bravesentry 2.0 infektion - dringend - bitte!!

#1 hallo zusammen,

ich hab grad meinen kumpel am telefon, der seit gestern bravesentry 2.0 drauf hat. er weiß nicht wie's draufkam.. ein problem ist, dass der jetzt so gut wie nix machen kann. während dem hochfahren geht das bs 2.0 fenster auf und bittet um kauf und nach ca. 20 sek kommt die ausnahmemeldung, also der blaue bildschirm. bis dahin kann er nix anklicken. der dektop selbst ist dabei nur ca. eine sek zu sehen.

er hat auch schon versuch den abgesicherten modus zu starten.. 20 sek - blauer bildschirm!?

mittlerweile gehen beim hochfahren mehrere antivirmeldungen auf, die verschiedene tr/* trojaner anzeigen.

wenn er in den 20 sek versucht den taskmanager zu öffnen, heisst's: ..wurde durch den administrator deaktiviert!?


ich hoffe ihr könnt weiterhelfen! wenn's geht möglichst schnell, er ist der verzweiflung nahe! danke im voraus!

gruß markus

#2 Das ist die Loesung fuer sein Problem: http://siri.urz.free.fr/Fix/SmitfraudFix_De.php

ZUumindest loest es die Probleme, die du angegeben hast. Ob das alles war, kann ich von hier nicht beurteilen.

BTW: Diesen Trojaner installiert man sich meistens selber. Er gibt sich haeufig als "Videocodec" aus, der angeblich benoetigt wird um ein bestimmtes Video abzuspielen. Ca 2 Min. nach dem man diesen angeblichen Codec installiert hat, beginnt das von dir oben beschriebene Verhalten.
__________
MfG Ralf
SEO-Spam Hunter

#3 vielen dank für die schnelle antwort!! dass problem ist nur, dass er bis zum ausnahmefehler nichts machen kann. also auch nicht auf's netz zugreifen.. klingt unlösbar, gib's zu! :\

gruß markus

p.s. es sind in der tat mehrere probleme,es kommt quasi bei jedem neustart was anderes dazu..

#4 DAnn bleiben ihm nur die Moeglichkeit, sich die Dinge aus anderer Quelle zu holen, oder Daten sichern und Rechner neu aufsetzen!
__________
MfG Ralf
SEO-Spam Hunter

#5 er ist bereits mit letzterem beschäftigt. war wohl hoffnungslos. danke für die hilfe!

gruß markus

#6 bitte nochmals um hilfe! er versucht obiges problem jetzt doch anders zu lösen.

er hat's geschaft hijackthis laufen zu lassen. hier die log:

Logfile of HijackThis v1.99.1
Scan saved at 23:07:13, on 18.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\rundll32.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\system32\kudbu.exe
C:\WINDOWS\system32\testtestt.exe
C:\WINDOWS\system32\0mcamcap.exe
C:\Programme\messenger\lvback.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\tkmwuu.exe
C:\WINDOWS\system32\tkmwuu.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\WINDOWS\system32\tkmwuu.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Crazy Browser\Crazy Browser.exe
C:\Programme\Crazy Browser\Crazy Browser.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\WINDOWS\system32\kudbu.exe
C:\WINDOWS\system32\kudbu.exe
C:\Dokumente und Einstellungen\Admin\Desktop\HijackThis.exe
C:\WINDOWS\notepad.exe

R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe, C:\WINDOWS\system32\kudbu.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,vpkefao.exe
O4 - HKLM\..\Run: [tcqots] C:\WINDOWS\system32\tkmwuu.exe reg_run
O4 - HKLM\..\Run: [tcqots] C:\WINDOWS\system32\tkmwuu.exe reg_run
O4 - HKCU\..\Run: [pyxpv] C:\WINDOWS\system32\tkmwuu.exe reg_run
O4 - HKCU\..\Run: [pyxpv] C:\WINDOWS\system32\tkmwuu.exe reg_run
O4 - HKCU\..\Run: [WinMedia] C:\WINDOWS\system32\vxgame6.exe3072.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1F48D48D-2647-430B-AEEE-CAFADCEF93DF}: NameServer = 85.255.113.116 85.255.112.16
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: artm_newreg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\artm_new.dll
O20 - Winlogon Notify: Run - C:\WINDOWS\system32\azaql5751.dll
O20 - Winlogon Notify: winm32 - C:\WINDOWS\SYSTEM32\winm32.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe


is das gut oder schlecht??

dank im voraus

gruss markus

#7 1.
boote in den abgesicherten modus:

2.

Zitat

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe, C:\WINDOWS\system32\kudbu.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,vpkefao.exe
O4 - HKLM\..\Run: [tcqots] C:\WINDOWS\system32\tkmwuu.exe reg_run
O4 - HKLM\..\Run: [tcqots] C:\WINDOWS\system32\tkmwuu.exe reg_run
O4 - HKCU\..\Run: [pyxpv] C:\WINDOWS\system32\tkmwuu.exe reg_run
O4 - HKCU\..\Run: [pyxpv] C:\WINDOWS\system32\tkmwuu.exe reg_run
O4 - HKCU\..\Run: [WinMedia] C:\WINDOWS\system32\vxgame6.exe3072.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1F48D48D-2647-430B-AEEE-CAFADCEF93DF}: NameServer = 85.255.113.116 85.255.112.16

O20 - Winlogon Notify: artm_newreg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\artm_new.dll
O20 - Winlogon Notify: Run - C:\WINDOWS\system32\azaql5751.dll
O20 - Winlogon Notify: winm32 - C:\WINDOWS\SYSTEM32\winm32.dll

--------------------------------------------------------------------------------
3.
Look2Me-Destroyer V1.0.5
http://www.virus-protect.org/l2mfix.html

4.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

5.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

6.
echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren
http://virus-protect.org/bat/echo.zip
__________
MfG Sabina

rund um die PC-Sicherheit