smitfraud-C./smitfraud-C.Keylogger

[amador]

hallo,

auch ich habe probleme mit mit smitfraud-C. obwohl spybot beide probleme erkennt und angeblich behebt, tauchen sie bei jeder überprüfung ernuet auf.

ich habe auch schon wie hier im forum geraten wurde folgendes programm (://noahdfear.geekstogo.com/click...click.php?id=1) downgeloaded und wie beschrieben im abgesicherten modus ausgeführtht. ohne erfolg

schon mal danke für euer bemühen im voraus

hier das (gekürzte) ergebnis von spybot:

--- Search result list ---
Smitfraud-C.Keylogger: Text-Datei (Datei, nothing done)
C:\WINDOWS\offlog.txt

Smitfraud-C.Keylogger: Einstellungen (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\

Smitfraud-C.Keylogger: Einstellungen (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\AntiVir

Smitfraud-C.Keylogger: Einstellungen (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\icq lite

Smitfraud-C.Keylogger: Einstellungen (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\msconfig

Smitfraud-C.Keylogger: Einstellungen (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\Update Checker

Smitfraud-C.Keylogger: Einstellungen (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\Windows Update

Smitfraud-C.: Einstellungen (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell=...scvhost.exe...

Smitfraud-C.: Einstellungen (Registrierungsdatenbank-Wert, nothing done)
HKEY_USERS\S-1-5-21-1715567821-507921405-839522115-1004\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run=...C:\WINDOWS\scvhost.exe...

Smitfraud-C.: Einstellungen (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\AntiVir

Smitfraud-C.: Einstellungen (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\icq lite

Smitfraud-C.: Einstellungen (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\msconfig

Smitfraud-C.: Einstellungen (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Update Checker

Smitfraud-C.: Einstellungen (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Windows Update

Smitfraud-C.: Einstellungen (Registrierungsdatenbank-Wert, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\=...C:\WINDOWS\scvhost.exe...


--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

--- System information ---
Windows XP (Build: 2600) Service Pack 2
/te für Windows XP (KB931836)


--- Startup entries list ---
Located: HK_LM:Run,
command: C:\WINDOWS\scvhost.exe
file: C:\WINDOWS\scvhost.exe
size: 1007319
MD5: 70ae28f46a9df7db0f14b5d0c24ddb09

usw. usw.

[raman]

Hm, nach smitfraud sieht mir das nicht aus, aber harmlos auch nicht!
Benenne diese Datei C:\WINDOWS\scvhost.exe bitte um und teste sie hier:

http://www.virustotal.com/en/indexf.html

Ein comboscan Report waere auch hilfreich:
http://virus-protect.org/artikel/tools/comboscan.html

[amador]

danke für den tip raman.

würde die datei ja gern umbennen, nur wird die datei nicht gefunden. ich selbst finde sie nicht und auch nicht, wenn ich die suchoption verwende.

habe jetzt erst mal den comboscan durchgeführt und die ergebnisse hier angehängt.

habe die comboscanergebnisse auch im Protecus Securityforum gepostet.

hoffe, das problem bald in den griff zu bekommen...

[raman]

Komisch, laut Spybot muesste die Datei da sein:

Located: HK_LM:Run,
command: C:\WINDOWS\scvhost.exe
file: C:\WINDOWS\scvhost.exe
size: 1007319

Diese Einsatellungen hast du vorgenommen?
http://freenet-homepage.de/rene-gad/invisible.html

Hole dir bitte Hijackthis und hake alle Zeilen an, die "C:\WINDOWS\scvhost.exe" enthalten und druecke dann "fix checked"

Hijackthis bekommst du hierher:
http://cidres-security.de/hijackthis.html

Am besten das ganze "Fixen" im abgesicherten Modus machen: http://www.bsi.bund.de/av/texte/wiederher.htm

Nach einem neustart bitte mit Hijackthis kontrollieren, ob alle Eintraege nun verschwunden sind, die du angehakt hattest.

[amador]

danke!

scheint tatsächlich dank deines letzten tipps mit hijackThis funktioniert zu haben. jedenfalls findet spybot jetzt nix mehr!!

hab mir trotzdem noch mal den bericht durchgelesen und bin dabei auf die datei C:\WINDOWS\system32\svchost.exe gestossen....

sollte mich das weiter beunruhigen?

noch mals danke für deine schnelle hilfe!


hier ein auszug aus dem spybot bericht:
--- Process list ---
PID: 0 ( 0) [System]
PID: 996 ( 4) \SystemRoot\System32\smss.exe
PID: 1044 ( 996) \??\C:\WINDOWS\system32\csrss.exe
PID: 1068 ( 996) \??\C:\WINDOWS\system32\winlogon.exe
PID: 1112 (1068) C:\WINDOWS\system32\services.exe
size: 108544
MD5: EDB6B81761BD60F32F740BBC40AFB676
PID: 1124 (1068) C:\WINDOWS\system32\lsass.exe
size: 13312
MD5: 183805EB05BCA5A1E4AAAED4D2BE3690
PID: 1276 (1112) C:\WINDOWS\system32\svchost.exe
size: 14336
MD5: 65A819B121EB6FDAB4400EA42BDFFE64
PID: 1324 (1112) C:\WINDOWS\system32\svchost.exe
size: 14336
MD5: 65A819B121EB6FDAB4400EA42BDFFE64
PID: 1360 (1112) C:\WINDOWS\System32\svchost.exe
size: 14336
MD5: 65A819B121EB6FDAB4400EA42BDFFE64
PID: 1412 (1112) C:\WINDOWS\System32\svchost.exe
size: 14336
MD5: 65A819B121EB6FDAB4400EA42BDFFE64
PID: 1484 (1112) C:\WINDOWS\System32\svchost.exe
size: 14336
MD5: 65A819B121EB6FDAB4400EA42BDFFE64
PID: 2016 (1112) C:\WINDOWS\system32\spoolsv.exe
size: 57856

[raman]

Nein, die svchost.exe (im Ordner windows\system32) ist eine Systemdatei und das sie so haeufig auftaucht ist in Ordnung.