Trojaner und Backdoor angezeigt von Kaspersky (Trial Version)

[NativeRon]

Mir wurden angezeigt:

Trojan.Proxy.Win32.Ranky.bb
Backdoor.Win32.PoeBot.b

Wie kriege ich diese Teile weg ????
Hoffentlich kann mir hier jemand weiterhelfen !????
Und was soll bitteschön, dieses SVPHOST.exe sein ????
Dann wird die selbe Datei(svchost.exe) einmal im System32 mit einem großen Anfangsbuchstaben angezeigt, und einmal mit kleinem Anfangsbuchstaben:

C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe

Ich dachte eigentlich ich hätte beide Service Packs installiert SP1 und SP2. Und dabei zeigt mir HiJackThis ein "ganz normales" Windows XP an !???

HTML-Code:

Logfile of HijackThis v1.99.0
Scan saved at 10:16:12, on 08.02.2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Dokumente und Einstellungen\NativeRon\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.deu.chello.at/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
O4 - HKLM\..\Run: [REGRUN] C:\WINDOWS\system32\lc32.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [WinUpdate] winupd.exe
O4 - HKLM\..\Run: [Windows TM] SVPHOST.exe
O4 - HKLM\..\Run: [Spool] C:\WINDOWS\system32\msvc32.exe
O4 - HKLM\..\Run: [Services] C:\WINDOWS\system32\windns.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [emoc0re] emo.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\RunServices: [WinUpdate] winupd.exe
O4 - HKLM\..\RunServices: [Bcvsrv32] msc32.exe
O4 - HKLM\..\RunServices: [emoc0re] emo.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106648720485
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9B03C5F1-F5AB-47EE-937D-A8EDA626F876} (Anonymizer Anti-Spyware Scanner) - http://download.zonelabs.com/bin/promotions/spywaredetector/WebAAS.cab
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: RPC-Locator - Unknown - C:\WINDOWS\C:\WINDOWS\System32\locator.exe (file missing)

Bin für jede weiterführende Antwort sehr dankbar !!!

[Ruby]

Hallo NativeRon,

Downloade den escan: mwav.exe. Erstelle einen neuen Ordner c:\bases (VORSCHRIFT!) und entpacke(!) die mwav.exe in diesen Ordner. Führe die kavupd.exe aus, um den escan mit den neuesten Viren-Signaturen online zu updaten (!).

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung. Schliesse alle Programme, alle Fenster, alle Browser, bleib offline und starte nun den scan (all files)(!) mit Doppelklick auf die Datei mwavscan.com. Der Scan dauert ungefähr eine Stunde. Boote danach in den normalen Modus. Reaktiviere die Systemwiederherstellung. Suche im Logfile (mwav.log) alles, was vom escan als "virus" bezeichnet worden ist und poste es mittels copy&paste. Poste auch dieses Ergebnis:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:
=>Total Number of Errors:
***** Scanning complete. *****

Wenn dieser Vorgang beendet ist, sind wir noch nicht fertig. Das dauert noch ein Weilchen.....

[Unregistriert]

Hallo,
hab mir mal dein logfile angesehen. was ist mit der Winupd? das hatte ich auch mal drauf, dahinter steckte ein teil, daß meine IE-startseite immer wieder auf "thenewsearch.com" gesetzt hatte, das teil saß in der system32.
nachdem ichs gelöscht habe, war alles wieder im lot.
gruß josch47cgn

[Marc]

winupd ist ein von viren programmierern gerne genutzer dateiname und dahinter können diverse viren/spyware/malware stecken