XPSecurity
Center


XPSecurityCenter

rogue - de.wikipedia.org
Die Infektion erfolgt in der Regel per Drive-by-Download, anschließend wird eine Meldung ausgegeben, der Computer sei infiziert. Oft imitiert Rogueware dabei eine Warnmeldung von Windows täuschend echt, wobei die Meldung allerdings häufig englischsprachig ist. Diese Meldung ist aber unabhängig von der Existenz eines Schadprogramms, wobei in den meisten Fällen von Spyware die Rede ist. Außerdem ist keine Datei angegeben, in der sich der angebliche Schädling verstecken soll. Mitunter hat die „kostenpflichtige Vollversion“ keine oder aber sogar eine tatsächlich bösartige Funktion, Rogueware kann also ein Trojanisches Pferd im fachsprachlichen Sinn sein. Zudem kann der Inhalt der Internetseite eines solchen Programms fragwürdig sein. Rogue-Software wird in der Regel von seriösen Antivirenprogrammen erkannt. rogue

weiter XP SecurityCenter ist ein falsches Spyware-Program. XP SecurityCenter verwendet aggressive Methoden. XP SecurityCenter zeigt falsche Berichte siehe: Scareware

weiter HijackThis

O4 - HKLM\..\Run: [XP SecurityCenter] "C:\Program Files\XPSecurityCenter\XPSecurityCenter.exe" /hide

weiter Malwarebytes

Infizierte Speicher Prozesse:

C:\WINDOWS\system32\braviax.exe (Trojan.FakeAlert)

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\XP_SecurityCenter (Rogue.XPSecurityCenter)

Infizierte Registrierungswerte:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.Downloader)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.Downloader)

Infizierte Dateien:

C:\WINDOWS\system32\braviax.exe (Trojan.Downloader)
C:\WINDOWS\braviax.exe (Trojan.Downloader)

weiter Combofix

2008-06-30 18:34 . 2008-06-30 18:34 19,736 --a------ C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\ijaqoky.pif
2008-06-30 18:34 . 2008-06-30 18:34 18,803 --a------ C:\WINDOWS\system32\qihexa.scr
2008-06-30 18:34 . 2008-06-30 18:34 17,523 --a------ C:\WINDOWS\system32\ynylux.reg
2008-06-30 18:34 . 2008-06-30 18:34 16,603 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cidotaqo.reg
2008-06-30 18:34 . 2008-06-30 18:34 15,988 --a------ C:\Programme\Gemeinsame Dateien\ylehadyze.vbs
2008-06-30 18:34 . 2008-06-30 18:34 15,902 --a------ C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\uxyjagal.com
2008-06-30 18:34 . 2008-06-30 18:34 15,352 --a------ C:\WINDOWS\oqytefa.reg
2008-06-30 18:34 . 2008-06-30 18:34 15,306 --a------ C:\WINDOWS\system32\ozit.bat
2008-06-30 18:34 . 2008-06-30 18:34 13,550 --a------ C:\WINDOWS\obymuzyg.inf
2008-06-30 18:34 . 2008-06-30 18:34 13,260 --a------ C:\Programme\Gemeinsame Dateien\onofewi.pif
2008-06-30 18:34 . 2008-06-30 18:34 12,958 --a------ C:\Programme\Gemeinsame Dateien\otij.com
2008-06-30 18:34 . 2008-06-30 18:34 11,481 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jabavakyk.scr
2008-06-30 18:34 . 2008-06-30 18:34 11,042 --a------ C:\WINDOWS\system32\yruzofyxe.bat
2008-06-30 18:34 . 2008-06-30 18:34 10,724 --a------ C:\Programme\Gemeinsame Dateien\wudej.dll
2008-06-30 18:34 . 2008-06-30 18:34 10,393 --a------ C:\Programme\Gemeinsame Dateien\pygazokumu.vbs
2008-06-30 18:34 . 2008-06-30 18:34 10,328 --a------ C:\WINDOWS\cumojyrite.reg
2008-06-30 18:34 . 2008-06-30 18:34 10,098 --a------ C:\WINDOWS\emerevijyv.dat
2008-06-30 16:34 16,742 ----a-w C:\Programme\Gemeinsame Dateien\pozozavesa.lib
2008-06-30 16:34 12,368 ----a-w C:\Programme\Gemeinsame Dateien\wyronyw._dl

weiter Gehe in die Registry 
Start - Ausführen - regedit

klicke dich durch zum Schlüssel...und stelle alles auf 0

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001 - 0
"UpdatesDisableNotify"=dword:00000001 - 0
"AntiVirusOverride"=dword:00000001 - 0
"FirewallOverride"=dword:00000001 - 0

Beispiel:

rechtsklick auf den Eintrag "AntiVirusDisableNotify"
die 1 wegklicken und 0 reinschreiben, dann abspeichern

Combofix-Script (Beispiel)

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\SOFTWARE\XP_SecurityCenter]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"XP SecurityCenter"=-

File::
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\ijaqoky.pif
C:\Dokumente und Einstellungen\%Username"\Anwendungsdaten\uxyjagal.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cidotaqo.reg
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jabavakyk.scr
C:\Programme\Gemeinsame Dateien\pozozavesa.lib
C:\Programme\Gemeinsame Dateien\wyronyw._dl
C:\Programme\Gemeinsame Dateien\wudej.dll
C:\Programme\Gemeinsame Dateien\pygazokumu.vbs
C:\Programme\Gemeinsame Dateien\ylehadyze.vbs
C:\Programme\Gemeinsame Dateien\onofewi.pif
C:\Programme\Gemeinsame Dateien\otij.com
C:\WINDOWS\cumojyrite.reg
C:\WINDOWS\emerevijyv.dat
C:\WINDOWS\oqytefa.reg
C:\WINDOWS\obymuzyg.inf
C:\WINDOWS\system32\qihexa.scr
C:\WINDOWS\system32\ynylux.reg
C:\WINDOWS\system32\yruzofyxe.bat
C:\WINDOWS\system32\ozit.bat

Folder::
C:\Programme\XPSecurityCenter
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\XPSecurityCenter


anderer PC

c:\WINDOWS\gulozerela._sy
c:\WINDOWS\ixosata.scr
c:\WINDOWS\system32\ynory.bin

C:\Programme\Gemeinsame Dateien\wopok.exe
C:\Programme\Gemeinsame Dateien\ycisyh.com
C:\Programme\Gemeinsame Dateien\ykogapusij.scr

C:\Programme\XPSecurityCenter
C:\Programme\XPSecurityCenter\htmlayout.dll
C:\Programme\XPSecurityCenter\install.exe
C:\Programme\XPSecurityCenter\pthreadVC2.dll
C:\Programme\XPSecurityCenter\un.ico
C:\Programme\XPSecurityCenter\unzip32.dll
C:\Programme\XPSecurityCenter\XP_SecurityCenter.cfg
C:\Programme\XPSecurityCenter\XPSecurityCenter.dll
C:\Programme\XPSecurityCenter\XPSecurityCenter.exe
C:\Programme\XPSecurityCenter\data
C:\Programme\XPSecurityCenter\data\daily.cvd
C:\Programme\XPSecurityCenter\Microsoft.VC80.CRT
C:\Programme\XPSecurityCenter\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest
C:\Programme\XPSecurityCenter\Microsoft.VC80.CRT\msvcm80.dll
C:\Programme\XPSecurityCenter\Microsoft.VC80.CRT\msvcp80.dll
C:\Programme\XPSecurityCenter\Microsoft.VC80.CRT\msvcr80.dll

%UserProfile%\Anwendungsdaten\ovyfa._dl
%UserProfile%\Anwendungsdaten\ynuquv.scr

%UserProfile%\Cookies\bexej.reg
%UserProfile%\Cookies\egymohe.inf
%UserProfile%\Cookies\sibufub.dll
%UserProfile%\Cookies\xoba.bin

C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\enarihow.scr
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\molepucob.sys
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\ujujynira.dl
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\yruvabeqi.db

%UserProfile%\Local Settings\Temp\Binaries1.zip
%UserProfile%\Local Settings\Temp\Binaries2.zip
%UserProfile%\Local Settings\Temp\Binaries3.zip

C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp\onut.lib

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\adokaxe._dl
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dixaneh.ban
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qivaz.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\yfizydup.sys

C:\Dokumente und Einstellungen\All Users\Desktop\XPSecurityCenter.lnk

C:\Dokumente und Einstellungen\%UserName%\Eigene Dateien\kareq.bat
C:\Dokumente und Einstellungen\%UserName%\Eigene Dateien\tibikuv.dll

c:\Documents and Settings\All Users\Documents\kareq.bat
c:\Documents and Settings\All Users\Documents\tibikuv.dll

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\XPSecurityCenter
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\XPSecurityCenter\Uninstall.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\XPSecurityCenter\XPSecurityCenter.lnk






virus-protect.org
startseite Valid HTML 4.01 Ranking-Hits antispam