-
smitfraud-C./smitfraud-C.Keylogger
hallo,
auch ich habe probleme mit mit smitfraud-C. obwohl spybot beide probleme erkennt und angeblich behebt, tauchen sie bei jeder überprüfung ernuet auf.
ich habe auch schon wie hier im forum geraten wurde folgendes programm (://noahdfear.geekstogo.com/click...click.php?id=1) downgeloaded und wie beschrieben im abgesicherten modus ausgeführtht. ohne erfolg
schon mal danke für euer bemühen im voraus
hier das (gekürzte) ergebnis von spybot:
--- Search result list ---
Smitfraud-C.Keylogger: Text-Datei (Datei, nothing done)
C:\WINDOWS\offlog.txt
Smitfraud-C.Keylogger: Einstellungen (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\
Smitfraud-C.Keylogger: Einstellungen (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\AntiVir
Smitfraud-C.Keylogger: Einstellungen (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\icq lite
Smitfraud-C.Keylogger: Einstellungen (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\msconfig
Smitfraud-C.Keylogger: Einstellungen (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\Update Checker
Smitfraud-C.Keylogger: Einstellungen (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\Windows Update
Smitfraud-C.: Einstellungen (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell=...scvhost.exe...
Smitfraud-C.: Einstellungen (Registrierungsdatenbank-Wert, nothing done)
HKEY_USERS\S-1-5-21-1715567821-507921405-839522115-1004\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run=...C:\WINDOWS\scvhost.exe...
Smitfraud-C.: Einstellungen (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\AntiVir
Smitfraud-C.: Einstellungen (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\icq lite
Smitfraud-C.: Einstellungen (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\msconfig
Smitfraud-C.: Einstellungen (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Update Checker
Smitfraud-C.: Einstellungen (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Windows Update
Smitfraud-C.: Einstellungen (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\=...C:\WINDOWS\scvhost.exe...
--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---
--- System information ---
Windows XP (Build: 2600) Service Pack 2
/te für Windows XP (KB931836)
--- Startup entries list ---
Located: HK_LM:Run,
command: C:\WINDOWS\scvhost.exe
file: C:\WINDOWS\scvhost.exe
size: 1007319
MD5: 70ae28f46a9df7db0f14b5d0c24ddb09
usw. usw.
-
Hm, nach smitfraud sieht mir das nicht aus, aber harmlos auch nicht!
Benenne diese Datei C:\WINDOWS\scvhost.exe bitte um und teste sie hier:
http://www.virustotal.com/en/indexf.html
Ein comboscan Report waere auch hilfreich:
http://virus-protect.org/artikel/tools/comboscan.html
-
danke für den tip raman.
würde die datei ja gern umbennen, nur wird die datei nicht gefunden. ich selbst finde sie nicht und auch nicht, wenn ich die suchoption verwende.
habe jetzt erst mal den comboscan durchgeführt und die ergebnisse hier angehängt.
habe die comboscanergebnisse auch im Protecus Securityforum gepostet.
hoffe, das problem bald in den griff zu bekommen...
-
Komisch, laut Spybot muesste die Datei da sein:
Located: HK_LM:Run,
command: C:\WINDOWS\scvhost.exe
file: C:\WINDOWS\scvhost.exe
size: 1007319
Diese Einsatellungen hast du vorgenommen?
http://freenet-homepage.de/rene-gad/invisible.html
Hole dir bitte Hijackthis und hake alle Zeilen an, die "C:\WINDOWS\scvhost.exe" enthalten und druecke dann "fix checked"
Hijackthis bekommst du hierher:
http://cidres-security.de/hijackthis.html
Am besten das ganze "Fixen" im abgesicherten Modus machen: http://www.bsi.bund.de/av/texte/wiederher.htm
Nach einem neustart bitte mit Hijackthis kontrollieren, ob alle Eintraege nun verschwunden sind, die du angehakt hattest.
-
danke!
scheint tatsächlich dank deines letzten tipps mit hijackThis funktioniert zu haben. jedenfalls findet spybot jetzt nix mehr!!
hab mir trotzdem noch mal den bericht durchgelesen und bin dabei auf die datei C:\WINDOWS\system32\svchost.exe gestossen....
sollte mich das weiter beunruhigen?
noch mals danke für deine schnelle hilfe!
hier ein auszug aus dem spybot bericht:
--- Process list ---
PID: 0 ( 0) [System]
PID: 996 ( 4) \SystemRoot\System32\smss.exe
PID: 1044 ( 996) \??\C:\WINDOWS\system32\csrss.exe
PID: 1068 ( 996) \??\C:\WINDOWS\system32\winlogon.exe
PID: 1112 (1068) C:\WINDOWS\system32\services.exe
size: 108544
MD5: EDB6B81761BD60F32F740BBC40AFB676
PID: 1124 (1068) C:\WINDOWS\system32\lsass.exe
size: 13312
MD5: 183805EB05BCA5A1E4AAAED4D2BE3690
PID: 1276 (1112) C:\WINDOWS\system32\svchost.exe
size: 14336
MD5: 65A819B121EB6FDAB4400EA42BDFFE64
PID: 1324 (1112) C:\WINDOWS\system32\svchost.exe
size: 14336
MD5: 65A819B121EB6FDAB4400EA42BDFFE64
PID: 1360 (1112) C:\WINDOWS\System32\svchost.exe
size: 14336
MD5: 65A819B121EB6FDAB4400EA42BDFFE64
PID: 1412 (1112) C:\WINDOWS\System32\svchost.exe
size: 14336
MD5: 65A819B121EB6FDAB4400EA42BDFFE64
PID: 1484 (1112) C:\WINDOWS\System32\svchost.exe
size: 14336
MD5: 65A819B121EB6FDAB4400EA42BDFFE64
PID: 2016 (1112) C:\WINDOWS\system32\spoolsv.exe
size: 57856
-
Nein, die svchost.exe (im Ordner windows\system32) ist eine Systemdatei und das sie so haeufig auftaucht ist in Ordnung.
Posting Permissions
- You may not post new threads
- You may not post replies
- You may not post attachments
- You may not edit your posts
-
Forum Rules