Virtumonde , Svchost , Generic Host 32 Probleme

[Ratchet361]

Hallo , ich habe seit gestern die oben gennanten probleme .. ich habe mir spybot search and destroy versucht aber es hilft nicht er findet den virus , dann löschen und bei jedem neustart ist er wieder da .
und ich habe haufenweise probleme mit Generic Host 32 und svchost .
Bitte helft mir ! hab auch Avira Antivir bringt irgendwie auch nix !!

 

[Boogeyman]

Suchen mit Suchmaschine ist schön
Wie entfernt man den Trojan.Vundo.B

 

[Ratchet361]

ja habe ich gemacht bloß er findet angeblich keine indifizierten Daten

 

[Boogeyman]

Erstelle mal ein Hijackthis Logfile und poste es hier:

HijackThis

 

[Ratchet361]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:26:54, on 23.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Dokumente und Einstellungen\GT SUPER POWER\ikm.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\TuneUp Utilities 2008\OneClick.exe
C:\Programme\TuneUp Utilities 2008\RegistryCleaner.exe
C:\WINDOWS\System32\TuneUpDefragService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fullmobile.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Dokumente und Einstellungen\GT SUPER POWER\ikm.exe \s
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {94DDCBD9-5016-467E-9A18-9FFC6AA50B3D} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: (no name) - {C76E74C6-FE3B-4B4F-95B1-8463DB3285AA} - C:\WINDOWS\system32\xxyvTlKD.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [6cc327f7] rundll32.exe "C:\WINDOWS\system32\thpwqlww.dll",b
O4 - HKLM\..\Run: [BM6ff0146b] Rundll32.exe "C:\WINDOWS\system32\cataulpm.dll",s
O4 - HKLM\..\RunOnce: [SpybotDeletingA7362] command /c del "C:\WINDOWS\system32\cataulpm.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC6791] cmd /c del "C:\WINDOWS\system32\cataulpm.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA4895] command /c del "C:\WINDOWS\system32\ijlxbgew.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC9075] cmd /c del "C:\WINDOWS\system32\ijlxbgew.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA6836] command /c del "C:\WINDOWS\system32\thpwqlww.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC5997] cmd /c del "C:\WINDOWS\system32\thpwqlww.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA5605] command /c del "C:\WINDOWS\system32\xxyvTlKD.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC3585] cmd /c del "C:\WINDOWS\system32\xxyvTlKD.dll_old"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [SpybotDeletingB8275] command /c del "C:\WINDOWS\system32\cataulpm.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD7883] cmd /c del "C:\WINDOWS\system32\cataulpm.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB4316] command /c del "C:\WINDOWS\system32\ijlxbgew.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD762] cmd /c del "C:\WINDOWS\system32\ijlxbgew.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB1540] command /c del "C:\WINDOWS\system32\thpwqlww.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD5407] cmd /c del "C:\WINDOWS\system32\thpwqlww.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB3296] command /c del "C:\WINDOWS\system32\xxyvTlKD.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD3575] cmd /c del "C:\WINDOWS\system32\xxyvTlKD.dll_old"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/win...ls/en/x86/client/wuweb_site.cab?1208374953265
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 5976 bytes

ok ich habe es editiert

 

[Boogeyman]

Der obere Teil vom Logfile fehlt

Welche Methode hast verwendet?
http://www.hijackthis-forum.de/showpost.php?p=57500&postcount=34

Außerdem wäre eine genaue Meldung über die Malware deines Scanners wichtig.

 

[Ratchet361]

ich habe methode 2 , 4 ,6 versucht ... ohne erfolg

 

[Boogeyman]

Methode 3 dürfte am leichtesten sein, wenn das nicht hilft, ist es andere Malware.
Das ganze natürlich im abgesicherten Modus!

 

[Ratchet361]

hab ich auch gerade gemacht ... kein Virtumonde gefunden ..hmm aber spybot search and destroy zeigt mir an das ich noch so ein verfolgenden Cookie namens Tradedoubler habe ..

 

[Boogeyman]

Ein Cookie ist nun wirklich nicht sonderlich gefährlich
Ich empfehle noch ein paar Online Scans mit diversen Scannern.
Trend Micro, F-secure, NOD32, Bitdefender

[HowTo] Malware / Spyware entfernen

Online Virenscanner