Hallo,
es scheint ja eine Sucht zu sein, auch ich habe mir im Dezember den runctf Trojaner eingefangen. http://www.trojaner-board.de/images/...s/confused.gif

Ziel der Autostartverknüpfung ist:
C:\Windows\System32\rundll32.exe C:\Users\Valentin\wgsdgsdgdsgsd.dll,H1N1

System Win7 - 64bit.

Nut scheint mich, zum Glück, doch eines von viele anderen Hilfesuchenden zu unterscheiden, ich merke keinerlei Veränderungen. Außer das sich der IE immer bei Systemstart öffnet, aber das muss ja nicht daher kommen. Nur dadurch bin ich auf diese merkwürdige Autostartdatei gekommen die ich dann gegoogelt habe, und nun bin ich hier.

Was kann ich tun um diesen Quatsch wieder loszuwerden? Hoffe das bei mir nicht ganz so viele Schritte notwendig sind, da ja alles 1a läuft.

Anbei die geforderten OTB und auch DDS Log's. (OTB.txt war etwas zu groß (108 bei erlaubten 97, deshalb als zip)

Leider habe ich keine Recovery CD erstellt, kann ich das noch trotz dieses Trojaners nachholen? Laptop wurde mit Win7 gekauft, allerdings bekommt man ja keine CD mehr mit.

Wirklich vielen Dank vorab, Grüße
Valentin

hi
schaun wir mal
dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
[2012/12/28 14:17:52 | 000,001,062 | ---- | M] () -- C:\Users\Valentin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
[2012/12/28 14:17:51 | 000,204,712 | ---- | M] (Корпорация Майкрософт) -- C:\Users\Valentin\wgsdgsdgdsgsd.dll
[2012/12/28 14:17:52 | 095,023,320 | ---- | C] () -- C:\ProgramData\dsgsdgdsgdsgw.pad
[2012/12/28 14:17:52 | 000,002,965 | ---- | C] () -- C:\ProgramData\dsgsdgdsgdsgw.js
 :Files
:Commands
[EMPTYFLASH] 
[emptytemp]
         

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hallo,

das ging schnell. Danke für die schnelle Antwort.

1. Aktion ausgeführt, IE wurde nach Neustart nicht mehr automatisch gestartet. Schon mal gut. (dann hat der Start vom IE doch was mit den Virus/trojaner zu tun)

2. Logfile klingt für mich als Laien erstmal gut, ziemlich oft erfolgreich...

3. siehe jpg Bild anbei, klingt erstmal gut.

4. Im Autostartordner ist runctf noch drin, soll ich die Verknüpfung einfach mal löschen?

Dank Dir,
Valentin

Hi,
die Verknüpfung sollte eig gelöscht sein.

combofix:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

:-) Da sieht doch richtig gut aus, zumindest ist die Verknüpfung im Autostart jetzt weg. Fehlermeldung nach Neustart kam auch nicht.

Also dann wirklichen herzlichen Dank an Dich! Ich bin begeistert.


Ich leg mich jetzt zufrieden nieder,
Grüße,
Valentin

hi
poste das CF log, wir sind nicht fertig.

Guten Morgen,

CF Log war doch dabei....

Falls es nicht zu öffnen ging zur Sicherheit nochmal:

Danke und Grüße
Valentin

Hatte ich übersehen, sorry.
malwarebytes:
Downloade Dir bitte Malwarebytes

• Installiere
  das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche
  nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet
  ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste
  das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Dank Dir, hat doch noch eine wgsdgsdgdsgsd Datei gefunden.

Viele Grüße,
Valentin

PS: gibt es denn eine gute Software die vor solchen Plagegeistern schützt? Ich glaube ja das es nicht an mir liegt das ich eine unbekannte Datei geöffnet hätte oder dergleichen, bin bei chip auf einen interessanten Artikel gestoßen:

hxxp://www.chip.de/news/Sicherheitsluecke-im-VLC-Player-Update-jetzt-laden_59698214.html

Könnte so eine Lücke Schuld sein das die Foren ab Mitte Dezember mit diesem Problem voll sind?

log:
Malwarebytes Anti-Malware (Test) 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.01.05.09

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Valentin :: TOSHI-LAPPI [Administrator]

Schutz: Aktiviert

05.01.2013 22:56:38
mbam-log-2013-01-05 (22-56-38).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 372122
Laufzeit: 34 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\_OTL\MovedFiles\01032013_230408\C_Users\Valentin\wgsdgsdgdsgsd.dll (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Hi,
meist sind Seiten schuld, auf denen man illegal Streams sieht, wie Kinox.to
Pornoseiten währen auch möglich, und gehackte websites, aber ich tippe eher auf erst genanntes, aus Erfahrung
Alle diese Hacks sind nur dann erfolgreich, wenn auf deinem PC sicherheitslücken zu finden sind.
Darum kümmern wir uns noch.

lade den CCleaner standard:
CCleaner - Download - Filepony
falls der CCleaner
bereits instaliert, überspringen.
öffnen, Tools (extras),uninstall Llist, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Guten Abend,
naja, streams mit Sicherheit nicht, es kann aber mal ein DDL passieren,

:-)

So, hier mal die Liste, denke nichts schlimmes dabei, außer dieses "PL-2303 USB-to-Serial" sagt mir jetzt erstmal nix.

benötigt	7-Zip 9.20 (x64 edition)	Igor Pavlov	24.06.2012	4,53MB	9.20.00.0
unbekannt	Adobe AIR	Adobe Systems Inc.	15.05.2011		2.0.3.13070
benötigt	Adobe Flash Player 10 ActiveX	Adobe Systems Incorporated	16.09.2011	6,00MB	10.2.152.32
benötigt	Adobe Flash Player 11 Plugin	Adobe Systems Incorporated	01.07.2012	6,00MB	11.3.300.262
benötigt	Adobe Reader X (10.1.3) MUI	Adobe Systems Incorporated	25.06.2012	479MB	10.01.2003
unbekannt	ALPS Touch Pad Driver	ALPS ELECTRIC CO., LTD.	16.09.2011		7.106.303.203
benötigt	Apple Application Support	Apple Inc.	25.06.2012	61,0MB	02.01.2009
benötigt	Apple Mobile Device Support	Apple Inc.	25.06.2012	24,9MB	5.2.0.6
benötigt	Apple Software Update	Apple Inc.	25.06.2012	2,38MB	2.1.3.127
unbekannt	Atheros Bluetooth Filter Driver Package	Atheros Communications	15.09.2011	91,0KB	1.00.007
unbekannt	Atheros Driver Installation Program	Atheros	15.09.2011		09. Feb
unbekannt	ATI Catalyst Install Manager	ATI Technologies, Inc.	15.09.2011	22,4MB	3.0.804.0
benötigt	Bluetooth Stack for Windows by Toshiba	TOSHIBA CORPORATION	15.09.2011	73,7MB	v8.00.06(T)
unbekannt	Bonjour	Apple Inc.	25.06.2012	2,00MB	3.0.0.10
benötigt	CCleaner	Piriform	19.12.2012		Mrz 26
unbekannt	Contrôle ActiveX Windows Live Mesh pour connexions à distance	Microsoft Corporation	15.05.2011	5,57MB	15.4.5722.2
unbekannt	Intel(R) Management Engine Components	Intel Corporation	24.06.2012		7.0.0.1144
unbekannt	Intel(R) Network Connections Drivers	Intel	16.09.2011	916KB	15. Apr
unbekannt	Intel(R) Rapid Storage Technology	Intel Corporation	07.01.2013		10.1.2.1004
benötigt	Iomega Storage Manager	EMC	24.06.2012		1.3.4.19745
benötigt	IrfanView (remove only)	Irfan Skiljan	24.06.2012	1,50MB	Apr 32
benötigt	iTunes	Apple Inc.	25.06.2012	184MB	10.6.3.25
benötigt	Java 7 Update 9	Oracle	07.12.2012	128MB	7.0.90
benötigt	Java(TM) 6 Update 20	Sun Microsystems, Inc.	15.05.2011	97,2MB	6.0.200
benötigt	Malwarebytes Anti-Malware Version 1.70.0.1100	Malwarebytes Corporation	05.01.2013	18,4MB	1.70.0.1100
unbekannt	Microsoft .NET Framework 4 Client Profile	Microsoft Corporation	18.09.2012	38,8MB	4.0.30320
benötigt	Microsoft Office Enterprise 2007	Microsoft Corporation	24.06.2012		12.0.4518.1014
unbekannt	Microsoft Primary Interoperability Assemblies 2005	Microsoft Corporation	15.05.2011	7,75MB	9.0.21022
unbekannt	Microsoft Silverlight	Microsoft Corporation	15.05.2011	20,4MB	4.0.50401.0
unbekannt	Microsoft SQL Server 2005 Compact Edition [ENU]	Microsoft Corporation	15.05.2011	1,69MB	3.1.0000
unbekannt	Microsoft Visual C++ 2005 Redistributable	Microsoft Corporation	15.09.2011	2,69MB	8.0.59193
unbekannt	Microsoft Visual C++ 2005 Redistributable (x64)	Microsoft Corporation	15.09.2011	620KB	8.0.59192
unbekannt	Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.17	Microsoft Corporation	15.05.2011	788KB	9.0.30729
unbekannt	Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17	Microsoft Corporation	15.05.2011	596KB	9.0.30729
unbekannt	Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148	Microsoft Corporation	15.05.2011	596KB	9.0.30729.4148
unbekannt	Microsoft Visual C++ 2010 x64 Redistributable - 10.0.30319	Microsoft Corporation	15.09.2011	13,6MB	10.0.30319
benötigt	Mozilla Firefox 17.0.1 (x86 de)	Mozilla	23.12.2012	41,0MB	17.0.1
unbekannt	Mozilla Maintenance Service	Mozilla	23.12.2012	329KB	17.0.1
unbekannt	MSXML 4.0 SP2 (KB954430)	Microsoft Corporation	26.06.2012	1,27MB	4.20.9870.0
unbekannt	MSXML 4.0 SP2 (KB973688)	Microsoft Corporation	26.06.2012	1,33MB	4.20.9876.0
unbekannt	Nero BackItUp 10	Nero AG	15.05.2011	109MB	5.6.11500.16.100
unbekannt	Nero BurnRights 10	Nero AG	15.05.2011	6,14MB	4.2.10500.1.102
benötigt	Nero Express 10	Nero AG	15.05.2011	165MB	10.2.12000.21.100
unbekannt	Nero InfoTool 10	Nero AG	15.05.2011	8,06MB	7.2.10400.5.100
unbekannt	Nero MediaHub 10	Nero AG	15.05.2011	179MB	1.2.13300.36.100
unbekannt	Nero Multimedia Suite 10 Essentials	Nero AG	15.05.2011	767MB	10.5.14800
unbekannt	Nero RescueAgent 10	Nero AG	15.05.2011	6,53MB	3.2.10800.9.100
unbekannt	Nero StartSmart 10	Nero AG	15.05.2011	143MB	10.2.11600.14.100
unbekannt	Nero Update	Nero AG	15.05.2011	1,42MB	1.0.10300.25.0
benötigt	Paint.NET v3.5.10	dotPDN LLC	27.06.2012	10,6MB	3.60.0
benötigt	PDF24 Creator 4.9.0	PDF24.org	06.10.2012	33,9MB
benötigt	Picasa 3	Google, Inc.	25.06.2012		03. Aug
unbekannt	PL-2303 USB-to-Serial	Prolific Technology INC	15.05.2011		01.03.2000
unbekannt	PlayReady PC Runtime amd64	Microsoft Corporation	15.05.2011	2,05MB	01.03.2000
unbekannt	Realtek HDMI Audio Driver for ATI	Realtek Semiconductor Corp.	16.09.2011		6.0.1.6121
unbekannt	Realtek High Definition Audio Driver	Realtek Semiconductor Corp.	15.09.2011		6.0.1.6293
unbekannt	Renesas Electronics USB 3.0 Host Controller Driver	Renesas Electronics Corporation	15.09.2011	276KB	2.0.34.1
unbekannt	RICOH Media Driver v2.13.17.01	RICOH	15.09.2011		2.13.17.01
benötigt	Rossmann Fotowelt Software 4.12.1	ORWO Net	07.07.2012		04.12.2001
benötigt	Samsung AllShare	Samsung Electronics Co., Ltd.	18.09.2012	74,3MB	2.1.0.12031_10
unbekannt	TOSHIBA 180 Degrees Rotation Utility	TOSHIBA Corporation	15.09.2011		01.04.2000
unbekannt	TOSHIBA Assist	TOSHIBA CORPORATION	15.05.2011		04.02.2002
unbekannt	TOSHIBA Bulletin Board	TOSHIBA Corporation	16.09.2011		2.1.10.64
unbekannt	TOSHIBA ConfigFree	TOSHIBA CORPORATION	15.09.2011	90,7MB	8.0.38
unbekannt	TOSHIBA Disc Creator	TOSHIBA Corporation	15.09.2011	19,1MB	2.1.0.9 for x64
unbekannt	TOSHIBA eco Utility	TOSHIBA Corporation	15.09.2011	18,8MB	1.3.2.64
unbekannt	TOSHIBA Face Recognition	TOSHIBA Corporation	16.09.2011		3.1.8.64
unbekannt	TOSHIBA HDD/SSD Alert	TOSHIBA Corporation	15.09.2011	55,0MB	3.1.64.8
unbekannt	TOSHIBA Intelligent Display Management	TOSHIBA Corporation	15.09.2011	11,5MB	1.0.3.0
unbekannt	Toshiba Manuals	TOSHIBA	15.09.2011		10. Feb
unbekannt	TOSHIBA Media Controller	TOSHIBA CORPORATION	15.09.2011		1.0.86.2
unbekannt	TOSHIBA Media Controller Plug-in	TOSHIBA CORPORATION	15.09.2011	4,89MB	1.0.6.1
unbekannt	TOSHIBA Online Product Information	TOSHIBA	15.05.2011		4.00.0008
unbekannt	TOSHIBA PC Health Monitor	TOSHIBA Corporation	15.09.2011	46,1MB	1.7.7.64
unbekannt	TOSHIBA Places Icon Utility	TOSHIBA	15.05.2011		1.0.2.4
unbekannt	TOSHIBA Recovery Media Creator	TOSHIBA CORPORATION	15.09.2011		2.1.3.5109
unbekannt	TOSHIBA Recovery Media Creator Reminder	TOSHIBA	15.09.2011	460KB	1.00.0019
unbekannt	TOSHIBA ReelTime	TOSHIBA Corporation	16.09.2011		1.7.18.64
unbekannt	TOSHIBA Resolution+ Plug-in for Windows Media Player	TOSHIBA Corporation	15.09.2011		01.01.2000
unbekannt	TOSHIBA Security Assist	TOSHIBA	15.05.2011		2.0.9
unbekannt	TOSHIBA Service Station	TOSHIBA	15.09.2011		02.01.1952
unbekannt	TOSHIBA Sleep Utility	TOSHIBA Corporation	15.09.2011		1.4.2.7
unbekannt	TOSHIBA Sync Utility	TOSHIBA Corporation	15.09.2011		2.0.3060
unbekannt	TOSHIBA TEMPRO	Toshiba Europe GmbH	15.05.2011	11,3MB	Mrz 35
unbekannt	TOSHIBA Value Added Package	TOSHIBA Corporation	15.09.2011	206MB	1.5.10.64
unbekannt	TOSHIBA VIDEO PLAYER	TOSHIBA Corporation	15.09.2011		4.00.4.60-A
unbekannt	TOSHIBA Web Camera Application	TOSHIBA Corporation	15.09.2011	32,8MB	1.1.7.1
unbekannt	TOSHIBA Wireless LAN Indicator	TOSHIBA CORPORATION	15.09.2011	5,08MB	1.0.4
benötigt	VLC media player 2.0.5	VideoLAN	03.01.2013		2.0.5
benötigt	Winamp	Nullsoft, Inc	24.12.2012		Mai 63
unbekannt	Windows Live Essentials	Microsoft Corporation	15.05.2011		15.4.3508.1109
unbekannt	Windows Live Mesh - ActiveX-besturingselement voor externe verbindingen	Microsoft Corporation	15.05.2011	5,57MB	15.4.5722.2
unbekannt	Windows Live Mesh ActiveX control for remote connections	Microsoft Corporation	15.05.2011	5,57MB	15.4.5722.2
unbekannt	Windows Live Mesh ActiveX Control for Remote Connections	Microsoft Corporation	15.05.2011	5,37MB	15.4.5722.2

Grüße
Valentin

Hi
Aber da du offensichtlich nicht unterscheiden kannst, welche File sharing downloads sauber sind, und welche nicht, solltest du die Finger davon lassen
deinstaliere:
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden, instalieren.
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok



deinstaliere:
Java: alle
downloade Java jre:
Java-Downloads für alle Betriebssysteme
klicke:
Download der Java-Software für Windows Offline
laden, und instalieren
deinstaliere:
Windows Live : alle von dir nicht benötigten

Öffne CCleaner, analysieren, starten, pc neustarten.
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Suche.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste
  mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Guten Abend,

ich werde wohl vorsichtiger sein müssen, aber manchmal sind die dunklen Kräfte einfach stärker

cccleaner hat mal spontan 400MB gelöscht, nicht schlecht.

Hier schon mal das Log, klingt doch richtig gut.

Jetzt muss mein Rechner ja reiner als rein sein,

ich Danke Dir vielmals!

Grüße
Valentin


# AdwCleaner v2.105 - Datei am 09/01/2013 um 21:17:29 erstellt
# Aktualisiert am 08/01/2013 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)
# Benutzer : Valentin - TOSHI-LAPPI
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Valentin\Desktop\adwcleaner.exe
# Option [Suche]


**** [Dienste] ****


***** [Dateien / Ordner] *****


***** [Registrierungsdatenbank] *****

Schlüssel Gefunden : HKLM\SOFTWARE\Software

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16457

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v17.0.1 (de)

Datei : C:\Users\Valentin\AppData\Roaming\Mozilla\Firefox\Profiles\dew4ansl.default\prefs.js

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [782 octets] - [09/01/2013 21:17:29]

########## EOF - C:\AdwCleaner[R1].txt - [841 octets] ##########

Hi
noch Probleme festzustellen?

nö, alles schick, es startet nichts mehr automatisch, alles wieder in bester Ordnung.

Ein großes Dankeschön!
Grüße
Valentin