Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Smitfraud C, virtumonde, virtumonde generic

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 08.01.2009, 18:34   #1
LostSoul
 
Smitfraud C, virtumonde, virtumonde generic - Standard

Smitfraud C, virtumonde, virtumonde generic



Hallo Leute.
Hab gerade probleme mit dem Smitfraud c bekommen der hat mir gleich ein paar seiten zum runterladen von antivieren programmen aufgemacht.

Naja ich hab schon mal HijackThis laufen lassen und ein paar sachen gefixt sowie spybot und dann noch mal spybot beim rebooten

Mit dem Ergebnis
das ich 4 einträge von Virtumonde 3 von virtumonde generic und 1 smitfraud c habe
Diese hab ich mit spybot beseitigt jedenfalls hab ich spybot mitbooten lassen und diese wieder auftretenden trojander gefixt
aber sie sind immer noch da
zumindest virtumonde und virtumonde generic treten immer wieder auf

Was kann ich noch machen?

Hier ist mal das logfile von hijack this

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:25:32, on 08.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PccGuide.exe
C:\WINDOWS\Dit.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Razer\razertra.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programme\Razer\razerhid.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Creative\Sync Manager Unicode\CTSyncU.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Messenger\msmsgs.exe
D:\machismo\games\steam\steam.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Skype\Plugin Manager\SkypePM.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security 2005\pccguide.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [razertra] C:\Programme\Razer\razertra.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [ATICustomerCare] "C:\Programme\ATI\ATICustomerCare\ATICustomerCare.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA2208] command /c del "C:\Programme\Everest Poker\gvmain.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC4979] cmd /c del "C:\Programme\Everest Poker\gvmain.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Programme\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
O4 - HKCU\..\Run: [Steam] "d:\machismo\games\steam\steam.exe" -silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB8159] command /c del "C:\Programme\Everest Poker\gvcrt.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingD6014] cmd /c del "C:\Programme\Everest Poker\gvcrt.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingB6294] command /c del "C:\Programme\Everest Poker\gvmain.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD7607] cmd /c del "C:\Programme\Everest Poker\gvmain.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: hamachi.lnk = C:\Programme\Hamachi\hamachi.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: erajhsf8743kjrngjnf - {D5BF4552-94F1-42BD-F434-3604812C807D} - C:\WINDOWS\system32\rakmdlkd83indfgnbu.dll
O23 - Service: Adobe Version Cue CS3 {de_DE} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe

--
End of file - 10346 bytes

zur zeit lasse ich gerade malewarebyte laufen das poste ich dann auch gleich

MFG LOSTI

Geändert von LostSoul (08.01.2009 um 18:55 Uhr)

Alt 08.01.2009, 20:22   #2
LostSoul
 
Smitfraud C, virtumonde, virtumonde generic - Standard

Smitfraud C, virtumonde, virtumonde generic



Hier ist mein malewerbytelog

Malwarebytes' Anti-Malware 1.32
Datenbank Version: 1632
Windows 5.1.2600 Service Pack 2

08.01.2009 20:22:26
mbam-log-2009-01-08 (20-22-15).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 319799
Laufzeit: 1 hour(s), 19 minute(s), 21 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 2
Infizierte Registrierungsschlüssel: 13
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 19

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\ssqOIYOh.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\nnnkhfCs.dll (Trojan.Vundo) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{69aaddf6-8d1d-4e60-b18a-82da24954940} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{69aaddf6-8d1d-4e60-b18a-82da24954940} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{d5bf4552-94f1-42bd-f434-3604812c807d} (Trojan.Zlob.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nnnkhfcs (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{69aaddf6-8d1d-4e60-b18a-82da24954940} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\xpreapp (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{d5bf4552-94f1-42bd-f434-3604812c807d} (Trojan.Zlob.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\ssqoiyoh -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\ssqoiyoh -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\ssqOIYOh.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\hOYIOqss.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\hOYIOqss.ini2 (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\rakmdlkd83indfgnbu.dll (Trojan.Zlob.H) -> No action taken.
C:\WINDOWS\system32\nnnkhfCs.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\efcBsPJB.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\hgGwXNfe.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\prunnet.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\yayyYSif.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\drivers\seneka.sys (Trojan.TDSS) -> No action taken.
C:\WINDOWS\system32\drivers\senekanbgkndpu.sys (Trojan.TDSS) -> No action taken.
C:\WINDOWS\kernel32.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\senekaejgwkxwy.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\senekafhxehtkl.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\senekadf.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\seneka.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\senekalog.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\vtUoOffg.dll (Trojan.vundo) -> No action taken.
C:\WINDOWS\system32\drivers\TDSSpqxt.sys (Rootkit.Agent) -> No action taken.
__________________


Alt 08.01.2009, 21:30   #3
trojan-death
 
Smitfraud C, virtumonde, virtumonde generic - Standard

Smitfraud C, virtumonde, virtumonde generic



Hi LostSoul und

Leider hast du keine andere Wahl als Neuaufzusetzen...
Du bist durch nen zimlich miesen Rootkit infiziert
Zitat:
C:\WINDOWS\system32\drivers\TDSSpqxt.sys (Rootkit.Agent) -> No action taken.
__________________
__________________

Alt 08.01.2009, 21:59   #4
LostSoul
 
Smitfraud C, virtumonde, virtumonde generic - Standard

Smitfraud C, virtumonde, virtumonde generic



aha ok
was macht der oder das rootik?
und das kriegt man überhaupt nicht runter?
MFG LOsti

Ich hab das hierzu gefunden im Netz
How to Remove TDSSpqxt.sys

1. To enable deleting the TDSSpqxt.sys file, terminate the associated process in the Task Manager as follows:
* Right-click in the Windows taskbar (a bar that appears along the bottom of the Windows screen) and select Task Manager on the menu.
* In the Tasks Manager window, click the Processes tab.
* On the Processes tab, select TDSSpqxt.sys and click End Process.
2. Using your file explorer, browse to the file using the paths listed in Location of TDSSpqxt.sys and Associated Malware.
3. Select the file and press SHIFT+Delete on the keyboard.
4. Click Yes in the confirm deletion dialog box.
5. Repeat steps 2-4 for each location listed in Location of TDSSpqxt.sys and Associated Malware.

Geändert von LostSoul (08.01.2009 um 22:07 Uhr)

Alt 08.01.2009, 22:08   #5
trojan-death
 
Smitfraud C, virtumonde, virtumonde generic - Standard

Smitfraud C, virtumonde, virtumonde generic



Lies mal folgendes zum Rootkit .-->Wikipedia
Weiter haben wir's mal versucht so ein Ding weg zu kriegen weil ein TO unbedingt nicht Neuaufsetzen wollte... Schlussendlich haben wirs zu zweit nicht geschafft und keine Chance gehabt die Kiste wieder i.O. zu bringen...
Er wurde über Ukrainische Server geleitet usw...
Du MUSST unbedingt Neuaufsetzen

__________________
Kein Support per PN

Zitat:
"If it ain't broke, don't fix it"
"Never change a running System"

Alt 08.01.2009, 22:11   #6
trojan-death
 
Smitfraud C, virtumonde, virtumonde generic - Standard

Smitfraud C, virtumonde, virtumonde generic



Zitat:
Zitat von LostSoul Beitrag anzeigen
Ich hab das hierzu gefunden im Netz
How to Remove TDSSpqxt.sys

1. To enable deleting the TDSSpqxt.sys file, terminate the associated process in the Task Manager as follows:
* Right-click in the Windows taskbar (a bar that appears along the bottom of the Windows screen) and select Task Manager on the menu.
* In the Tasks Manager window, click the Processes tab.
* On the Processes tab, select TDSSpqxt.sys and click End Process.
2. Using your file explorer, browse to the file using the paths listed in Location of TDSSpqxt.sys and Associated Malware.
3. Select the file and press SHIFT+Delete on the keyboard.
4. Click Yes in the confirm deletion dialog box.
5. Repeat steps 2-4 for each location listed in Location of TDSSpqxt.sys and Associated Malware.
Das kannst du gerne versuchen... Aber auf Eigenverantwortung... Das wird nie funktionieren... die .sys Dateien kriegst du nicht gelöscht.. schon gar nicht mit SHIFT+Delete...
__________________
--> Smitfraud C, virtumonde, virtumonde generic

Alt 08.01.2009, 22:17   #7
LostSoul
 
Smitfraud C, virtumonde, virtumonde generic - Standard

Smitfraud C, virtumonde, virtumonde generic



Ok danke
Naja wurde eh wieder mal Zeit
aber is eben mühsam
Ähm eine Frage noch kann es sein das ich bei den Files die ich Saven will den drinnen hab? und wenn ja wie such ich nach genau dem
denn dann hätt ja das aufsezten keinen sinn
Danke
MFG LOSTI

Alt 08.01.2009, 22:19   #8
trojan-death
 
Smitfraud C, virtumonde, virtumonde generic - Standard

Smitfraud C, virtumonde, virtumonde generic



Kommt drauf an was für Dateien...
Word, Excel, PP Fotos usw. sind eigentlich kein Problem
Ansonsten kannst sie ja vorher auch noch scanne lassen
__________________
Kein Support per PN

Zitat:
"If it ain't broke, don't fix it"
"Never change a running System"

Alt 08.01.2009, 22:32   #9
LostSoul
 
Smitfraud C, virtumonde, virtumonde generic - Standard

Smitfraud C, virtumonde, virtumonde generic



Naja also alle Daten die ich wieder draufspiele sind zur Zeit am Rechner
Aber die Rootik könnte ja theoretisch in jedem auszuführenden Programm versteckt sein oder?
Mit welchem Programm scanne ich nach dieser Rootik?
Mfg Losti

Alt 08.01.2009, 22:34   #10
trojan-death
 
Smitfraud C, virtumonde, virtumonde generic - Standard

Smitfraud C, virtumonde, virtumonde generic



Naja... Programm würde ich nicht unbedingt jedes sichern...
Nimm deinen Rechner vom Netz während dem du sicherst und scanne z.B. mit Malwarebytes oder Avira
__________________
Kein Support per PN

Zitat:
"If it ain't broke, don't fix it"
"Never change a running System"

Alt 09.01.2009, 12:41   #11
LostSoul
 
Smitfraud C, virtumonde, virtumonde generic - Standard

Smitfraud C, virtumonde, virtumonde generic



So PC ist neu aufgesezt

Service pack 3 ist oben und antivir

hab Malwarebytes laufen lassen
der hat nix gefunden

Hier ist noch mein Hijack this LOG
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:39:40, on 09.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

--
End of file - 2841 bytes

Sollte passen oder?



Aja und da hätt ich noch eine Frage
Da ich öffters Lan spiele zogge muss ich immer meine Firewall deaktivieren

Gibt es da irgendeine Sicherere Methode?
Wenn ich sie nicht deaktiviere finde ich die Server nicht

MFG LOSTI

Alt 09.01.2009, 17:10   #12
trojan-death
 
Smitfraud C, virtumonde, virtumonde generic - Standard

Smitfraud C, virtumonde, virtumonde generic



Zitat:
Zitat von LostSoul Beitrag anzeigen
Sollte passen oder?
Sieht gut aus


Zitat:
Zitat von LostSoul Beitrag anzeigen
Aja und da hätt ich noch eine Frage
Da ich öffters Lan spiele zogge muss ich immer meine Firewall deaktivieren

Gibt es da irgendeine Sicherere Methode?
Wenn ich sie nicht deaktiviere finde ich die Server nicht
Ehrlich gesagt, ich zocke nicht so oft und wenn dan über Hamachi mit Freunden... Glaube aber nicht das du da besondere Vorkehrungen treffen kannst...
Mach einfach immer wieder mal nen Komplett Scan deines Systems und lässt ab und zu CCleaner laufen (dauert ja nur 1-2min höchstens)
FireWall würde ich einfach wieder einschalten sobald du nicht mehr zockkst.

Weiter solltest du einfach Vorsichtig sein was du downloadest

grüsse trojan-death
__________________
Kein Support per PN

Zitat:
"If it ain't broke, don't fix it"
"Never change a running System"

Antwort

Themen zu Smitfraud C, virtumonde, virtumonde generic
adobe, bonjour, browser, central, computer, cs3, excel, explorer, firefox, firewall, fraud, generic, hijack, hijackthis, hkus\s-1-5-18, immer wieder, internet, internet explorer, internet security, konvertieren, logfile, mozilla, pdf-datei, plug-in, security, seiten, server, smitfraud, software, system, virtumonde, windows, windows xp



Ähnliche Themen: Smitfraud C, virtumonde, virtumonde generic


  1. Virtumonde und Smitfraud-c
    Plagegeister aller Art und deren Bekämpfung - 27.10.2009 (6)
  2. VIRTUMONDE und SMITFRAUD ENTFERNEN
    Log-Analyse und Auswertung - 02.02.2009 (8)
  3. Virtumonde/Virtumonde.prx nicht entfernbar !!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2009 (29)
  4. Virtumonde und Co...?
    Log-Analyse und Auswertung - 07.01.2009 (2)
  5. Virtumonde
    Plagegeister aller Art und deren Bekämpfung - 06.01.2009 (6)
  6. Virtumonde und smitfraud.c kombinieren sich miteinander
    Plagegeister aller Art und deren Bekämpfung - 29.12.2008 (0)
  7. Virtumonde, Virtumonde.generic und Smitfraud-C. lassen sich nicht entfernen
    Log-Analyse und Auswertung - 22.12.2008 (1)
  8. Infiziert mit Virtumonde generic,Virtumonde ,Smitfraud-C und virtumonde.prx
    Plagegeister aller Art und deren Bekämpfung - 17.12.2008 (0)
  9. Spybot meldet Smitfraud-C. Virtumonde & Virtumonde.generic Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 15.12.2008 (1)
  10. smitfraud & virtumonde
    Log-Analyse und Auswertung - 03.12.2008 (1)
  11. Smitfraud-C. & Virtumonde & Virtumonde.generic
    Log-Analyse und Auswertung - 01.12.2008 (7)
  12. Smitfraud-C./Virtumonde/Virtumonde.prx
    Plagegeister aller Art und deren Bekämpfung - 25.11.2008 (22)
  13. Virtumonde
    Mülltonne - 30.09.2008 (0)
  14. virtumonde, smitfraud und "windows security alert"
    Plagegeister aller Art und deren Bekämpfung - 15.09.2008 (8)
  15. zlob/virtumonde/win32.fraudload/smitfraud-c.generic
    Plagegeister aller Art und deren Bekämpfung - 13.09.2008 (1)
  16. zlob/virtumonde/win32.fraudload/smitfraud-c.generic
    Log-Analyse und Auswertung - 13.09.2008 (1)
  17. Virtumonde
    Log-Analyse und Auswertung - 25.06.2008 (10)

Zum Thema Smitfraud C, virtumonde, virtumonde generic - Hallo Leute. Hab gerade probleme mit dem Smitfraud c bekommen der hat mir gleich ein paar seiten zum runterladen von antivieren programmen aufgemacht. Naja ich hab schon mal HijackThis laufen - Smitfraud C, virtumonde, virtumonde generic...
Archiv
Du betrachtest: Smitfraud C, virtumonde, virtumonde generic auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.