Hallo liebe Trojaner-Experten!

Ich habe mir kürzlich einen ähnlichen Trojaner eingefangen, wie der Kollege in folgendem Thread:

http://www.trojaner-board.de/128843-...dsgw-js-2.html

Momentan läuft mein System scheinbar wieder, da ich selbst schon einige Schritte unternommen habe, es bleiben aber Zweifel, ob wirklich alles von dem Teil runter ist.

Bei mir war der Ablauf wie folgt:

• Beim Surfen meldet Antivir einen Trojaner-Fund (Name weiß ich leider nicht mehr). Ich klicke auf entfernen.
• Nach einem späteren Rechnerneustart fragt Windows nach der üblichen Berechtigung eine Datei auszuführen, ein Klick auf Details verrät mir das es scheinbar eine Microsoft-Datei ist (allerdings mit 2010 abgelaufenem Zertifikat).
• Ich war irgendwie naiv und klickte auf "OK", obwohl ich - noch dümmer - mit Adminrechten unterwegs war.
• Full-Screen-Bildschirmsperre des GVU/BSI-Trojaners mit Webcam und 100 EUR Zahlungswunsch.
• Neustart im abgesicherten Modus. Gleiches Verhalten.
• Unter anderem OS hochgefahren, gegoogelt und Kaspersky Rescue 10 CD heruntergeladen.
• Von Kaspersky Rescue 10 CD gestartet. Grafischer Modus. 30 Minuten passiert nichts. Harter Reset. Kein Bluetooth mehr, kann kein OS starten (da iMac). Rücksetzen des PRAM bringt nichts. Besorge USB-Tastatur/Maus. Nach einmaligem Hochfahren von MacOSX geht Bluetooth wieder.
• Von Kaspersky Rescue 10 CD gestartet. Textmodus. Update der Signaturen über Internet. Kompletter Scan der Windows-Partition. Kein Fund. Windows Unlocker durchgeführt.
• Start von Windows im normalen Modus. Gleiches Verhalten (gesperrt).
• Abmelden. Anmelden. Kann Rechner bedienen.
• Sehe gleichen Link im Autostart wie der o. g. Leidensgenosse. Ruft rundll32.exe mit wgsdgsdgdsgsd.dll als Parameter auf. Die DLL liegt in meinem Benutzerordner. Kann beides nicht löschen.
• Starte erneut von Kaspersky Rescue 10 im Textmodus und lösche die besagte DLL.
• Windows-Start erfolgreich. Fehlermeldung das wgsdgsdgdsgsd.dll nicht geladen werden kann.
• Versuche Systemwiederherstellung mit letztem Punkt vor dem Befall. Fehlermeldung, da Einsprungadresse ungültig. Vorletzter Sicherungspunkt, gleiches Verhalten.
• Start von Windows-DVD, Systemwiederherstellung mit letztem Sicherungspunkt. Gleicher Fehler. Vorletzter Punkt. Gleicher Fehler. Vorvorletzter Punkt. Erfolgreich.
• Windows-Neustart. Alles sieht gut aus. Lösche dsgsdgdsgdsgw.pad aus Benutzerordner von "Alle Benutzer".
• Aktualisierung von Java, Adobe Flash, Adobe Reader, Installation von Microsoft Tools zur Entfernung bösartiger Software (kein Fund), Tausch von Antivir gegen Avast und kompletter Scan (kein Fund)
• Installation CCleaner + Komplettreinigung.
• Umstellung der Benutzerrechte auf Standardbenutzer.
• Installation ProcessExplorer.
• Installation von Programmen nach Sicherungspunkt (Spiel über Steam).

Habe dann mit Adminrechten die folgenden Logs mit OTL und GMER erstellt.

Wäre schön, wenn Ihr mir helfen könntet herauszufinden, ob meine Kiste nun wirklich sauber ist.

Danke und ein schönes neues Jahr!

Hi
und auch hier sag ichs noch mal, keine Systemwiederherstellung bei Befall nutzen, am besten gar nicht selbst reinigen.
download tdss killer:
http://www.trojaner-board.de/82358-t...entfernen.html
Klicke auf Change parameters
• Setze die Haken bei Verify driver digital signatures und Detect TDLFS file system
• Klick auf OK und anschließend auf Start scan
- bei funden erst mal immer skip wählen, log posten

Danke für die schnelle Antwort. Habe ich runtergeladen und so gemacht. Log anbei.

Hi,
combofix:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hab es probiert. Irgendwie habe ich mit ComboFix jedoch meine Probleme.

Runtergeladen. Avast Scannermodule entladen. Windows Firewall aus. Combofix gestartet. Er kommt bis zu der Meldung "Scanne nach infizierten Dateien. Dieser Vorgang sollte normalerweise nicht länger als 10 Minuten dauern. Bei stark infizierten System verdoppelt sich diese Zeit auch leicht einmal." Selbst nach einer guten halben Stunde habe ich keine weitere Meldung (Fortschritt, Fehler, ...) gesehen. Ich kann auch nichts anderes mehr starten, inkl. Taskmanager. Hilft nur harter Reset. Habs zweimal probiert. Was mache ich hier falsch? Danke.

Hi
starte neu, drücke f8 wähle abgesicherter Modus mit Netzwerk, melde dich in deinem Konto an, scanne erneut.