|
Vielleicht hilft folgendes jemandem für eine Lösung meines Problems. Hab in der Registrierung alle scvhost.exe Dateien mit Pfad herausgeschrieben: HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603 Name-> 000 Typ-> REG_SZ Wert-> scvhost.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{A6D05071-EAC0-A000-B09B-D3BF7AD855F2} Name-> StubePath Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Name-> AntiVir Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe Name-> UpdateChecker Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe Name-> WindowsUpdate Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx Name-> (Standard) Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe Name-> AntiVir Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe Name-> icq lite Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe Name-> msconfig Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe Name-> UpdateChecker Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe Name-> WindowsUpdate Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RUNSERVICES Name-> (Standard) Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe Name-> AntiVir Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe Name-> icq lite Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe Name-> msconfig Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe Name-> UpdateChecker Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe Name-> WindowsUpdate Typ-> REG_SZ Wert-> C:/Windows/scvhost.exe HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List Name-> C:/WINDOWS/SCVHOST.EXE Typ-> REG_SZ Wert-> C:/WINDOWS/SCVHOST.EXE:*:Enabled:Microsoft Windows HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List Name-> C:/WINDOWS/SCVHOST.EXE Typ-> REG_SZ Wert-> C:/WINDOWS/SCVHOST.EXE:*:Enabled:Microsoft Windows HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List Name-> C:/WINDOWS/SCVHOST.EXE Typ-> REG_SZ Wert-> C:/WINDOWS/SCVHOST.EXE:*:Enabled:Microsoft Windows HKEY_USERS\S-1-5-21-3621066256-2668779938-3439846143-1005\Software\Microsoft\Search Assistant\ACMru\5603 Name-> 000 Typ-> REG_SZ Wert-> scvhost.exe |
@MightyMarc: Mein AntiVir war nicht deaktiviert, allerdings befinden sich in dem Ordner eine reboot.exe und eine restart.exe ! Das Fenster, welches ich sagte dass sich kurz öffnet, beinhaltet den Text >>Der Befehl "find" ist entweder falsch geschrieben oder konnte nicht gefunden werden.<< (War nur durch einen Screenshot zu entziffern) Was vielleicht noch erwähnenswert ist: Seit einiger Zeit werden einige Symbole im Systemtray nicht mehr angezeigt, kommen mal und gehen dann wieder. Z.B. AntiVir und Lautstärke wurden lange nicht angezeigt und tauchten dann wieder auf (Avira war aber immer aktiv!) |
Versuch es mal im abgesicherten Modus. |
Hab es im abgesicherten probiert und ging auch nicht. Hab bisher Avira, Kaspersky, Microsoft AntiVir, Blacklight, AVG 7.5 drüber laufen lassen und keiner Fand was. Heute hab ich dann noch spybot versucht, welcher auch 28 Probleme feststellte (die meisten waren verfolgende cookies) und 2 davon waren Smitfraud-C. und Smitfraud-C.Keylogger, diese Meldungen wurden auch noch gezeigt: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter/FirewallDisableNotify!=dword:0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter/AntiVirusOverride!=dword:0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter/AntiVirusDisableNotify!=dword:0 Ging dann in den abgesicherten Modus und fixte, was beim HJT online check rot markiert war. Nun sind die scvhost.exe aus dem HJTLogFile weg, in der Regestrierung aber immer noch da. Auch Spybot findet immer noch alles wie zuvor.... |
Liegt das evtl daran dass Smitfraud nicht funktioniert da es ein "Befehlsskript von Windows NT" ist und ich XP habe? Wenn ich alle scvhost.exe Dateien aus der Registry raus lösche wird mir das auch nicht viel weiter helfen oder? Es war meines Wissens noch kein Wurm, Virus, Trojaner o.ä. aktiv. Und gefunden hat mein Virenscanner bisher auch nur Trojaner oder ScriptViren welche meines Wissens auch nicht aktiv waren. |
Zitat:
Zitat:
Zitat:
Lade Dir mal dieses Tool und lasse es im abgesicherten Modus laufen. Gruß Marc |
hab grad noch escan drüber laufen lassen, der hat noch einiges gefunden. Hier mal ein kleiner Ausschnitt: Fri May 04 22:05:43 2007 => ***** Scanning Registry and File system for Adware/Spyware ***** Fri May 04 22:05:43 2007 => Loading Spyware Signatures from new External Database [Name: C:\DOKUME~1\Andreas\LOKALE~1\Temp\spydb.avs, Size: 226330]. Fri May 04 22:05:46 2007 => Indexed Spyware Databases Successfully Created... Fri May 04 22:07:03 2007 => System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Entries Removed. Fri May 04 22:07:03 2007 => Object "maxsearch Adware" found in File System! Action Taken: Entries Removed. Fri May 04 22:07:05 2007 => Offending file found: C:\install.dat Fri May 04 22:07:05 2007 => System found infected with zlob Trojan-Downloader (install.dat)! Action taken: Entries Removed. Fri May 04 22:07:05 2007 => Object "zlob Trojan-Downloader" found in File System! Action Taken: Entries Removed. Fri May 04 22:07:21 2007 => Checking MountPoints2 Registry Key... Fri May 04 22:07:21 2007 => Checking CLSID Reference Entries... Fri May 04 22:07:21 2007 => Entry "HKCR\AOLCoach.TrainerOCXCtrl.10" refers to invalid object . Das Tool werd ich auch gleich mal testen!! |
Poste bitte erst das Ergebnis der find.bat (siehe eScan-Anleitung)! |
Zitat:
|
Zitat:
Starte (wie in der Anleitung beschrieben) eScan und klicke (wie in der Anleitung beschrieben) auf Update/Aktualisieren. Versuche es bei Bedarf (wie nicht in der Anleitung beschrieben) solange bis das Update funktioniert hat (u.U. 3 - 8 mal). Gruß Marc |
Der eScan ist durchgelaufen, fand lediglich noch 31 Fehler und von den "5 Critical Objects" im letzten Scan (war nicht im abgesicherten Modus) ist nichts mehr zu sehen!? Zur Info: Führte gestern noch den ersten Schritt von AVZ (wieder nicht im abgesicherten Modus) aus sprich: "Haken bei 'Healing/Quarantine and Advanced System Investigation' setzen, 4. Klicken Sie auf das Icon Execute selected scripts; Die Log-Datei virusinfo_syscure.zip wird im Unterverzeichnis ..\LOG gespeichert 5. Nach dem Ausführen des Scripts starten Sie Ihr PC neu." Danach hab ich den Rechner runter gefahren. Aber durch diesen Schritt werden doch noch keine Schädlinge entfernt!? Wenn ich die find.bat in der cmd ausführe heißt es, der Befehl "findstr" ist entweder falsch geschrieben oder konnte nicht gefunden werden. Beim doppelklick auf die find.bat verschwindet das Fenster gleich wieder. Eine entsprechende Datei escan_neu.txt taucht auch nicht auf. Post jetzt mal den Schluss des eScanLogs, vielleicht sagt der ja auch schon genug aus: Sat May 05 15:36:54 2007 => ***** Scanning complete. ***** Sat May 05 15:36:54 2007 => Total Objects Scanned: 138531 Sat May 05 15:36:54 2007 => Total Critical Objects: 0 Sat May 05 15:36:54 2007 => Total Disinfected Objects: 0 Sat May 05 15:36:54 2007 => Total Objects Renamed: 0 Sat May 05 15:36:54 2007 => Total Deleted Objects: 0 Sat May 05 15:36:54 2007 => Total Errors: 31 Sat May 05 15:36:54 2007 => Time Elapsed: 01:27:01 Sat May 05 15:36:54 2007 => Virus Database Date: 5/5/2007 Sat May 05 15:36:54 2007 => Virus Database Count: 313448 Sat May 05 15:36:54 2007 => Scan Completed. |
Zitat:
|
Poste hier nochmal schnell die zwei Download Links des eScanLogs: Dieser ist vom eScan vom 04.05.07. Und hier gehts zum eScanLog der einen Tag später durchlief. Gruß Andy |
Hier das eine Log vom 4. Mai ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.05.01.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.1.9 Sprache: English Virus-Datenbank Datum: 4/13/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Fri May 04 22:07:03 2007 => System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Entries Removed. Fri May 04 22:07:05 2007 => System found infected with zlob Trojan-Downloader (install.dat)! Action taken: Entries Removed. Fri May 04 22:07:03 2007 => Object "maxsearch Adware" found in File System! Action Taken: Entries Removed. Fri May 04 22:07:05 2007 => Object "zlob Trojan-Downloader" found in File System! Action Taken: Entries Removed. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Fri May 04 23:30:35 2007 => File C:\Programme\smitfraud\SmitfraudFix.zip/SmitfraudFix/Reboot.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: File Deleted. Fri May 04 23:30:36 2007 => File C:\Programme\smitfraud\SmitfraudFix\Reboot.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: File Deleted. Fri May 04 23:35:55 2007 => File C:\system volume information\_restore{AE8C560C-AEE7-4C54-AB1D-014009397F0B}\RP1\A0001396.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: File Deleted. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Fri May 04 22:07:05 2007 => Offending file found: C:\install.dat ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ Fri May 04 23:24:41 2007 => C:\Programme\Open_Office\OpenOfficeorgPortable\App\openoffice\program\dict_ja.dll not Scanned. Possibly password protected... Fri May 04 23:24:44 2007 => C:\Programme\Open_Office\OpenOfficeorgPortable\App\openoffice\program\fwk680mi.dll not Scanned. Possibly password protected... Fri May 04 23:24:45 2007 => C:\Programme\Open_Office\OpenOfficeorgPortable\App\openoffice\program\icudt26l.dll not Scanned. Possibly password protected... Fri May 04 23:31:43 2007 => C:\Programme\Nero\Nero-7.7.5.1_all_trial.exe not Scanned. Possibly password protected... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Fri May 04 23:37:42 2007 => Total Critical Objects: 5 Fri May 04 23:37:42 2007 => Total Disinfected Objects: 0 Fri May 04 23:37:42 2007 => Total Objects Renamed: 0 Fri May 04 23:37:42 2007 => Total Deleted Objects: 398 Fri May 04 23:37:42 2007 => Total Errors: 399 Fri May 04 23:37:42 2007 => Time Elapsed: 01:32:37 Fri May 04 23:37:42 2007 => Total Objects Scanned: 136335 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Fri May 04 22:05:06 2007 => Memory Check: Enabled Fri May 04 22:05:06 2007 => Registry Check: Enabled Fri May 04 22:05:06 2007 => System Folder Check: Disabled Fri May 04 22:05:06 2007 => System Area Check: Disabled Fri May 04 22:05:06 2007 => Services Check: Enabled Fri May 04 22:05:06 2007 => Drive Check: Disabled Fri May 04 22:05:06 2007 => All Drive Check :Enabled Fri May 04 22:05:06 2007 => All Drive Check :Enabled -------------------------------------------------- C:\mwav.log -------------------------------------------------- Batchstart: 17:12:02,00 Batchende: 17:12:14,92 Das zweite Log zeigt keinen Schädlingsbefall. Wie geht es dem Rechner denn? |
Dem Rechner gehts eigentlich bestens!!! Hab nur beim runter fahren manchmal eine Fehlermeldung von SetPoint, das kommt aber von meiner Logitech Maus. Schätze da wurde etwas mit gelöscht. Ansonsten ist in der Registry immer noch die scvhost.exe des öfteren zu finden; HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603 Name->007 / Wert-> scvhost.exe HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\reg Name-> a Typ-> REG_SZ Wert-> C:/Dokumente und Einstellungen/Name/Eigene Dateien/Regedit/scvhost.reg Name-> b Typ-> REG_SZ Wert-> C:/Dokumente und Einstellungen/Name/Eigene Dateien/Regedit/DateienScvhost.reg HKEY_CURRENT_USER\Software\Neuber GbR\Security Task Manager\Cache Name-> C:/WINDOWS/scvhost.exe Typ-> REG_SZ Wert-> 32 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg Name-> Command Typ-> REG_SZ Wert-> C:/WINDOWS/scvhost.exe Name-> item Typ-> REG_SZ Wert-> scvhost HKEY_USERS\S-1-5-21-3621066256-2668779938-3439846143-1005\Software\Microsoft\Search Assistant\ACMru\5603 Name-> 007 Typ-> REG_SZ Wert-> scvhost.exe HKEY_USERS\S-1-5-21-3621066256-2668779938-3439846143-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\reg Name-> a Typ-> REG_SZ Wert-> C:/Dokumente und Einstellungen/Andreas/Eigene Dateien/Regedit/scvhost.reg Name-> b Typ-> REG_SZ Wert-> C:/Dokumente und Einstellungen/Andreas/Eigene Dateien/Regedit/DateienScvhost.reg HKEY_USERS\S-1-5-21-3621066256-2668779938-3439846143-1005\Software\Neuber GbR\Security Task Manager\Cache Name-> C:/WINDOWS/scvhost.exe Typ-> REG_SZ Wert-> 32 Das rot markierte war ein dem Ordner Regedit, den ich unter Eigene Dateien erstellte und darin die .reg Files aus der Registry exportierte zum Scan bei Virustotal. Bei dem blau markierten wurde der Name von "000" auf "007" geändert. 3 neue Prozesse laufen im Taskmanager: cidaemon.exe cisvc.exe wsntfy.exe Nach ein bisschen googlen sollen das aber Win-Prozesse vom Indexdienst sein. Liefen vorher allerdings noch nie im TaskManager. Gruß Andy |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:18 Uhr. |
Copyright ©2000-2025, Trojaner-Board