|
svhost.exe schlimm ????????? Hilfe ! Bei meinem Laptop läuft der Lüfter ständig wie ein Föhn und die CPU-Auslastung ist dauernd bei 100 % obwohl ich gar nichts mache. Wenn ich einen Virus-Scan machen will, geht der Rechner nach einiger Zeit immer aus. Ich habe verschiedene Virenscanner probiert - es ist immer das selbe. Ich vermute ich habe mindestens einen Virus oder Trojaner auf dem Rechner. Beim Systemstart lädt sich immer eine Datei "svhost.exe". Soweit ich beim googeln feststellen konnte, ist das wohl ziemlich übel. Kann bitte mal jemand mein Hijack This - Logfile ansehen, kommentieren und mir sagen, ob und ggf. welche Einträge gelöscht werden müssen ? Habe leider wenig Ahnung. Danke und Gruß Dirk Logfile of HijackThis v1.99.1 Scan saved at 21:22:08, on 19.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\Ati2evxx.exe C:\PROGRA~1\F-SECU~1\backweb\154149\Program\SERVIC~1.EXE C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe C:\Programme\F-Secure Anti-Virus\backweb\154149\Program\fspex.exe C:\Programme\F-Secure Anti-Virus\backweb\154149\program\fsbwsys.exe C:\Programme\F-Secure Anti-Virus\Anti-Virus\FSGK32.EXE C:\Programme\F-Secure Anti-Virus\Common\FSMA32.EXE C:\Programme\F-Secure Anti-Virus\Anti-Virus\fssm32.exe C:\Programme\F-Secure Anti-Virus\Common\FSMB32.EXE C:\WINDOWS\system32\slserv.exe C:\Programme\F-Secure Anti-Virus\Common\FCH32.EXE C:\Programme\F-Secure Anti-Virus\Common\FAMEH32.EXE C:\Programme\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Java\jre1.5.0_01\bin\jusched.exe C:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE C:\WINDOWS\system32\rundll32.exe C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsav32.exe C:\Programme\F-Secure Anti-Virus\FSGUI\fsguiexe.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\msgrdev.exe C:\PROGRA~1\IZArc\IZArc.exe C:\DOKUME~1\D&C\LOKALE~1\Temp\ARCD\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spool Dynamic Link Library - {231B7A50-B3B2-4016-BD34-3D8495C9F3D1} - C:\WINDOWS\system32\splcore.dll O4 - HKLM\..\Run: [virus] C:\WINDOWS\system32\virus1.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Anti-Virus\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Anti-Virus\FSGUI\FSSW.EXE" /reboot O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\RunServices: [Networking Protocol Assistant] svhost.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: (no name) - {12345678-1234-1234-1234-1234567890AB} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1123.cab O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www6.pc-sicherheit.web.de/ols/fscax.cab O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.expressphoto.de/ImageUploader3.cab O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - https://img.web.de/v/mail/onlinespeicher/activex/upload_1122.cab O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: F-Secure Anti-Virus 2005 - WEB.DE Edition (BackWeb Plug-in - 154149) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\154149\Program\SERVIC~1.EXE O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure Anti-Virus\backweb\154149\program\fsbwsys.exe O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus\Common\FSMA32.EXE O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe |
Hallo Dirk Diggler, scanne folgende Dateien: svhost.exe (entweder unter "C:\WINDOWS\System32" oder "C:\WINDOWS") C:\WINDOWS\system32\msgrdev.exe C:\WINDOWS\system32\virus1.exe hier online: http://virusscan.jotti.org/de Teiel die jeweiligen Ergebnisse mit. dartus |
Die Datei svhost.exe kann ich unter Windows bzw. System 32 komischerweise nicht finden. Ergebnis von msgrdev.exe: Datei: msgrdev.exe Status: INFIZIERT/MALWARE Entdeckte Packprogramme: - AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Trojan.Mdt gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VBA32 Keine Viren gefunden Ergebnis von virus1.exe: Datei: virus1.exe Status: VIELLEICHT INFIZIERT/MALWARE Entdeckte Packprogramme: - AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Application.VTesttool.B gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VBA32 Keine Viren gefunden |
Bei der Datei "svhost.exe" (nicht zu verwechseln mit svchost.exe!) handelt es sich mit an Sicherheit grenzender Wahrscheinlichkeit um einen Backdoortrojaner. Meinen ersten Recherchen nach könnte es der Rbot sein, der u.a. Passwörter stiehlt und den Zugriff Dritter auf Deinen System ermöglicht! Da niemand sagen kann, ob das nicht schon passiert sein könnte, muss man davon ausgehen, dass es passiert ist! Dein System ist daher nicht mehr vertrauenswürdig, nicht mehr unter Deiner Kontrolle, und muss daher von sauberen Medien neu aufgesetzt werden (Festplatte formatieren, Windows neu installieren) und sämtliche Passwörter müssen geändert werden. Achte unbedingt darauf, dass Du VOR der ersten Internetverbindung Dein System absicherst - einen Guide von @Caleb findest Du hier. |
Das klingt für mich ehrlich gesagt ein bisschen hysterisch. Ich möchte nicht ohne Not den Aufwand betreiben mein System neu zu installieren wenn es evtl. noch andere Möglichkeiten gibt. Dartus, kannst du dazu was sagen? Du scheinst ja ziemlichen Plan zu haben. |
Bitte, ist Deine Entscheidung. Sag aber nicht, man hätte Dich nicht gewarnt. Und zum Thema hysterisch: Entfernung von Schädlingen. Viel Spaß! :aplaus: |
Ich denke mal auch, dass die Datei svhost.exe ein Grund für eine Neuinstallation ist. Diese Datei ist in dem System vorhanden und aktiv. Du hast nur nicht richtig gesucht. Hier mal eine Anleitung von Rene-Gad, wie man richtig sucht: http://www.trojaner-board.de/59624-a...-sichtbar.html Lasse die Datei bei Jotti prüfen. Ich denke mal, dass das dabei herauskommen wird: http://www.sophos.de/virusinfo/analyses/w32rbotpi.html |
Diese Datei ist in dem System vorhanden und aktiv. Du hast nur nicht richtig gesucht. Hier mal eine Anleitung von Rene-Gad, wie man richtig sucht: http://www.trojaner-board.de/59624-a...-sichtbar.html Ich habe gesucht wie beschrieben, aber svhost.exe wurde nicht gefunden ! |
Zitat:
Die Datei wurde mal gefunden (ist doch drauf!). Keiner weiß welcher Schabernack mit Deinem Rechner getrieben wurde, also was noch geändert wurde. Da können versteckte FTP-Server z.B. gehören. FTP-Server werden (meist) NICHT von Antivirentools erkannt (warum auch), aber wenn der Dritte der Zugriff auf Deinen Rechner hatte den einrichten konnte... Lies bitte noch mal das hier. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:10 Uhr. |
Copyright ©2000-2025, Trojaner-Board