Hilfe !

Bei meinem Laptop läuft der Lüfter ständig wie ein Föhn und die CPU-Auslastung ist dauernd bei 100 % obwohl ich gar nichts mache. Wenn ich einen Virus-Scan machen will, geht der Rechner nach einiger Zeit immer aus. Ich habe verschiedene Virenscanner probiert - es ist immer das selbe. Ich vermute ich habe mindestens einen Virus oder Trojaner auf dem Rechner.
Beim Systemstart lädt sich immer eine Datei "svhost.exe". Soweit ich beim googeln feststellen konnte, ist das wohl ziemlich übel.

Kann bitte mal jemand mein Hijack This - Logfile ansehen, kommentieren und mir sagen, ob und ggf. welche Einträge gelöscht werden müssen ? Habe leider wenig Ahnung.

Danke und Gruß
Dirk

Logfile of HijackThis v1.99.1
Scan saved at 21:22:08, on 19.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\PROGRA~1\F-SECU~1\backweb\154149\Program\SERVIC~1.EXE
C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Anti-Virus\backweb\154149\Program\fspex.exe
C:\Programme\F-Secure Anti-Virus\backweb\154149\program\fsbwsys.exe
C:\Programme\F-Secure Anti-Virus\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Anti-Virus\Common\FSMA32.EXE
C:\Programme\F-Secure Anti-Virus\Anti-Virus\fssm32.exe
C:\Programme\F-Secure Anti-Virus\Common\FSMB32.EXE
C:\WINDOWS\system32\slserv.exe
C:\Programme\F-Secure Anti-Virus\Common\FCH32.EXE
C:\Programme\F-Secure Anti-Virus\Common\FAMEH32.EXE
C:\Programme\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsav32.exe
C:\Programme\F-Secure Anti-Virus\FSGUI\fsguiexe.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\msgrdev.exe
C:\PROGRA~1\IZArc\IZArc.exe
C:\DOKUME~1\D&C\LOKALE~1\Temp\ARCD\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spool Dynamic Link Library - {231B7A50-B3B2-4016-BD34-3D8495C9F3D1} - C:\WINDOWS\system32\splcore.dll
O4 - HKLM\..\Run: [virus] C:\WINDOWS\system32\virus1.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Anti-Virus\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Anti-Virus\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunServices: [Networking Protocol Assistant] svhost.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: (no name) - {12345678-1234-1234-1234-1234567890AB} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1123.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www6.pc-sicherheit.web.de/ols/fscax.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.expressphoto.de/ImageUploader3.cab
O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - https://img.web.de/v/mail/onlinespeicher/activex/upload_1122.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: F-Secure Anti-Virus 2005 - WEB.DE Edition (BackWeb Plug-in - 154149) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\154149\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure Anti-Virus\backweb\154149\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus\Common\FSMA32.EXE
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

Hallo Dirk Diggler,

scanne folgende Dateien:

svhost.exe (entweder unter "C:\WINDOWS\System32" oder "C:\WINDOWS")
C:\WINDOWS\system32\msgrdev.exe
C:\WINDOWS\system32\virus1.exe

hier online:

http://virusscan.jotti.org/de

Teiel die jeweiligen Ergebnisse mit.

dartus

Die Datei svhost.exe kann ich unter Windows bzw. System 32 komischerweise nicht finden.

Ergebnis von msgrdev.exe:

Datei: msgrdev.exe
Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.Mdt gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden

Ergebnis von virus1.exe:

Datei: virus1.exe
Status: VIELLEICHT INFIZIERT/MALWARE
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Application.VTesttool.B gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden

Bei der Datei "svhost.exe" (nicht zu verwechseln mit svchost.exe!) handelt es sich mit an Sicherheit grenzender Wahrscheinlichkeit um einen Backdoortrojaner. Meinen ersten Recherchen nach könnte es der Rbot sein, der u.a. Passwörter stiehlt und den Zugriff Dritter auf Deinen System ermöglicht!
Da niemand sagen kann, ob das nicht schon passiert sein könnte, muss man davon ausgehen, dass es passiert ist!
Dein System ist daher nicht mehr vertrauenswürdig, nicht mehr unter Deiner Kontrolle, und muss daher von sauberen Medien neu aufgesetzt werden (Festplatte formatieren, Windows neu installieren) und sämtliche Passwörter müssen geändert werden.
Achte unbedingt darauf, dass Du VOR der ersten Internetverbindung Dein System absicherst - einen Guide von @Caleb findest Du hier.

Das klingt für mich ehrlich gesagt ein bisschen hysterisch. Ich möchte nicht ohne Not den Aufwand betreiben mein System neu zu installieren wenn es evtl. noch andere Möglichkeiten gibt.

Dartus, kannst du dazu was sagen? Du scheinst ja ziemlichen Plan zu haben.

Bitte, ist Deine Entscheidung.
Sag aber nicht, man hätte Dich nicht gewarnt.
Und zum Thema hysterisch: Entfernung von Schädlingen.

Viel Spaß! :aplaus:

Ich denke mal auch, dass die Datei svhost.exe ein Grund für eine Neuinstallation ist. Diese Datei ist in dem System vorhanden und aktiv. Du hast nur nicht richtig gesucht.
Hier mal eine Anleitung von Rene-Gad, wie man richtig sucht:
http://www.trojaner-board.de/59624-a...-sichtbar.html

Lasse die Datei bei Jotti prüfen.

Ich denke mal, dass das dabei herauskommen wird:
http://www.sophos.de/virusinfo/analyses/w32rbotpi.html

Diese Datei ist in dem System vorhanden und aktiv. Du hast nur nicht richtig gesucht. Hier mal eine Anleitung von Rene-Gad, wie man richtig sucht:
http://www.trojaner-board.de/59624-a...-sichtbar.html

Ich habe gesucht wie beschrieben, aber svhost.exe wurde nicht gefunden !

Zitat:

Zitat von Dirk Diggler

Diese Datei ist in dem System vorhanden und aktiv. Du hast nur nicht richtig gesucht. Hier mal eine Anleitung von Rene-Gad, wie man richtig sucht:
http://www.trojaner-board.de/59624-a...-sichtbar.html

Ich habe gesucht wie beschrieben, aber svhost.exe wurde nicht gefunden !

Es ist völlig egal, ob diese Datei (auf dem aktuell laufenden System) JETZT auffindbar ist oder nicht. Nur Fakt ist:
Die Datei wurde mal gefunden (ist doch drauf!).
Keiner weiß welcher Schabernack mit Deinem Rechner getrieben wurde, also was noch geändert wurde. Da können versteckte FTP-Server z.B. gehören. FTP-Server werden (meist) NICHT von Antivirentools erkannt (warum auch), aber wenn der Dritte der Zugriff auf Deinen Rechner hatte den einrichten konnte...

Lies bitte noch mal das hier.