Smitfraud-C. - Fehlalarm?

[Christopher]

Hallo,

ich bitte in Zusammenhang mit folgendem Problem um Unterstützung:

Spybot - Search and Destroy 1.4. (mit letztem Update vom 1. Dezemer 2006) meldete mir heute überraschend folgenden Fund:

Smitfraud-C.: Einstellungen (Registrierungsdatenbank-Wert, nothing done) HKEY_USERS\S-1-5-21-239712180-516276246-1282138258-1006\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache\*\scvhost.exe

Ich habe den Eintrag gefixt, und bei zwei weiteren Überprüfungen mit Spybot ist er nicht mehr erschienen.

Kann ich vertrauen, dass das Problem damit behoben ist?
Oder hat es sich vielleicht überhaupt nur um einen Fehlalarm gehandelt? (Kurz vor der Verwendung von Spybot hatte ich mit Antivir gescannt: kein Fund.)

Mein Betriebssystem: Windows XP Home (mit SP 2)

Danke im Voraus für Informationen.

 

[raman]

Ich kann dir so nicht sagen, ob das ein Fehlalarm ist, aber dieser Eintrag ist in der Reg. Unnoetig. Irgendwann musst du auf deinem Rechner eine scvhost.exe auf deinem Rechner gehabt haben. Und der Dateiname deutet zu 99.5% auf Malware hin.

Laut deines Hijackthis logs im Antivir Forum ist dein Rechner sauber. Du kannst testweise Antivir mal so einstellen: http://board.protecus.de/t23979.htm

 

[Christopher]

Hallo Ralf,

zunächst einmal vielen Dank für deine Antwort und vor allem auch für die Begutachtung meines Hijackthis-Logfiles. Gut zu hören, dass es sauber ist.

Zu deiner Anmerkung:

Irgendwann musst du auf deinem Rechner eine scvhost.exe auf deinem Rechner gehabt haben.

Verstehe ich dich richtig, dass es deiner Meinung nach auf meinem Computer (mindestens) zwei davon gegeben haben muss? Nämlich die aktuelle, die Spybot gestern entdeckt und (hoffentlich) entfernt hat, und auch noch eine ältere (die möglicherweise schon früher entfernt wurde)?
Soweit ich das jetzt noch rekonstruieren kann, ist mir bisher auf meinem Rechner noch nie eine scvhost.exe (bewusst) untergekommen (abgesehen eben vom gestrigen Fund).

Eine erfreuliche Nachricht gibt es jedenfalls: Ich habe AntiVir nach deinen Vorgaben im Link konfiguriert (also die von dir so genannten aggressiven Einstellungen gewählt ) und damit im abgesicherten Modus gescannt. Es gab keine Funde. :bigthumb:

Meinst du, dass man jetzt schon Entwarnung geben kann, was den Zustand meines Rechners betrifft??

PS:
Soll ich die modifizierten Einstellungen von AntiVir auch für künftige Scans beibehalten oder wieder zu den Standardeinstellungen zurückkehren?

 

[raman]

Verstehe ich dich richtig, dass es deiner Meinung nach auf meinem Computer (mindestens) zwei davon gegeben haben muss?

Nein, ich denke, das es bei dir mal eine scvhost.exe auf deinem Rechner gab und das so eine Datei auf keinem Rechner etwas zu suchen hat.

Du musst halt schauen, ob es diese Datei noch irgendwo gibt. Ich denke aber das das nicht der Fall sein wird.....

Die Antivir Einstellungen kannst du so lassen, nur musst du halt genauer darauf achten, was genau dir Antivir meldet und es sich bei "Heur/" Meldungen um Fehlalarme handeln koennte.

 

[Christopher]

Nein, ich denke, das es bei dir mal eine scvhost.exe auf deinem Rechner gab und das so eine Datei auf keinem Rechner etwas zu suchen hat.

Ich muss als Computerlaie da noch einmal (dumm) nachfragen: Ich dachte, der gestrige Spybot-Fund sei ohnedies diese scvhost.exe-Datei, also der Schädling (gewesen). Oder ist dieser Registry-Eintrag wieder etwas anderes als die Datei selbst?
Und wenn es die Datei auf meinem Rechner früher gab - wieso hat Spybot den Registry-Eintrag erst jetzt entdeckt? (Wo ich doch Spybot mindestens 1-2 mal wöchentlich über meinen Rechner laufen lasse).

Was die Suche nach einer solchen Datei betrifft:

Du musst halt schauen, ob es diese Datei noch irgendwo gibt. Ich denke aber das das nicht der Fall sein wird.....

Ich hatte natürlich mit der Suchfunktion von Windows gestern gleich nachgeforscht (und habe es auch jetzt gerade noch einmal getan): scvhost.exe wurde keine entdeckt. Oder gibt es noch irgendein anderes Suchwerkzeug, mit dem ich nachschauen soll?

Die Antivir Einstellungen kannst du so lassen, nur musst du halt genauer darauf achten, was genau dir Antivir meldet und es sich bei "Heur/" Meldungen um Fehlalarme handeln koennte.

Und was macht man (als Laie), wenn verdächtige Meldungen kommen und man nicht weiß, ob es sich um einen Fehlalarm handelt? Soll man dann die Meldungen im AntiVir-Forum posten?

Danke nochmals für dein Hilfe.

 

[raman]

Das mit dem Suchen ist schon in Ordnung, du solltest aber auch "versteckte" Dateien suchen lassen: http://people.freenet.de/rene-gad/invisible.html (etwas tiefer auf der Seite)

Ja, das Antivir Forum ist fuer solche Meldungen eine gute Anlaufstelle.

 

[Christopher]

du solltest aber auch "versteckte" Dateien suchen lassen: http://people.freenet.de/rene-gad/invisible.html (etwas tiefer auf der Seite)

Habe ich so gemacht.

Nochmals vielen Dank, dass du dir - noch dazu an einem Sonntag - Zeit für meine Probleme genommen hast. Schönen Abend.