Hallo Leute!

Hier kommt mein E-scan! - Was mach ich nun damit?? Danke!

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\system32\309635.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\475714.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\309635.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\475714.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Max Muster\Eigene Dateien\Nachhilfe\AdbeRdr705_enu_full.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Max Muster\Anwendungsdaten\Adobe\Acrobat\7.0\Updater\AdbeRdr705_enu_full.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\system32\poxrprof.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\poxrprof.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\poxrprof.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Max Muster\Eigene Dateien\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Max Muster\Eigene Dateien\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Programme\SpyLocked 4.0\SpyLocked 4.0.exe//Armadillo markiert als "not-a-virus:FraudTool.Win32.SpyLocked.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\Max Muster\Eigene Dateien\smitfraudfix\process.exe
Offending file found: C:\Dokumente und Einstellungen\Max Muster\Eigene Dateien\smitfraudfix\reboot.exe
Offending file found: C:\Dokumente und Einstellungen\Max Muster\Eigene Dateien\smitfraudfix\swreg.exe
Offending file found: C:\Dokumente und Einstellungen\Max Muster\Eigene Dateien\smitfraudfix\swsc.exe
Offending file found: C:\WINDOWS\system32\unrar.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cyberlink\powerdvd\ipower\images\hd
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\best search engine!!! !!!
Offending Key found: HKLM\System\CurrentControlSet\Services\iprip !!!
Offending Key found: HKLM\System\ControlSet001\Services\iprip !!!
Offending Key found: HKLM\System\ControlSet004\Services\iprip !!!
Offending Key found: HKLM\System\ControlSet005\Services\iprip !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 83391
Gefundene Viren: 23
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 120
Dauer des Scans bisher: 01:16:42
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 14:40:13,50
Batchende: 14:40:59,51

Du hast Spy Locked aufm Rechner? Freiwillig?

Die beiden bitte nochmal bei virustotal hochladen:
C:\WINDOWS\system32\309635.exe C:\WINDOWS\system32\475714.exe

Was die scnvt.exe (oÄ) angeht: Es kann natürlich sein, dass die Datei bereits durch SmitFraud oÄ gelöscht worden ist.
Erstelle daher vielleicht nochmal ein neues HJT-Log und stelle das hier rein (bitte Links modifizieren: http -> h**p)

Hallo Myrtille!

Zuerst die HJT Log-Files:
Diese svcnvt.exe scheint zwar noch immer auf soweit ich das richtig erkenne, aber sie kann z.B auch vom Virustotal nicht gefunden werden. Habs auch dann am Rechner selbst mit "suchen" versucht - nicht auffindbar.

Die beiden anderen (309635..) die ich durchs Virustotal jagen sollte sind zwar vorhanden, aber leer. Ich denke am Besten lösch ich die einfach...?

Hab dann noch die spylocked mit Virustotal anschauen lassen (Ergebnis unten). Hab das Programm übrigens unfreiwillig oben.

Was nun??? Ich denke ich sollte mal spylocked und vor allem die poxrprof.dll loswerden, oder? Und wie mach ich das ohne Rückstände zu hinterlassen.

Übrigens abgesehen davon, dass das Ganze (vor allem die stark reduzierte downloadGeschwindigkeit) einigermaßen nervt, lerne ich gleichzeitig doch ein wenig dazu. Danke Myrtille!

Logfile of HijackThis v1.99.1
Scan saved at 10:28:39, on 2.6.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://www.yahoo.com/
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: (no name) - {740FB5D9-1B51-4133-9478-1192F28AEFA3} - C:\WINDOWS\system32\poxrprof.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Fast Home] C:\WINDOWS\system32\svcnvt.exe home
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdS0_0_0
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h++p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136548014560
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe



STATUS: FINISHED
Complete scanning result of "SpyLocked_4.0.exe", received in VirusTotal at 06.02.2007, 10:16:48 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.5.31.2 06.01.2007 no virus found
AntiVir 7.4.0.29 06.01.2007 no virus found
Authentium 4.93.8 05.23.2007 no virus found
Avast 4.7.997.0 06.01.2007 no virus found
AVG 7.5.0.467 06.01.2007 Potentially harmful program Fake_AntiSpyware.AB
BitDefender 7.2 06.02.2007 Adware.SpyLocked.C
CAT-QuickHeal 9.00 06.01.2007 FraudTool.SpyLocked.b (Not a Virus)
ClamAV devel-20070416 06.02.2007 no virus found
DrWeb 4.33 06.02.2007 no virus found
eSafe 7.0.15.0 05.31.2007 no virus found
eTrust-Vet 30.7.3684 06.02.2007 no virus found
Ewido 4.0 06.01.2007 Adware.SpyLocked
FileAdvisor 1 06.02.2007 No threat detected
Fortinet 2.85.0.0 06.02.2007 W32/SpyLocked
F-Prot 4.3.2.48 06.01.2007 no virus found
Ikarus T3.1.1.8 06.02.2007 not-a-virus:.FraudTool.Win32.SpyLocked.b
Kaspersky 4.0.2.24 06.02.2007 not-a-virus:FraudTool.Win32.SpyLocked.b
McAfee 5044 06.01.2007 potentially unwanted program SpyLocked
Microsoft 1.2503 06.02.2007 Program:Win32/SpyLocked (threat-c)
NOD32v2 2305 06.01.2007 Win32/Adware.SpyLocked
Norman 5.80.02 06.01.2007 no virus found
Panda 9.0.0.4 06.01.2007 Adware/Spylocked
Prevx1 V2 06.02.2007 SpywareQuake
Sophos 4.18.0 06.01.2007 no virus found
Sunbelt 2.2.907.0 05.30.2007 VirusBurst
Symantec 10 06.02.2007 SpyLocked
TheHacker 6.1.6.128 05.31.2007 no virus found
VBA32 3.12.0 06.01.2007 Application.Win32.Adware.SpyLocked
VirusBuster 4.3.23:9 06.01.2007 no virus found
Webwasher-Gateway 6.0.1 06.02.2007 Riskware.FakeScan.AB
Aditional Information
File size: 2580480 bytes
MD5: 664fd5742430f8bfb4482cfbbb807d71
SHA1: cbee7de3d5914d69611166035909612f10646f38
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=664fd5742430f8bfb4482cfbbb807d71
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=d7a897320902

Hi,
die "leeren" Dateien sind sicherlich nicht leer, sondern werden geschützt, sodass man sie nicht hochladen kann.
Ich möchte die Datein ungern löschen, ohne zu wissen, dass sie böse sind.
Hijackthis listet Einträge im Autostart und ähnliche Einträge. Ein Eintrag im HJT-Log heißt deswegen noch lange nicht, dass die Datei ebenfalls existiert.

Ich würde jetzt erstmal SpyLocked deinstallieren. (Über Systemsteuerung->Software, sofern es dort gelistet.) Dann lade dir killbox und lösche dort mittels "Delete on reboot" den SpyLocked-Ordner, die ppoxrprof.dll, sowie die "1235341".exe-Dateien. Wenn du ganz sicher gehen willst, kannst du auch nochmal versuchen die svcvnt.exe zu löschen, aber die wird vermutlich auch von Killbox nicht gefunden.
Die Dateien befinden sich dann im Ordner C:/!killbox, diesen dann bitte auch löschen.
Dann fixe noch die Einträge im Hijackthis:

Zitat:

O4 - HKLM\..\Run: [Fast Home] C:\WINDOWS\system32\svcnvt.exe home
O2 - BHO: (no name) - {740FB5D9-1B51-4133-9478-1192F28AEFA3} - C:\WINDOWS\system32\poxrprof.dll

Erstelle dann ein neues HJT-Log und eScan-Log. Aber das sollte es hoffentlich gewesen sein.

Ich würde dir außerdem empfehlen einen alternativen Browser zu benutzen. Da die meisten Menschen IE benutzen, gibt es auch hauptsächlich Malware für Schachstelen im IE.