How to Remove ExpertAntivirus

Yet another new variant is rising out of the smitfraud infection class.  ExpertAntivirus is a fake anti-virus program that tries to trick users into purchasing the full version of their software, when in fact it is the problem to begin with.

I recommend that you do not spend the money on this software.  Rather than buying it, simply remove ExpertAntivirus manually.

Great Spyware Removal Sites on the Web

• Complete List of Computer Help Tutorials (Pages 2, 3, 4, & 5)
• How to Install RAM Memory
• How to Remove all Symantec Norton Products From Your Computer
• How to Remove the Spy Falcon Spyware Infection (Pages 2, 3, & 4)
• How to Use Visual Compatibility Modes in Windows XP
• How to Make a Set of Windows XP Boot Disks
• How to Burn a CD using Windows XP’s Integrated Software
• How to Copy Music From Your iPod to iTunes on a New PC
• How to Remove MoviePass Spyware Infection (Printable Version) (Pages 2, 3, & 4)
• Prevent the System32/Config/SYSTEM Error
• How to Remove the SpywareQuake Spyware Infection (Pages 2, 3, & 4)
• How to remove the SpySheriff Spyware Infection (Pages 2, 3, & 4)
• How to Backup or Transfer Your Outlook Express Mail, Accounts, and Address Book
• How to Remove the Brave Sentry and Brave Sentry 2.0 Spyware Infections (Pages 2, 3, & 4)
• How to Remove the Brave Sentry and Brave Sentry 2.0 Spyware Infections (Pages 2, 3, & 4)
• How to Remove the Popcorn.net and Download Manager Spyware Infections (Pages 2, 3, & 4)
• How to Remove the NSIS FireFox Spyware Infection (Page2)
• How to resolve the Error 10 Norton installation error (Page 2, 3, 4)
• How to Remove the AlfaCleaner Spyware Infection (Page 2, 3, 4)
• How to Remove the SpyHeal Spyware Infection (Page 2, 3, 4)
• How to Remove the SpyTrooper Spyware Infection (Page 2, 3, 4)
• How to Remove the SpywareStrike Spyware Infection (Page 2, 3, 4)
• How to Remove the TrustCleaner Spyware Infection (Page 2, 3, 4)
• How to Remove the VirusBurst Spyware Infection (Page 2, 3, 4)
• How to Remove the SpyLocked Spyware Infection (Page 2, 3, 4)

Computer Repair in Lincoln Nebraska

Computer repair in Lincoln Nebraska rules at Schrock Innovations!  Thanks Thor for having such great service and thanks to your technicians for getting the job done right the first time.  I would recommend these guys anytime!

Surge in SpyLocked Spyware Infections – Free Removal

We have been seeing an increase in customers getting infected with the spylocked spyware infection.  I blogged about it at the time. 

I have found a complete set of remove spylocked instructions.  Let me know if you need help with them.

Check out my new blog

If you are into technology news visit my new blog at http://www.thorschrock.com.   Have a good one!

How to Remove Brave Sentry 2.0

A new spyware infection cameacross my bench today.  It is a variant of the SpywareQuake infection called Brave Sentry 2.0.  You can view complete Brave Sentry removal instructions at http://www.schrockinnovations.com/removebravesentry.php

Trojan.PPDropper.B Discovered Today

Trojan.PPDropper.B may arrive as a Powerpoint attachment in the following email:

From:
[REMOVED]@gmail.com

To:
Undisclosed-Recipient:;

Subject:
[CHINESE CHARS]

Attachment:
[CHINESE CHARS].ppt

When Trojan.PPDropper.B is executed, it performs the following actions:

1. Exploits an undocumented Microsoft Powerpoint Remote Code Execution Vulnerability using a malformed string, once the Powerpoint attachment is executed.
2. Drops and executes the following file which is a variant of Backdoor.Bifrose.E:

   %System%\regvrt.exe

   Note: %System% is a variable that refers to the System folder. By default this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).

3. Injects a malicious routine into the EXPLORER.EXE process that overwrites the malicious Powerpoint file with a new clean copy of the document.
4. Displays the following title page slide in Chinese characters when the Powerpoint document is executed:

Backdoor.Haxdoor.N Discovered Today

When Backdoor.Haxdoor.N is executed, it performs the following actions:

1. Drops the following files:
   • %System%\qo.dll
   • %System%\qo.sys
   • %System%\dvb03a.dll
   • %System%\dvb03a.sys
   • %System%\dvb06a.sys

     Note: %System% is a variable that refers to the System folder. By default this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).

2. Creates the following files to store the gathered information:
   • %System%\klo5.sys
   • %System%\lps.dat
   • %System%\dt163.dt
   • %System%\m012741.dat
   • %System%\tn145.dat
   • %System%\rddom.a3d
   • %System%\r85064.dat
   • %System%\wmx.a3d
3. Hides all of the above files using a rootkit.
4. Creates the services dvb03a and dvb06a by creating the following registry subkeys:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dvb03a
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dvb06a
   

5. Hides the services using a rootkit.

   The Trojan creates the following registry subkey on computers running Windows XP/2000/NT so that it is executed every time Windows starts:

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dvb03a

6. Creates the following registry subkeys so that it runs in safe mode:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\
   Minimal\dvb06a.sys
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\
   Network\dvb06a.sys
   

7. Attempts to hide its presence by injecting dvb03a.dll into the process of explorer.exe and executing a remote thread.
8. Terminates the following security related processes and attempts to prevent future access by locking them:
   • zapro.exe
   • vsmon.exe
   • jamapp.exe
   • atrack.exe
   • iamapp.exe
   • FwAct.exe
   • mpfagent.exe
9. The dvb03a.dll file opens a back door on a random TCP port. The remote attacker can then perform the following actions on the compromised computer:

   Download files
   Execute programs
   Control the device driver of the rootkit
   Steal passwords stored in Protected Storage
   Steal cached passwords by calling the WNetEnumCachedPasswords API
   Steal the Miranda IM password
   Gather dialup connection information
   Check if webmoney application is installed on the compromised computer
   Steal ICQ passwords
   Log keystrokes

10. May retrieve detailed account information by accessing the following URL with some locally stolen information added as parameters:

    https://www.e-gold.com/acct/[REMOVED]

11. Sends an email containing the stolen information to a predetermined email address.

W32.Looked.P Discovered Today

When W32.Looked.P is executed, it performs the following actions:

1. Creates the following files:
   • %Windir%\rundl132.exe – a copy of W32.Looked.P
   • %CurrentFolder%\vDll.dll – a copy of Downloader

     Note:

   • %System% is a variable that refers to the System folder. By default this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).
   • %CurrentFolder% is a variable that refers to the folder where the risk was originally executed.
2. Checks for the value:

   "auto" = "1"

   to the registry subkey:

   HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW

   and either creates the infection marker or exits if it is found.

3. Adds the value:

   "load" = "%Windir%\rundl132.exe"

   to the registry subkey:

   HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

   so that it runs every time Windows starts.

4. Attempts to stop the following service:

   Kingsoft AntiVirus Service

5. Injects its DLL component, vDll.dll, into either iexplorer.exe or explorer.exe.
6. Using the DLL component, attempts to download a file from the following location:

   [http://]www.wowchian.com/dl[2 LETTERS[REMOVED]

7. Searches for .exe files to infect in all the drives from C to Y.
8. Prepends itself to any .exe files that it locates on the computer.
9. The worm creates the file _desktop.ini in any any directory it has searched for executable files in. This file has the hidden and system attributes set and it stores the date the worm was executed.
10. Does not infect .exe files in folders with the following names:
    • system
    • system32
    • windows
    • Documents and Settings
    • System Volume Information
    • Recycled
    • winnt
    • Program Files
    • Windows NT
    • WindowsUpdate
    • Windows Media Player
    • Outlook Express
    • Internet Explorer
    • ComPlus Applications
    • NetMeeting
    • Common Files
    • Messenger
    • Microsoft Office
    • InstallShield Installation Information
    • MSN
    • Microsoft Frontpage
    • Movie Maker
    • MSN Gaming Zone
11. May send ICMP packets containing the string “Hello,World” to the following IP addresses:
    • 192.168.0.30
    • 192.168.8.1
12. May also send ICMP packets to IP addresses in the same range as the IP address of the compromised computer.
13. Attempts to open shared folders with the following names, if any computer responds to the ICMP packet:
    • \\ipc$
    • \\admin$
14. Tries to open the shared folder using administrator as the username and a blank password. It copies itself to that folder, if it succeeds in opening the shared folder.
15. Enumerates all the computers and shared folders in the local network. The worm uses a blank username and a blank password to open the shared folders.
16. Searches for and infects .exe files in the shared folders.

W32.Banwarum@mm Discovered today

W32.Banwarum@mm is a mass-mailing worm that uses its own SMTP engine to send an email to addresses that it gathers from the compromised computer. The worm also spreads through the network by exploiting the Microsoft Windows ASN.1 Library Bit String Processing Variant Heap Corruption Vulnerability (as described in Microsoft Security Bulletin MS04-007). The worm also opens a back door via HTTP access.

When W32.Banwarum@mm is executed, it performs the following actions:

1. Creates the following file:

   %System%\mszsrn32.dll

   Note: %System% is a variable that refers to the System folder. By default this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).

2. Injects the dll file into the following process:

   winlogon.exe.

3. Adds the values:

   "DllName" = "%System%\mszsrn32.dll"
   "Startup" = "Startup"
   "Asynchronous" = "1"
   "Impersonate" = "0"
   "Type" = "2"

   to the registry subkey:

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mszsrn32

4. Spreads to other computers by exploiting the Microsoft Windows ASN.1 Library Bit String Processing Variant Heap Corruption Vulnerability (as described in Microsoft Security Bulletin MS04-007).
5. Sends system information to the following URLs and receives commands from the attacker.
   • [http://]7stick.biz/mmm/regist[REMOVED]
   • [http://]olania.net/mmm/regist[REMOVED]
   • [http://]olania.com/mmm/regist[REMOVED]
   • [http://]7stick.info/mmm/regist[REMOVED]
   • [http://]brancholania.net/mmm/regist[REMOVED]
   • [http://]brancholania.biz/mmm/regist[REMOVED]
   • [http://]frachetto.com/mmm/regist[REMOVED]
   • [http://]frachetto.info/mmm/regist[REMOVED]
   • [http://]5dime.net/mmm/regist[REMOVED]
   • [http://]monti2.com/mmm/regist[REMOVED]
6. Gathers email addresses from files with the following extensions on all local drives:
   • .wab
   • .tbb
   • .tbi
   • .doc
   • .xls
   • .txt
   • .csv
   • .htm
   • .html
   • .xml
   • .adb
   • .asa
   • .asc
   • .asm
   • .asp
   • .cgi
   • .con
   • .csp
   • .dbx
   • .dlt
   • .dwt
   • .edm
   • .hta
   • .htc
   • .inc
   • .jsp
   • .jst
   • .lbi
   • .php
   • .rdf
   • .rss
   • .sht
   • .ssi
   • .stm
   • .vbp
   • .vbs
   • .wml
   • .xht
   • .xsd
   • .xst
7. Avoids sending itself to email addresses that contain any of the following strings:
   • admin
   • info
   • support
   • soft
   • webmaster
   • help
   • web
   • postmaster
   • root
   • bugs
   • rating
   • site
   • contact
   • privacy
   • serviceabuse
   • register
   • sales
   • cisco
   • gnu.org
   • bsd.it
   • debian
   • linux
   • berkeley
   • google
   • fido
   • ibm.com
   • microsoft.com
   • php.net
   • .mil
   • .gov
   • borland.com
   • sun.com
   • xinul.com
   • virus
   • kaspersky
   • sophos
   • ripe.
   • iana.
   • drweb.
   • secure
   • avp.
   • .arpa
8. Uses its own SMTP engine to send an email to the addresses that it finds. The email has the following characteristics:

   From: Spoofed

   Subject:
   One of the following

   • Ermittlungsverfahren wurde eingeleitet
   • Sie besitzen Raubkopien
   • Anzeige ist erstatet
   • Ich Zeige sie an!
   • Sie betrueger!
   • Ihre Akte!
   • Sie kommen ins Knast!
   • Ihre IP wurde geloggt!
   • BundesKriminalAmt
   • Ich zeige dich an!
   • Hoer auf damit!
   • Warum machst du das?
   • Es ist AUS!
   • akte
   • Du Sexgott!
   • Du bist mein Sexgott!
   • Ficke meine Brust!
   • Ich lauf aus bitte leck mich!
   • Es leuft mir schon das bein Runter Honey!
   • Bums mein Arsch!
   • Fick mein Po!
   • Ich bin dauergeill warum?
   • Umsonst mein Arschficken ab 18 Jahren!
   • Lass dich Umsonst Wixen! Nur ab 18 Jahren!
   • Treibs mit einer schlampe!
   • Betrueg bitte deine Frau mit mir!
   • Ich liebe dich!
   • Nimm mich durch mein Schadz!
   • Du machst mich so Geil!
   • Ich hab die neuen Fotos Fertig!
   • Bums eine Schwarze und gewinne WM-Karten!
   • Es ist ein Missverstaendnis geschehen
   • Falschueberweisung
   • Ueberweisung an einen falschen Adressanten
   • Das Geld das nicht mir gehoert
   • Postbank Ueberweisungen
   • Ich hab ihr Geld.
   • Ich habe Geld von ihren Postbank Konto bekommen
   • Warum schicken sie mir Geld?
   • 1000 Euro von der Postbank
   • Geld von Postbank
   • Geldueberweisungen
   • Missueberweisungen
   • Bitte stoppen Sie es
   • Ihr Geld
   • Postbank
   • Uberweisungen
   • Ihre Auszahlungen an mich
   • Fasches Bankkonto
   • Geld
   • Falscher Adressant
   • WM Tickets!
   • Hallo!
   • Guten Tag! Hier sind ihre WM Tickets!
   • Sie haben WM Tickets gewonnen!
   • Holen sie jetzt ihre WM Tickets ab!
   • Weltmeisterschaft!
   • Komme mit!
   • JehhuuuU! WWWMMMM!!
   • Gewonnen? GeWONNEN!
   • Holen sie sich WM Tickets fuer das Finalle JETZT!

     Message body:
     One of the following

   • Sehr geehrte Dame, sehr geehrter Herr,
     das Herunterladen von Filmen, Software und MP3s ist illegal  [REMOVED] rat LS 2
     --- 65173 Wiesbaden
     --- Tel.: +49 (0)611 - 55 - 12331 oder
     --- Tel.: +49 (0)611 - 55 - 0
     
   • Guten Tag sehr geehrte Damen und Herren!
     Meine Web-Site zeichnete Angriffe von ihrer IP Auf
     Ich ha [REMOVED]  hab ich der Email beigefuegt.
     Password fuer die Anklageschrift lautet: [PASSWORD]
     mfg
     Karl Stein
     
   • Tina es ist schluss!
     Unterlasse es mir die fotos zu schicken
     wir sind nicht mehr zusammen und ich  [REMOVED] h einen password rauf gemacht
     das password ist dein Name: [PASSWORD]
     schreib nicht zurueck
     Alexei
     
   • Sehr geehrte Frau Tisha
     das Zuspammen von meiner Email mir ihren nacktfotos
     bleibt nicht unbemerkt [REMOVED]  Email beigefuegt,
     dass password lautet: [PASSWORD]
     Bitte keine Fotos und Emails mehr
     mfg
     Kresen
     
   • Warum drohen sie mir hab ich ihnen was getann?
     Ich wusste schon lange das Schwarze nicht erweunscht [REMOVED]  drinne ist eine Kopie
     der Anzeige
     das password fuer die Anzeige lautet: [PASSWORD]
     mfg
     Ublaskar
     
   • Wir werden sehen ich sperre mich ein!
     Sie drohen mir das sie mich aufschlitzen wollen?
     Ich habe sie gestern Angeziegt und stehe unter Polizei schutz!
     Hier die letzte mahnung hab ich der Email beigefuegt!
     das Password lautet: [PASSWORD]
     Werner Blass
     
   • Die nacktfotos die ich von ihnen bekamm leitete ich an das Kriminal Amt weiter!
     Das ist Sexuelle be [REMOVED]  und die Fotos als beweis hab ich der Email beigefuegt
     das password ist : [PASSWORD]
     Emilion Volks
     
   • Hi Schadz ich schreib aus den Inet cafe in Muenchen
     meine neuen Fotos sind fertig und ich vermisse  [REMOVED] et hab ich ein password
     drauf gemacht das password ist mein name also: [PASSWORD]
     Mit liebe Monica
     
   • Hi sexgott ich bin so geil das ich nicht mehr kann
     hier ein paar fotos wie ich grade abgehe!
     das password fuer die fotos ist: [PASSWORD]
     Gruesse Monica
     
   • Warum bin ich so dauergeil immer muss ich mir was in die MuMu reinschieben
     ist das vieleicht ungesund wenn ich dir banane rein tue sie fuelt sich so gut an
     was meinst du?
     Guck dir meine Fotos an und sag bescheid!
     das Password fuer die fotos ist: [PASSWORD]
     geilen gruss
     Tina
     
   • Oh BABY!!!
     Ich bin so geil bitte fick mich
     meine muschi leuft aus ich will dich o bitte bitttte.........
     hofffendlich bist du auch Geil wenn du meine Pics siehst
     habe dir paar neue mitgeschickt
     das password ist: [PASSWORD]
     bye bye
     
   • Ja ich bin deine HERRIN
     aber du darfst trozdem mein Hintern ficken
     ich weiss nicht warum aber das fuelt sich ueber geil an
     mach das baby oder hast du keine lust?
     Guck dir meine fotos an du wirst schon lust bekommen
     das password fuer die pics ist: [PASSWORD]
     cya dein bussi
     
   • Hi honey
     wie findest du eigendlich das das deine Schwester so Rumhurt?
     ich mag sie voll gerne aber [REMOVED] einen Eltern zeigst aber das video schick ich dir
     das password dafuer ist : [PASSWORD]
     Alles liebe
     
   • Warum betruegst du Albert?
     Ich hab mir dir geschlafen und habe alles getann was du wolltest und du
      [REMOVED] chick ich mit der Email
     das password was ich darauf gemacht habe ist: [PASSWORD]
     Fick dich
     Helena
     
   • Hallo Albert
     Ich habe ein paar fotos fuer dich gemacht und wollte sie dir schicken damit du
     mich nicht so vermisst ich bin in 2 wochen wieder da dann werde ich alle deine wuensche erfuellen versprochen!
     Die fotos sind mit der emial
     das password hab ich raufgemacht es lautet: [PASSWORD]
     
   • Willst du WM tickets gewinnen?
     Dann sende uns eine ausgefueltte kopie des Geweinnzettel und wir schicken dir
     2 Tickets fuer das Finalle!
     Der geweinnzettel ist beigefuegt!
     Ihr persoenliches password lautet: [PASSWORD]
     Ihr WM Team
     
   • Sehr geehrte Damen und Herren,
     vor kurzem habe ich eine Ueberweisung von ihrem Bank Konto bekommen  [REMOVED] uenden ein Password darauf gelegt, er lautet [PASSWORD]
     Mit Freundlichen Gruessen
     Manfred Schmidt
     
   • Sehr geehrte Damen und Herren,
     seit Gestern bekomme ich andauernt Geld von Ihnen, ich danke sehr, a [REMOVED] sung gemacht, Kennwort fuer das Archiv lautet [PASSWORD]
     Mit freundlichen Gruessen
     Mattias Botcher
     
   • Sehr geehrte Damen und Herren,
     warum schicken Sie mir ihr Geld? Ich bedanke mich bei ihnen, aber es [REMOVED]  die sie gemacht haben.
     Password dafuer lautet [PASSWORD]
     Mit freundlichen Gruessen
     Gerhard Meyer
     
   • Sehr geehrte Damen und Herren,
     ich bevorzuge ihre friedliche Ansichten, aber wir sind keine Wohltaetigkeitsorganisation, deswegen bitte wir Sie die Geldueberweisungen zu beenden.
     Wir wuerden gerne alles zurueck zahlen was sie an uns bereits abschickten.
     In dem Dateianhang lieg der Log von der Postbank, das Kennwort fur den Archiv lautet [PASSWORD]
     Mit freundlichen Gruessen
     Ingrid Behnke
     
   • Sehr geehrte Damen und Herren,
     ich will Sie darauf aufmerksam machen, das Sie ununterbrochen Geld an uns abschicken.
     Es ist wirklich erfreulich, aber das Geld gehoert uns nicht und wir wuerden gerne alles zurueck zahlen.
     Ein Kopie von der Ueberweisung liegt in dem Anhang, das Kennwort dafuer lautet [PASSWORD]
     Mit freundlichen Gruessen
     Anne Flachman
     
   • Hi,
     thx das du Geld an mich schicks, aber kannste damit auf hoeren?
     Hier eine Kopie des Kontoauszugs von der Postbank in dem Anhang. Password: [PASSWORD]
     mfg Henry
     
   • Hallo,
     sie schicken viel Geld an mir, das mir, nicht mein ist. Ich haben eine Posdbank Account.
     Ich schicken alles an du zurueck, wenn du damit aufhoeren Geld zu schicken. Danke.
     Hier eine Anhang mit der Ueberweisung. Password dafuer lautete [PASSWORD]
     Have a nice day
     John Walthers
     
   • Sehr geehrte Damen und Herren,
     wir laden Sie rechtherzlich zu unseren
     Gewinne WM Tickets
     Aktion. Alles was dafuer zu machen brauchen ist dieses Formular auszufuellen.
     Das eine Euro das Sie uns schicken wird viele Kinder der dritten Welt erfreuen.
     Das Kennwort fuer den Formular lautet [PASSWORD]
     Herzlichen Dank
     Bathe Maune
     
   • Sehr geehrte Damen und Herren,
     Sie haben so eben Weltmeisterschaft Tickes gewonnen! Alles was jetzt noch zu machen ist, das Formular in dem Anhang auszufuellen und Sie sind dabei!
     Verpassen Sie ihre einmalige Chance nicht!
     Anhangspassword: [PASSWORD]
     Mit freundlichen Gruessen
     Lotto-GDI GmbH
     
   • Hi, du hast mich mal bei irgendeinem Online-Dating, ich hab gesagt du bist haesslich und geblockt, Sorry,..
     Du bist nicht haesslich, ich war einfach mies drauf. Ich will es wiedergut machen, lade dich damit zu WM, Tickets habe ich ins Attach gelegt,
     entpacke es und druecks aus. Password fuer den Archiv lautet [PASSWORD]
     mfg Nadine
     
   • Hi man,
     ich hab gesehen, das du zu WM wolltest, frag nicht wer ich bin und warum ich es mache.
     Hier hast du 5 Stueck, das ist eine spezielle Online Version, drueck es aus und unterschreib.
     Password zu dem Archiv lautet [PASSWORD]
     Mfg Niemand
     
   • Sehr geehrte Damen und Herren,
     Sie haben ein Multi-WM-Ticket gewonnen! Mit diesem Ultimativen Ticke [REMOVED] ang lautet [PASSWORD]
     Mit freundlichen Gruessen
     WM
     Free Tickets Organisation (kurz gesch. WMFTO)
     
   • Sehr geehrte Damen und Herren,
     ich habe vor kurzem 7 WM Tickets fuer meine ganze Familie gekauft, a [REMOVED]  Tickets, Password fuer den Archiv lautet [PASSWORD]
     Mit freundlichen Gruessen
     Salim Heraldulkalam
     
   • Sehr geehrte Damen und Herren,
     danke das Sie bei unserer Lotterie mitgemacht haben, und wir wollen sie damit benachrichtigen, dass Sie GEWONNEN HABT!
     Alles was jetzt noch zu machen ist, schnell die Tickets ausfuellen und zu WM gehen!
     Dateianhangspassword: [PASSWORD]
     Mit freundlichen Gruessen
     Lotterie-NOD GmbH

     where the variable [PASSWORD] represents randomly generated passwords.

     Attachment:
     One of the following

   • ihre_akte.zip
   • vorladung.zip
   • anklageschrift.zip
   • anklage.zip
   • Anzeige.zip
   • bescheinigung.zip
   • beweise.zip
   • Anklage-Material.zip
   • IhrEnde.zip
   • Kopien.zip
   • mypics.zip
   • meinbild.zip
   • ichbingeil.zip
   • fickmich.zip
   • meine_moese.zip
   • bild01.zip
   • fotze.zip
   • reklament.zip
   • sexy.zip
   • free_pics.zip
   • free_videos.zip
   • fick_mich.zip
   • geil.zip
   • ich_lauf_aus.zip
   • Rechnung.zip
   • Kontoauszug.zip
   • Abbild-Der-Rechnung.zip
   • Rechnung-Anhang.zip
   • Ueberweisung.zip
   • Postbank-Ueberweisungen.zip
   • Auszahlungen.zip
   • Postbank.zip
   • bank-kontoauszuge.zip
   • Neuer Ordner.zip
   • WM-Tickets.zip
   • WM-Anhang.zip
   • Anhang.zip
   • Desktop.zip
   • Weltmeisterschaft.zip
   • New Folder.zip
   • Tickets.zip
   • archiv.zip
   • Anhang-Tickets.zip
   • ihre_akte.rar
   • vorladung.rar
   • anklageschrift.rar
   • anklage.rar
   • Anzeige.rar
   • bescheinigung.rar
   • beweise.rar
   • Anklage-Material.rar
   • IhrEnde.rar
   • Kopien.rar
   • mypics.rar
   • meinbild.rar
   • ichbingeil.rar
   • fickmich.rar
   • meine_moese.rar
   • bild01.rar
   • fotze.rar
   • reklament.rar
   • sexy.rar
   • free_pics.rar
   • free_videos.rar
   • fick_mich.rar
   • geil.rar
   • ich_lauf_aus.rar
   • Rechnung.rar
   • Kontoauszug.rar
   • Abbild-Der-Rechnung.rar
   • Rechnung-Anhang.rar
   • Ueberweisung.rar
   • Postbank-Ueberweisungen.rar
   • Auszahlungen.rar
   • Postbank.rar
   • bank-kontoauszuge.rar
   • Neuer Ordner.rar
   • WM-Tickets.rar
   • WM-Anhang.rar
   • Anhang.rar
   • Desktop.rar
   • Weltmeisterschaft.rar
   • New Folder.rar
   • Tickets.rar
   • archiv.rar
   • Anhang-Tickets.rar

     Note: The attachment contains the worm with randomly generated passwords.