Trojaner in mserv.exe und svchost.exe

Thomas_91a449 · 7. November 2019 um 02:27

Hallo!

Ich habe durch die Kaspersky Online-Virenprüfung folgende Anzeige bekommen:

mserv.exe Infiziert: Trojan.Win32.KillAV.be

diese Datei ist unter C: im Windows-Ordner.

Bei der Datei svchost.exe (auch im Windows Ordner) habe ich folgende Meldung:

svchost.exe Infiziert: TrojanSpy.Win32.Tofger

Meine Frage nun: Darf ich beide Dateien löschen? Dei svchost.exe ist 23Kb gross. Ich habe schonmal so eine Datei verschoben und große Probleme gehabt, die Datei war allerdings 12Kb gross und lag im Ordner System32.

Logfile of HijackThis v1.97.7
Scan saved at 17:32:47, on 29.11.2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\UltimateZip 2.7\uzqkst.exe
C:\WINDOWS\DitExp.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\STEFAN\LOKALE~1\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http:///
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http:///
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http:///
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/ums/ums_titel.jsp
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http:///
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http:///
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http:///
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1F48AA48-C53A-4E21-85E7-AC7CC6B5FFB2} - C:\WINDOWS\msfkmc.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM…\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM…\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM…\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM…\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM…\Run: [Dit] Dit.exe
O4 - HKLM…\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM…\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM…\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM…\Run: [QuickTime Task] „C:\Programme\QuickTime\qttask.exe“ -atboottime
O4 - HKLM…\Run: [WinampAgent] „C:\Programme\Winamp\Winampa.exe“
O4 - HKLM…\Run: [LogonStudio] „C:\Programme\WinCustomize\LogonStudio\logonstudio.exe“ /RANDOM
O4 - HKLM…\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - Startup: UltimateZip Quick Start.lnk = C:\Programme\UltimateZip 2.7\uzqkst.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: MedionShop (HKCU)
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .snd: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .tif: C:\Programme\Internet Explorer\PLUGINS\npqtplugin5.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O15 - Trusted Zone: *.waitsex.com
O17 - HKLM\System\CCS\Services\Tcpip…{1155BEB9-BE73-4757-9CC1-20170BC0A96A}: NameServer = 212.185.248.116 194.25.2.129

Danke für die Hilfe!
Thomas

carnivora_ac1ae8 · 7. November 2019 um 02:28

Hallo!

Ich habe durch die Kaspersky Online-Virenprüfung folgende
Anzeige bekommen:

mserv.exe Infiziert: Trojan.Win32.KillAV.be

diese Datei ist unter C: im Windows-Ordner.

Bei der Datei svchost.exe (auch im Windows Ordner) habe ich
folgende Meldung:

svchost.exe Infiziert: TrojanSpy.Win32.Tofger

Meine Frage nun: Darf ich beide Dateien löschen? Dei
svchost.exe ist 23Kb gross. Ich habe schonmal so eine Datei
verschoben und große Probleme gehabt, die Datei war allerdings
12Kb gross und lag im Ordner System32.

Hallo Thomas,

wie kommst Du darauf, dass einfaches Löschen einen Trojaner oder Virus vom System entfernt? Entfernen vielleicht, aber den Schaden den er angerichtet hat, solltest Du auch wieder gut machen. Durchlesen, Anweisungen befolgen, besseren Systemschutz wählen und nicht jeden E-Mail Anhang bedenkenlos öffnen!

Trojan.Win32.KillAV.be
http://www.symantec.com/avcenter/venc/data/trojan.ki…

TrojanSpy.Win32.Tofger heisst eigentlich I-Worm.Mimail.i
http://securityresponse.symantec.com/avcenter/venc/d…
http://securityresponse.symantec.com/avcenter/venc/d…

Danke für die Hilfe!

Bitte!

Gruß
Christian

Thomas_91a449 · 7. November 2019 um 02:28

Hallo Christian!

Erstmal danke für die schnelle Antwort!
Kann ich denn nun ohne Gefahr die Datei svchost.exe im Windows Ordner löschen? Ist ja eigentlich eine System-Datei, aber soweit ich weiss ist diese nur durch den Trojaner kopiert worden und somit keine richtige System-Datei, sondern nur ein Fake.

Anhänge habe ich übrigens nicht geöffnet, der Trojaner muss sich beim Surfen eingeloggt haben, der eine schaltet ja auch das Antiviren-Prog. aus.

Thomas

carnivora_ac1ae8 · 7. November 2019 um 02:28

Hallo Thomas,

naja den mserv.exe könntest Du löschen, beachte aber auch die Angaben aus meinem letzten Thread. Für den Tofger würde ich das Removal-Tool von Symantec nehmen, das ist auf alle Fälle besser, als wenn Dein System dann steht.

Gruß
Christian

Thomas_91a449 · 7. November 2019 um 02:28

Hallo!

Das Symantec Tool hab ich ausprobiert, hat allerdings nichts gefunden. Hab sogar die Systemwiederherstellung deaktiviert.
Nunja, hab´s jetzt so gelöscht. Spybot S&D findet leider auch nichts.

Danke trotzdem!
Thomas

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Peter_TOO · 7. November 2019 um 02:28

Hallo Thomas,

Erstmal danke für die schnelle Antwort!
Kann ich denn nun ohne Gefahr die Datei svchost.exe im Windows
Ordner löschen? Ist ja eigentlich eine System-Datei, aber
soweit ich weiss ist diese nur durch den Trojaner kopiert
worden und somit keine richtige System-Datei, sondern nur ein
Fake.

Die svchost.exe darfst du NICHT löschen.

SVCHOST ist eine Art Behälter (Framework) für Programme welche Dienste zur Verfügung stellen. Also SVCHOST ist nicht der Bösewicht, nur das Programm welches unter SVCHOST läuft.

Du kannst ja auch Windows löschen um den Virus los zu werden.

MfG Peter(TOO)

Thomas_91a449 · 7. November 2019 um 02:28

Die svchost.exe darfst du NICHT löschen.

SVCHOST ist eine Art Behälter (Framework) für Programme welche
Dienste zur Verfügung stellen. Also SVCHOST ist nicht der
Bösewicht, nur das Programm welches unter SVCHOST läuft.

Du kannst ja auch Windows löschen um den Virus los zu werden.

MfG Peter(TOO)

Hallo Peter!

Die „svchost.exe“ im Windows-Ordner, die als infiziert gemeldet wurde, ist der Trojaner selbst und hat mit der gleichnamigen Systemdatei nichts zu tun! Die Systemdatei ist im Ordner system32 abgelegt und steuert auch weiterhin meine Prozesse.

Gruss
Thomas