kernels8.exe


kernels8.exe, vx.tll, kernels88.exe, aspi213121.exe, svcp.csv

weiter Link: - Bravesentry

Beispiel


HijackThis

C:\WINDOWS\System32\vxh8jkdq2.exe
C:\WINDOWS\System32\vxh8jkdq6.exe
C:\WINDOWS\System32\vxh8jkdq7.exe

O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels8.exe
O4 - HKLM\..\RunServices: [SystemTools] C:\WINDOWS\System32\kernels8.exe

datfindbat

Verzeichnis von C:\WINDOWS\system32

19.10.2005 01:10 2.816 vxgamet3.exe
19.10.2005 01:10 7.678 vxgame2.exe
19.10.2005 01:10 2.816 vxgamet1.exe
19.10.2005 01:10 1 vx.tll
19.10.2005 01:10 3.376 vxh8jkdq7.exe
19.10.2005 01:10 3.152 vxh8jkdq6.exe
19.10.2005 01:10 3.280 vxh8jkdq5.exe
19.10.2005 01:10 28.160 vxh8jkdq2.exe

C:\WINDOWS\system32\vx.tll
Adware:Adware/Adsmart

weiter It includes functionality to access the internet and communicate with a remote server via HTTP to download and install software.

weiter When first run, it copies itself to "System"\kernels8.exe and creates

"Temp"\1.dlb
"Temp"\4.dlb

weiter The following registry entry is created to run kernels8.exe on startup:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
System
"System"\kernels8.exe

The following registry entry is set, disabling the Windows task manager:

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr
1

* %WINDIR%\system32\vxh8jkdq6.exe
* %WINDIR%\system32\vxh8jkdq5.exe ( 91408 bytes )
* %WINDIR%\system32\vxh8jkdq1.exe ( 91408 bytes )
* %WINDIR%\system32\vx.tll ( 1 bytes )
* %WINDIR%\system32\vxh8jkdq2.exe ( 91408 bytes )
* %WINDIR%\system32\kernels8.exe
* %WINDIR%\system32\vxh8jkdq7.exe ( 91408 bytes )

weiter Registry

* hkey_current_user\software\microsoft\windows\currentversion\policies\system

* hkey_current_user\software\microsoft\windows\currentversion\policies\system\disabletaskmgr="1"

* hkey_local_machine\software\microsoft\windows\currentversion\run\[System] C:\WINDOWS\system32\kernels8.exe

* hkey_current_user\software\microsoft\windows\currentversion\internet settings\zonemap\intranetname="1"

* hkey_current_user\software\microsoft\windows\currentversion\internet settings\zonemap\uncasintranet="1"

* hkey_current_user\software\microsoft\windows\currentversion\internet settings\zonemap\proxybypass="1"

Beispiel

weiter datfindbat

Verzeichnis von C:\WINDOWS\system32

22.05.2006 15:09 71.168 dxvwgaql.exe
22.05.2006 14:59 71.168 dxvwwhkc.exe
22.05.2006 13:15 459 imon1.dat
22.05.2006 13:12 15 dlh9jkdq8.exe
22.05.2006 13:06 71.168 dxvwqaym.exe
22.05.2006 12:46 71.168 dxvwublj.exe
21.05.2006 20:41 274.432 imon.dll
21.05.2006 20:39 46.592 zlbw.dll
21.05.2006 20:37 9.704 taskdir~.exe
21.05.2006 20:29 3.072 vxgame6.exe3072.exe
21.05.2006 20:29 14.665 vxgamet4.exe
21.05.2006 20:29 63.949 ipod.raw.exe
21.05.2006 20:29 63.949 taskdir.exe
21.05.2006 20:29 4 winsub.xml
21.05.2006 20:29 59 svcp.csv
21.05.2006 20:29 0 ImaS3r
21.05.2006 20:28 3.072 vxgame4.exe
21.05.2006 20:26 29.280 0mcamcap.exe
21.05.2006 20:26 7.035 dlh9jkdq7.exe
21.05.2006 20:26 7.035 dlh9jkdq6.exe
21.05.2006 20:26 4.287 dlh9jkdq5.exe
14.05.2006 22:55 1 vx.tll
14.05.2006 22:54 18.871 dlh9jkdq2.exe
14.05.2006 22:46 9.047 run.exe
14.05.2006 22:46 9.047 kernels8.exe
10.05.2006 21:43 4.096 tmp_x.dll
29.04.2006 16:07 229.376 cemetrix.dll
29.04.2006 16:06 8.464 sporder.dll
Verzeichnis von C:\WINDOWS

14.05.2006 22:54 18.871 xpupdate.exe
17.04.2006 00:00 780 hosts

Verzeichnis von C:\

21.05.2006 20:36 1.397 vtigjymc.exe
16.04.2006 23:58 0 uniq

---------------------------------------------------

C:\WINDOWS\system32\kernels8.exe
C:\WINDOWS\system32\dxvwqaym.exe
C:\Windows\xpupdate.exe
C:\WINDOWS\system32\0mcamcap.exe
C:\WINDOWS\system32\taskdir.exe
C:\WINDOWS\system32\dlh9jkdq2.exe
C:\WINDOWS\system32\dlh9jkdq6.exe
C:\WINDOWS\system32\dlh9jkdq7.exe
C:\WINDOWS\system32\dxvwwhkc.exe
C:\WINDOWS\system32\dxvwgaql.exe
C:\WINDOWS\system32\dlh9jkdq5.exe
C:\WINDOWS\system32\dxvwndgl.exe

weiter HijackThis

O1 - Hosts: 82.146.56.35 ww

O4 - HKLM\..\Run: [WMedia32] wmedia32.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernels8.exe
O4 - HKLM\..\Run: [0mcamcap] C:\WINDOWS\system32\0mcamcap.exe
O4 - HKLM\..\Run: [xZibit] C:\DOKUME~1\Username\LOKALE~1\Temp\5.tmp
O4 - HKLM\..\Run: [DCOM Server] C:\WINDOWS\system32\dxvwndgl.exe
O4 - HKLM\..\RunServices: [SystemTools] C:\WINDOWS\system32\kernels8.exe
O4 - HKLM\..\RunServices: [0mcamcap] C:\WINDOWS\system32\0mcamcap.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [0mcamcap] C:\WINDOWS\system32\0mcamcap.exe
O4 - HKCU\..\Run: [WinMedia] C:\WINDOWS\system32\vxgame6.exe3072.exe
O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\system32\taskdir.exe

O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - C:\WINDOWS\system32\dxvwqaym.exe

anderer PC

weiter HijackThis

O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernels88.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O23 - Service: Microsoft ASPI Manager - Unknown - C:\WINDOWS\system32\aspi213121.exe

weiter Start -- Ausführen -- schreib rein: cmd

sc stop Microsoft ASPI Manager

[klicke "enter"]

und warte ein bisschen, dann kopiere rein:

sc delete Microsoft ASPI Manager

[klicke "enter"]

del C:\WINDOWS\system32\aspi213121.exe

[klicke "enter"]

weiter Avenger

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|System

Files to delete:
C:\WINDOWS\system32\vxga1me4t1.exe
C:\WINDOWS\system32\aspi21621.exe
C:\WINDOWS\system32\vxg6ame4.exe
C:\WINDOWS\system32\vxg4am1et2.exe
C:\WINDOWS\system32\svcp.csv
C:\WINDOWS\system32\dlh9jkd1q6.exe
C:\WINDOWS\system32\dlh9jkd1q2.exe
C:\WINDOWS\system32\dlh9jkd1q8.exe
C:\WINDOWS\system32\aspi213121.exe
C:\WINDOWS\system32\aspi215151.exe
C:\WINDOWS\system32\advvpi32.dll
C:\WINDOWS\system32\vx.tll
C:\WINDOWS\system32\dlh9jkd1q7.exe
C:\WINDOWS\system32\kernels88.exe
C:\WINDOWS\Downloaded Program Files\ax_mjpeg.ocx
C:\WINDOWS\desktop.html
C:\WINDOWS\xpupdate.exe


weiter smitfrautfix abarbeiten (Option 1 und 2 - lasse auch die Registry mitreinigen)







virus-protect.org
startseite Valid HTML 4.01 Ranking-Hits antispam