDOWS\System32\vxh8jkdq2.exe
C:\WINDOWS\System32\vxh8jkdq6.exe
C:\WINDOWS\System32\vxh8jkdq7.exe

O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels8.exe
O4 - HKLM\..\RunServices: [SystemTools] C:\WINDOWS\System32\kernels8.exe
datfindbat

Verzeichnis von C:\WINDOWS\system32

19.10.2005 01:10 2.816 vxgamet3.exe
19.10.2005 01:10 7.678 vxgame2.exe
19.10.2005 01:10 2.816 vxgamet1.exe
19.10.2005 01:10 1 vx.tll
19.10.2005 01:10 3.376 vxh8jkdq7.exe
19.10.2005 01:10 3.152 vxh8jkdq6.exe
19.10.2005 01:10 3.280 vxh8jkdq5.exe
19.10.2005 01:10 28.160 vxh8jkdq2.exe

Adware:Adware/Adsmart -> C:\WINDOWS\system32\vx.tll


It includes functionality to access the internet and communicate with a remote server via HTTP to download and install software.

When first run, it copies itself to "System"\kernels8.exe and creates

"Temp"\1.dlb
"Temp"\4.dlb

The following registry entry is created to run kernels8.exe on startup:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
System
"System"\kernels8.exe

The following registry entry is set, disabling the Windows task manager:

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr
1


* %WINDIR%\system32\vxh8jkdq6.exe
* %WINDIR%\system32\vxh8jkdq5.exe ( 91408 bytes )
* %WINDIR%\system32\vxh8jkdq1.exe ( 91408 bytes )
* %WINDIR%\system32\vx.tll ( 1 bytes )
* %WINDIR%\system32\vxh8jkdq2.exe ( 91408 bytes )
* %WINDIR%\system32\kernels8.exe
* %WINDIR%\system32\vxh8jkdq7.exe ( 91408 bytes )

Registry

* hkey_current_user\software\microsoft\windows\currentversion\policies\system

* hkey_current_user\software\microsoft\windows\currentversion\policies\system\disabletaskmgr="1"

* hkey_local_machine\software\microsoft\windows\currentversion\run\[System] C:\WINDOWS\system32\kernels8.exe

* hkey_current_user\software\microsoft\windows\currentversion\internet settings\zonemap\intranetname="1"

* hkey_current_user\software\microsoft\windows\currentversion\internet settings\zonemap\uncasintranet="1"

* hkey_current_user\software\microsoft\windows\currentversion\internet settings\zonemap\proxybypass="1"


Beispiel:

bravesentry -> http://virus-protect.org/artikel/spyware/bravesentry.html

datfindbat

Verzeichnis von C:\WINDOWS\system32

22.05.2006 15:09 71.168 dxvwgaql.exe
22.05.2006 14:59 71.168 dxvwwhkc.exe
22.05.2006 13:15 459 imon1.dat
22.05.2006 13:12 15 dlh9jkdq8.exe
22.05.2006 13:06 71.168 dxvwqaym.exe
22.05.2006 12:46 71.168 dxvwublj.exe
21.05.2006 20:41 274.432 imon.dll
21.05.2006 20:39 46.592 zlbw.dll
21.05.2006 20:37 9.704 taskdir~.exe
21.05.2006 20:29 3.072 vxgame6.exe3072.exe
21.05.2006 20:29 14.665 vxgamet4.exe
21.05.2006 20:29 63.949 ipod.raw.exe
21.05.2006 20:29 63.949 taskdir.exe
21.05.2006 20:29 4 winsub.xml
21.05.2006 20:29 59 svcp.csv
21.05.2006 20:29 0 ImaS3r
21.05.2006 20:28 3.072 vxgame4.exe
21.05.2006 20:26 29.280 0mcamcap.exe
21.05.2006 20:26 7.035 dlh9jkdq7.exe
21.05.2006 20:26 7.035 dlh9jkdq6.exe
21.05.2006 20:26 4.287 dlh9jkdq5.exe
14.05.2006 22:55 1 vx.tll
14.05.2006 22:54 18.871 dlh9jkdq2.exe
14.05.2006 22:46 9.047 run.exe
14.05.2006 22:46 9.047 kernels8.exe
10.05.2006 21:43 4.096 tmp_x.dll
29.04.2006 16:07 229.376 cemetrix.dll
29.04.2006 16:06 8.464 sporder.dll

Verzeichnis von C:\WINDOWS

14.05.2006 22:54 18.871 xpupdate.exe
17.04.2006 00:00 780 hosts

Verzeichnis von C:\

21.05.2006 20:36 1.397 vtigjymc.exe
16.04.2006 23:58 0 uniq

---------------------------------------------------

C:\WINDOWS\system32\kernels8.exe
C:\WINDOWS\system32\dxvwqaym.exe
C:\Windows\xpupdate.exe
C:\WINDOWS\system32\0mcamcap.exe
C:\WINDOWS\system32\taskdir.exe
C:\WINDOWS\system32\dlh9jkdq2.exe
C:\WINDOWS\system32\dlh9jkdq6.exe
C:\WINDOWS\system32\dlh9jkdq7.exe
C:\WINDOWS\system32\dxvwwhkc.exe
C:\WINDOWS\system32\dxvwgaql.exe
C:\WINDOWS\system32\dlh9jkdq5.exe
C:\WINDOWS\system32\dxvwndgl.exe


HijackThis

O1 - Hosts: 82.146.56.35 ww
O4 - HKLM\..\Run: [WMedia32] wmedia32.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernels8.exe
O4 - HKLM\..\Run: [0mcamcap] C:\WINDOWS\system32\0mcamcap.exe
O4 - HKLM\..\Run: [xZibit] C:\DOKUME~1\Username\LOKALE~1\Temp\5.tmp
O4 - HKLM\..\Run: [DCOM Server] C:\WINDOWS\system32\dxvwndgl.exe
O4 - HKLM\..\RunServices: [SystemTools] C:\WINDOWS\system32\kernels8.exe
O4 - HKLM\..\RunServices: [0mcamcap] C:\WINDOWS\system32\0mcamcap.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [0mcamcap] C:\WINDOWS\system32\0mcamcap.exe
O4 - HKCU\..\Run: [WinMedia] C:\WINDOWS\system32\vxgame6.exe3072.exe
O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\system32\taskdir.exe
O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - C:\WINDOWS\system32\dxvwqaym.exe


anderer PC

HijackThis

O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernels88.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O23 - Service: Microsoft ASPI Manager - Unknown - C:\WINDOWS\system32\aspi213121.exe

-----------------------------------------------------------

Start -- Ausführen -- schreib rein: cmd

sc stop Microsoft ASPI Manager

[klicke "enter"]

und warte ein bisschen, dann kopiere rein:

sc delete Microsoft ASPI Manager

[klicke "enter"]

del C:\WINDOWS\system32\aspi213121.exe

[klicke "enter"]

-----------------------------------------------------------------------

Avenger

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|System

Files to delete:
C:\WINDOWS\system32\vxga1me4t1.exe
C:\WINDOWS\system32\aspi21621.exe
C:\WINDOWS\system32\vxg6ame4.exe
C:\WINDOWS\system32\vxg4am1et2.exe
C:\WINDOWS\system32\svcp.csv
C:\WINDOWS\system32\dlh9jkd1q6.exe
C:\WINDOWS\system32\dlh9jkd1q2.exe
C:\WINDOWS\system32\dlh9jkd1q8.exe
C:\WINDOWS\system32\aspi213121.exe
C:\WINDOWS\system32\aspi215151.exe
C:\WINDOWS\system32\advvpi32.dll
C:\WINDOWS\system32\vx.tll
C:\WINDOWS\system32\dlh9jkd1q7.exe
C:\WINDOWS\system32\kernels88.exe
C:\WINDOWS\Downloaded Program Files\ax_mjpeg.ocx
C:\WINDOWS\desktop.html
C:\WINDOWS\xpupdate.exe



smitfraud.fix abarbeiten (Option 1 und 2 - lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html



Valid HTML 4.01 Ranking-Hits