Trojaner-Board - windows.exe und PC fährt automatisch herunter

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - windows.exe und PC fährt automatisch herunter - Win32/Injector.DYT Trojaner (https://www.trojaner-board.de/104894-windows-exe-pc-faehrt-automatisch-herunter-win32-injector-dyt-trojaner.html)

windows.exe und PC fährt automatisch herunter - Win32/Injector.DYT Trojaner

Hallo,

Ich benutze Windows / - 64 Bit.

Als ich den PC hochgefahren habe, war im Autostart eine Datei namens windows.exe

Da ich diese Datei nicht kannte habe ich diese gleich entfernt. Nun fährt aber mein PC nach ca. 10 Minuten Betrieb automatisch herunter. Nur im abgesicherten Modus (in diesem Befinde ich mich aktuell) kann ich alles machen.

ESET meldet:

Zitat:

07.11.2011 18:25:12 Echtzeit-Dateischutz Datei C:\Users\AAA BBB Beck\AppData\Roaming\windows.exe Variante von Win32/Injector.DYT Trojaner Gesäubert durch Löschen - in Quarantäne kopiert AAABBB\AAA BBB Ereignis beim Erstellen einer neuen Datei durch die Anwendung: C:\Windows\SysWOW64\explorer.exe.

Logfiles im Anhang...

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Hier das Logfile von Malwarebytes:

Code:

Malwarebytes' Anti-Malware 1.51.2.1300

www.malwarebytes.org
 

Datenbank Version: 8115
 

Windows 6.1.7601 Service Pack 1

Internet Explorer 9.0.8112.16421
 

08.11.2011 19:37:10

mbam-log-2011-11-08 (19-37-03).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)

Durchsuchte Objekte: 709136

Laufzeit: 2 Stunde(n), 5 Minute(n), 44 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 2

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 5
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies (Backdoor.HMCPol.Gen) -> Value: Policies -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies (Backdoor.HMCPol.Gen) -> Value: Policies -> No action taken.
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

c:\Users\AAA BBB\AppData\Local\Temp\Rar$EX38.392\hack msn and skybe 1.28.exe (Backdoor.Agent) -> No action taken.

c:\Users\AAA BBB\AppData\Roaming\logs.dat (Bifrose.Trace) -> No action taken.

c:\Users\AAA BBB\AppData\Local\Temp\MSN.abc (Malware.Trace) -> No action taken.

c:\Users\AAA BBB\AppData\Local\Temp\UuU.uUu (Malware.Trace) -> No action taken.

c:\Users\AAA BBB\AppData\Local\Temp\xxxyyyzzz.dat (Malware.Trace) -> No action taken.

Zitat:

c:\Users\AAA BBB\AppData\Local\Temp\Rar$EX38.392\hack msn and skybe 1.28.exe

Was willst du mit diesem Dreck! :mad: :pfui:

Wenn ich wüsste was es ist, würde ich es dir sagen!

Hab nun auch mal den Tempordner geleert... Was soll ich noch machen?

Zitat:

hack msn and skybe 1.28.exe

Wenn ich wüsste was es ist, würde ich es dir sagen!

Du weiß also rein garnicht was das sein könnte? :balla:

Ich habe nichts heruntergeladen was dem entsprechen könnte... bin allerdings auch nicht alleiniger Nutzer des PCs.

Aber so wie es aussieht, scheint es ja ein Tool zu sein um an das Passwort von SKype udn MSN Accounts zu gelangen.

mach bitte ein neues OTL-Log

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Anbei das neue Logfile...

Zitat:

O4 - HKLM..\Run: [AdobeCS4ServiceManager] C:\Program Files (x86)\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe (Adobe Systems Incorporated)

Kannst du mir mal verraten aus welcher Quelle dieses CS4 sein soll?
Wenn deine Antwort "ist ein Original" sein sollte - warum sind diese Hosteinträge drin, die dazu führen, dass dein Rechner keine Adobeserver mehr kontaktieren kann:

Zitat:

O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: 127.0.0.1 activate.adobe.com
O1 - Hosts: 127.0.0.1 practivate.adobe.com
O1 - Hosts: 127.0.0.1 adobeereg.com
O1 - Hosts: 127.0.0.1 h**p://www.adobeereg.com
O1 - Hosts: 127.0.0.1 activate.adobe.com
O1 - Hosts: 127.0.0.1 activate-sea.adobe.com
O1 - Hosts: 127.0.0.1 activate-sjc0.adobe.com
O1 - Hosts: 127.0.0.1 wwis-dubc1-vip60.adobe.com
O1 - Hosts: 127.0.0.1 192.150.18.108
O1 - Hosts: 127.0.0.1 activate.adobe.com:443
O1 - Hosts: 127.0.0.1 3dns-3.adobe.com
O1 - Hosts: 127.0.0.1 3dns-2.adobe.com
O1 - Hosts: 127.0.0.1 adobeereg.com
O1 - Hosts: 127.0.0.1 w*w.adobeereg.com
O1 - Hosts: 127.0.0.1 activate.adobe.com
O1 - Hosts: 127.0.0.1 activate-sea.adobe.com
O1 - Hosts: 127.0.0.1 activate-sjc0.adobe.com
O1 - Hosts: 127.0.0.1 wwis-dubc1-vip60.adobe.com
O1 - Hosts: 127.0.0.1 192.150.18.108
O1 - Hosts: 127.0.0.1 adobeereg.com
O1 - Hosts: 127.0.0.1 w*w.adobeereg.com
O1 - Hosts: 127.0.0.1 activate.adobe.com
O1 - Hosts: 127.0.0.1 activate-sea.adobe.com
O1 - Hosts: 127.0.0.1 activate-sjc0.adobe.com

Ich gehe davon aus das es kein Original ist. Ich benutze den PC immer noch nicht alleine und will einfach nur den Virus runterbekommen :(

Ich benutze den PC mit meinem Sohn zusammen. Aber der Virus ist über mein Profil angekommen...

Zitat:

Ich gehe davon aus das es kein Original ist.

Genau das denke ich auch.

Zitat:

Ich benutze den PC immer noch nicht alleine und will einfach nur den Virus runterbekommen

Das funktioniert nicht, wenn ständig und mutwillig der Rechner über Keygens/Cracks versaut wird.

Zitat:

Ich benutze den PC mit meinem Sohn zusammen. Aber der Virus ist über mein Profil angekommen...

Dann verbiete deinem Sohn diese illegalen Handlungen. Oder leb mit den Konsequenzen.
Wie wärs mal, dem Sohn die Adminrechte zu entziehen?

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!