Brave Sentry Problem !

#1 hallo.

Nach langem Suchen bin ich nun hier gelandet. Hoffe man kann mir hier geholfen werden.

Ich habe seit 24.01.07 ca. 00:30 Uhr diesen blöden trojaner/virus/was auch immer "Brave Sentry" auf meinem rechner. ich werde ihn einfach nicht los. task manager lässt sich auch nicht mehr öffnen, desktop ist schwarz.. der scanner von "brave sentry" findet super viele viren, will sie aber nur gegen bezahlung der vollversion löschen.

hoffe ihr kennt dieses problem schon.

ich hänge die logs als anhang an. hab sie in ein .zip file gepackt. bei bedarf kann ich sie auch posten bzw. einzeln anhängen, denke aber so ist es am übersichtlichsten.

hoffe auch rasche hilfe.

Vielen dank auch schonmal

mfg

#2 ««
Gehe in die Registry
Start-Ausfuehren - regedit

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveSearch"=dword:00000001 - aendere in 0

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableTaskMgr = "dword:00000001" - aendere in 0
DisableRegistryTools = "dword:00000001" - aendere in 0

««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bravesentry
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BraveSentry
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\System
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows update loader
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{55AFC411-CA64-48F2-8310-6AED35DE8896}
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{55AFC411-CA64-48F2-8310-6AED35DE8896}

Files to delete:
C:\WINDOWS\system32\pjlmon32.dll
C:\WINDOWS\system32\winsub.xml
C:\WINDOWS\system32\eax.dll
C:\WINDOWS\qjrs.ini
C:\WINDOWS\pjsqs.ini

Folders to delete:
C:\Program Files\BraveSentry
C:\FOUND.006
C:\FOUND.005
C:\FOUND.004
C:\FOUND.003

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
scanne mit smitfraudfix
http://virus-protect.org/artikel/tools/smitfrautfix.html

««
http://virus-protect.org/artikel/tools/sdfix.html
SDFix.zip entpacken

es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"

unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken

schreibe: Y

folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag
__________
MfG Sabina

rund um die PC-Sicherheit

#3 SDFix: Version 1.62

26.01.2007 - 1:55:06,14

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:

Path:


Restoring Windows Registry Entries
Restoring Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

No Files Found..




Alternate Streams Check:

C:\WINDOWS\system32
No streams found.

Final Check:

Remaining Services:
------------------


Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Kazaa Lite\\clean.kmd"="C:\\Programme\\Kazaa Lite\\clean.kmd:*:Enabled:clean"
"C:\\Programme\\eMule.de\\emule.exe"="C:\\Programme\\eMule.de\\emule.exe:*:Enabled:eMule"
"C:\\Programme\\InterVideo\\DVD7\\WinDVD.exe"="C:\\Programme\\InterVideo\\DVD7\\WinDVD.exe:*:Enabled:WinDVD"
"C:\\Programme\\Java\\jre1.5.0_04\\bin\\javaw.exe"="C:\\Programme\\Java\\jre1.5.0_04\\bin\\javaw.exe:*:Enabled:Java(TM) 2 Platform Standard Edition binary"
"C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"="C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE:*:Enabled:FRITZ!DSL - igdctrl.exe"
"C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"="C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE:*:Enabled:AVM FRITZ!Box Firmware-Update"
"C:\\Programme\\1&1\\1&1 SoftPhone\\IPPHONE.EXE"="C:\\Programme\\1&1\\1&1 SoftPhone\\IPPHONE.EXE:*:Enabled:1&1 SoftPhone"
"C:\\Programme\\Internet Explorer\\IEXPLORE.EXE"="C:\\Programme\\Internet Explorer\\IEXPLORE.EXE:*:Enabled:Internet Explorer"
"C:\\Programme\\BitComet\\BitComet.exe"="C:\\Programme\\BitComet\\BitComet.exe:*:Enabled:BitComet - a BitTorrent Client"
"C:\\Programme\\eMule\\emule.exe"="C:\\Programme\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Programme\\Mozilla Firefox\\FIREFOX.EXE"="C:\\Programme\\Mozilla Firefox\\FIREFOX.EXE:*:Enabled:Firefox"
"C:\\Programme\\Shareaza\\Shareaza.exe"="C:\\Programme\\Shareaza\\Shareaza.exe:*:Enabled:Shareaza"
"E:\\Programme\\EA Games\\Command & Conquer The First Decade\\Command & Conquer Red Alert(tm) II\\RA2\\game.exe"="E:\\Programme\\EA Games\\Command & Conquer The First Decade\\Command & Conquer Red Alert(tm) II\\RA2\\game.exe:*:Enabled:Main executable for Red Alert 2"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Sierra\\Half-Life\\hl.exe"="C:\\Sierra\\Half-Life\\hl.exe:*isabled:Half-Life Launcher"
"C:\\Programme\\Valve\\Steam\\SteamApps\\User\\Half-Life 2\\hl2.exe"="C:\\Programme\\Valve\\Steam\\SteamApps\\User\\Half-Life 2\\hl2.exe:*isabled:hl2"
"C:\\Spiele\\Rag Doll Kung Fu\\rag_doll_kung_fu.exe"="C:\\Spiele\\Rag Doll Kung Fu\\rag_doll_kung_fu.exe:*isabled:rag_doll_kung_fu"
"C:\\Spiele\\TrackMania Nations ESWC\\TmNationsESWC.exe"="C:\\Spiele\\TrackMania Nations ESWC\\TmNationsESWC.exe:*isabled:TmNationsESWC"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0"
"C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0"
"C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"


Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip


Checking For Files with Hidden Attributes :

C:\NTDETECT.COM
C:\WINDOWS\system32\cdplayer.exe.manifest
C:\WINDOWS\system32\logonui.exe.manifest
C:\Programme\CDRWIN5\burnRPAI.exe
C:\IO.SYS
C:\MSDOS.SYS
C:\pagefile.sys
C:\hiberfil.sys

Finished


So da

und danke sehr für die schnelle hilfe bisher

ps: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableTaskMgr = "dword:00000001" - aendere in 0
DisableRegistryTools = "dword:00000001" - aendere in 0

das ging nicht, da in ...\System nichts stand

#4 1.
poste dieses log
http://virus-protect.org/silentrunner.html

2.
scanne mit panda und poste den scanreport
http://virus-protect.org/panda_online.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 so hab beides gemacht, logs wieder im anhang drin

#6 1.
Avenger

Zitat

Files to delete:
C:\Programme\Mozilla Firefox\PLUGINS\NPCLNTAX.DLL

2.
loesche dieses backup
C:\AVENGER\BACKUP.ZIP

+ leere den papierkorb

dann ist abgesehen von einigen eintraegen in der registry wieder alles i.o.
__________
MfG Sabina

rund um die PC-Sicherheit

#7 vielen dank für die schnellen antworten