MSWinSrv.exe Trojaner

Hallo Leute!

Habe mir anscheinend etwas eingefangen.

Als ich heute meinen Rechner gestartet habe, sagte mir Windows, dass dieses Programm nicht mehr richtig ausgeführt wird. Da mir das Kürzel nichts sagte, hab ich danach gegoogelt und es kam raus, dass es ein Trojaner von Backdoor.Mtron ist.

Habe Microsoft Security Essentials drüber laufen lassen, findet jedoch nichts. Ein englischsprachiger User hat es in seinen Prozessen gefunden. Bei mir ist nichts zu finden, da es nicht mehr richtig ausgeführt wird wie vorher schon geschrieben.
Die anderen User des eng. Forums gaben den Rat es unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrentVersion\Run -> "MSWinSrv"="%system%\MSWinSrv.exe"
zu löschen. Dort kann ich aber nichts finden.

Habe ich jetzt nur Glück, dass es bei mir nicht "Fuß" fassen konnte oder bin ich womöglich noch immer infiziert und wenn ja, wie bekomm ich das am Besten raus?

 

Hallo Nightdrifter

Halte dich mal an diese Anleitung (3 + 3a außer Acht lassen):

http://www.pcwelt.de/forum/1940399-post1.html

Gruß
Nevok

 

Hallo.

Rsit kann bei mir nicht ausgeführt werden:

AutoIt Error: Linie-1: Error: Varriable used without being declared.

HiJackThis Log hab ich unten angehängt.

HiJackThis Auswertung im Inet hat die Datei wieder gefunden, kanns aber in der RegEdit nicht finden.

 

Starte MBAM erneut - dann erst mal auf neuen Updätes prüfen lassen und erneut ein ecnellen Scan wählen!

Unbedingt: wenn MBAM fúndig geworden ist - den knopf Entfernen anklicken.

When MBAM will, dasz der Rechnner neu gebootet wird - zulassen!

Poste wieder dasz Log

 

Hatte MBAM von vorher noch offen, also hab ich die Auswahl gleich entfernt.

Reboot, wieder die Anzeige beim Start mit "dieses Programm nicht mehr richtig ausgeführt wird, Online nach Lösung suchen"

Habe MBAM erneurt ausgeführt mit Update und jetzt findet er nichts mehr?!?!?!

HiJackThis findet es noch immer.

 

Hallo Nightdrifter, mach jetzt in de angegebener Reihenfolge folgendes:

starte HijackThis (mit Admin rechte) und wähle Scan only, vermerk dann die untenstehenden Regel und danach klicken auf B]Fix checked[/B]:

Hiernach deinen PC rebooten.


Starte HijackThis (mit Admin rechte) erneut, klicke den Knopf Open the Misc Tools section, dann den Knopf Delete a file on reboot... und navigiere dann nach

Dann die Anweisungen von HijackThis folgen!

Nach dem Neustart ein aktuelles HJT-log (via Admin rechte) posten.

 

@Abraham54
dein vorgehen hat mit sauberer analyse herzlich wenig zu tun.
@Nightdrifter
gibts zu combofix ein log?
bitte C:\Users\raoul\AppData\Local\Temp\mswinsrv.exe hier http://www.virustotal.com/de/ auswerten lassen und die ergebnisse posten.

 

Was soll da überhaupt nochmals ausgewertet werden!

http://www.prevx.com/filenames/X2422100980230218436-X1/MSWINSRV.EXE.html

 

der prevx-link, den du gepostet hast, sagt über das schadpotential von
O4 - HKCU\..\Run: [Microsoft Windows Driver Utility] C:\Users\raoul\AppData\Local\Temp\mswinsrv.exe
rein gar nichts aus.

 

Mag stimmen, aber sowieso muss es auch dir schon länger klar sein, dass exe-Programme in Temp files immer hochverdächtig sind!

 

..........

 

@boston123

Hier mal die Analyse: http://www.virustotal.com/de/analis...84473d10412ebfbccd65bd18b49692d142-1264332535

 

Hier der Log von HJT nach Abrahams vorgehen.

 

Hallo Nightdrifter, also deine Arbeit mit HijackThis hat erfolg gehabt.
Das Log siehy sauber aus!

Starte MBAM wieder, erst mal updaten und dann ein schneller Scan wählen.

Findet MBAM was - dan poste das Log.


Mach auch diesen "Security" Test:

- download nach deinem Desktop Security Check.

- Klicke auf SecurityCheck.exe und beachte die Instruktionen (Englischer Sprache) im schwarzem Venster.
- Ein Editor Dokument checkup.txt wird öffnen, poste den Inhalt dieses Dokuments.

 

Update konnte ich bei MBAM eben wegen eines Fehlers nicht machen, jedoch hat ein Quick Scan nichts gefunden.

Anbei auch die Auswertung von SecurityCheck.

 

Hallo Nightdrifter, warum hast du keine Antivirensoftware in dein Windows?


Java runtime soll immer genauso wie Adobe Flashplayer aktuell sein!
Behalte immmer nur eine ïnstallierte Java-Runtime!

Download nach deinem Desktop : Java SE Runtime Environment (JRE) 6 update 18

Nu ga je eerst naar Systemsteuerung /Programme ... und dann deïnstallierst du
Java SE Runtime Environment (JRE) 6 Update 16 und dito 17.

Hiernach dein PC rebooten!

Danach kannst du vom Desktop aus die neue Runtime installieren!

 

Ich habe Microsoft Security Essentials drauf, also doch eine AV Software.

Java hält sich selbst auf dem neuesten Stand. Macht von alleine Updates, sollte also aktuell sein.

 

Die Update Funktion arbeitet oft nicht.

Also deïnstalliere die zwei alten Versionen und installier wie angegeben die neueste Version - damit is auch dein Windows im bezug Sicherheit bestens bedient.

Microosoft's Security Essentials ist absolut OK als Antivirus!!

 

Hallo nochmal.

Habe hier noch einen PC der mit dem selben Trojaner befallen war/ist.

Anbei der Log. MBAM hat nichts gefunden mit der aktuellsten Datenbank.

Habe den Trojaner schon im voraus so wie in Post #1 beschrieben entfernt über den RegEdit.

 

Hallo Nightdrifter,

Starte HijackThis und wähle Scan only, vermerk dann die untenstehenden Regel und danach klicken auf B]Fix checked[/B]:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://secure.telekom.at/srmsus(bD1kZSZjPTAzMA==)/default.htm

- dies ist ei dubieuser Startseite - besser nicht meer besuchen.

Womöglich kam der malware in deinem systeem von dieser Seite!

Das Log sieht weiter gut aus.

Ich kan dir raten einen Firewall zu installieren - z.B. ZoneAlarmFree!
Danach der Windows Firewall ausschalten!