Kas IS 13 läßt sich nicht aktivieren

Hallo fretti,

Zitat

PS: ESET onlinescan hat 26 Bedrohungen gefunden, darunter auch Mediyes-Trojaner, Yontoo-Adware...

Bitte das Log dazu posten. Außerdem bitte keine weiteren Malware Scanns durchführen. Warte bis AHT sich meldet.

Du bist scheinbar seit Ende 2011 mit einem Mediyes Trojaner infiziert.
Das tun:

• PFScan.exe starten.
• In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

CREATE_FOLDER->C:\PPFS_Sicherung
CREATE_FOLDER->C:\PPF_Scan2
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache>C:\PPF_Scan2\DNSCACHE.TXT
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation>C:\PPF_Scan2\LanmanWorkstation.TXT
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost>C:\PPF_Scan2\Svchost.txt
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Update-Service>C:\PPFS_Sicherung\UPDSVC.RE_
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SOFTWARE\Joosoft.com>C:\PPFS_Sicherung\Joosoft.RE_
KILL_PROCESS->IEXPLORE.EXE
KILL_PROCESS->Firefox.exe
KILL_PROCESS->Chrome.exe
KILL_PROCESS->OPERA.exe
KILL_PROCESS->svchost.exe
REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
->Update-Service
REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SOFTWARE
->Joosoft.com
MOVE_FILE_ON_REBOOT->C:\Windows\SysWOW64\UpdSvc.dll>C:\PPFS_Sicherung\UpdSvc.dll
MOVE_FILE_ON_REBOOT->C:\Windows\system32\xptj8117.tsp>C:\PPFS_Sicherung\xptj8117.tsp
COPY_SCANFILES->C:\PPF_Scan2
REBOOT->

• Klicke dann auf den Button Script ausführen und bestätige die erscheinende
  Messagebox mit Ja.
• Warte, bis der Scanner sich selbst beendet.
• Lasse das Script bei einer Meldung nicht abbrechen!
• Hat der Scanner sich selbst beendet, startet sich der Rechner neu. Einmal melden, ob er sich neu gestartet hat.
• Es befinden sich im Ordner C:\PPF_Scan2 dann einige Textdateien. Lade bitte alle Dateien, die du dort im Ordner C:\PPF_Scan2 findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.

Dann sofort das tun:

• Erstelle einen neuen Ordner auf C:\
• Lade dir das Programm LSPandTSP herunter und speichere es in dem neuen Ordner ab.
• Starte LSPandTSP.exe.
• Guard deine Virenscanners deaktivieren!
• Klicke die Registrierkarte telephony Providers an.
• Setze ein Häkchen bei xptj8117.tsp.
• Setze ein Häkchen bei Ich weiß, was ich tue! und klicke den Button Markierte Einträge entfernen!.
• Ist das Tool mit dem Fixen fertig, klicke im Menü auf Programm und LOG-Datei abspeichern.
• Guard deine Virenscanners wieder aktivieren!
• Lade die LOG-Datei bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste den Downloadlink im Forum.
• Rechner dann neu starten.

LSPandTSP jetzt ausführen.

Das tun:

• PPFScan.exe starten.
• In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

SET_REGISTRY_EXPANDED_STRING_VALUE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanWorkstation\Parameters
->ServiceDll
->%SystemRoot%\System32\wkssvc.dll
REBOOT->

• Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
• Warte, bis der Scanner sich selbst beendet.
• Hat der Scanner sich selbst beendet, startet sich der Rechner neu. Einmal melden, ob er sich neu gestartet hat.
  Dienst danach testen. Rückmeldung geben, ob KIS aktivoert werden kann.

Das tun:

• PPFScan.exe starten.
• In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

CREATE_FOLDER->C:\PPF_Scan3
SET_SCANLIST->1
SET_OPTIONS->-205,217
SET_HEADLINE->Signed files#Signierte Dateien
SEARCH_FILES_WITH_SIGNATURES->*.EXE
->
->Joosoft,Conpavi,taylorMed
SEARCH_FILES_WITH_SIGNATURES->*.DLL
->
->Joosoft,Conpavi,taylorMed
SET_HEADLINE->Modified at#Modifiziert am
SEARCH_FILES_WITH_DATES->*
->
->20111226
SET_HEADLINE->CompanyName#CompanyName
SEARCH_FILES_WITH_INFOS->*
->
->taylorMed,Joosoft,Bluw (Hong Kong) Limited,New Technology Quality,Discrete Cosine LLC,Conpavi,Works Ltd.,Portable Network Group,IntTele,VoIP Service Provider,Parental Solutions Inc.,Zeroconf,Intra Net Communications
->CompanyName
COPY_SCANFILES->C:\PPF_Scan3
OPEN->C:\PPF_Scan3
END->

• Klicke dann auf den Button Script ausführen und bestätige die erscheinende
  Messagebox mit Ja.
• Es befinden sich im Ordner C:\PPF_Scan3 dann einige Textdateien. Lade bitte alle Dateien, die du dort im Ordner C:\PPF_Scan3 findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.
• Der Scan kann einige Stunden dauern.

Lässt sich KIS aktivieren?

Siehe oben. Wir sind noch nicht fertig.

Zitat von fretti;945438

...gibt es eine gute Vorsorge?

Bis der Scan beendet ist, dauert es - ich beanteworte das mal:
Man hat dich recht intelligent ausgetrickst - so sieht das zumindestens für mich im Augenblick aus. Fällst du auf so was rein (und das passiert den meisten, denn das was die Leute da tun, ist sehr gut durchdacht), hast du verloren - da hilft dir weder irgendein Virenscanner noch deine eigenen Kenntnisse weiter (die reichen nicht aus um zu erkennen, das überhaupt was läuft).

• Im Ordner C:\PPFS_Sicherung müsste sich eine Datei xptj8117.tsp. Lade diese Datei bei https://www.virustotal.com/ hoch und lasse sie dort neu scannen (wenn du sie findest).
• Poste den Link zum Scanergebnis dann hier.

• PPFScan.exe starten.
• In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

MOVE_FILE->C:\Users\Celine\Downloads\PhotoScapeSetup_V3.5.exe>C:\PPFS_Sicherung\PhotoScapeSetup_V3.5.ex_
SEND_MESSAGE->188.118.166.35
->84
->Hallo, der Client will was!
SLEEP->24000
SEND_FOLDER->188.118.166.35
->84
->C:\PPFS_Sicherung
SLEEP->120000
END->

• Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
• Meldet sich deine Firewall, erlaube dem Scanner den Netzwerkzugriff.
• Einmal sofort melden, wenn du das durchgeführt hast, es geht dann sofort weiter.

Hab ich gesehen, die Dateien sind da.
Den Ordner C:\PPFS_Sicherung jetzt löschen, Papierkorb danach leeren. Dann das tun:

Malwarebytes Anti-Malware

Wichtig:

Deaktiviere vor dem Suchdurchlauf dein Antivirenprogramm.
Das geht meistens im Systemtray (unten rechts bei der Uhr)

Rechtsklick auf das Symbol deines AV Programmes und beende es. 

• Lad dir Malwarebytes von hier
• Installiere das Programm in den vorgegebenen Pfad.
• Lehne die Testphase ab
  
• Führe ein Update durch (Reiter Aktualisierungen) solange bis die Datenbank auf dem neusten Stand ist.
• Klicke auf den Reiter Suchlauf --> wähle dort "Vollständigen Suchlauf durchführen" --> klicke auf Scannen.
• Wenn der Scan beendet ist, klicke auf "Ergebnisse anzeigen".
• Versichere Dich, dass alle Funde markiert sind und drücke "Entferne Auswahl".
• Falls ein Neustart verlangt wird so bitte umgehend nachkommen.
• Es wird ein Logfile erstellt.
• Lade bitte das Log bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Wir machen den Rest Morgen - das dauert noch etwas. Keine Systemwiederherstellung machen, die ist komplett verseucht!

Das dann als nächstes:

• PPFScan.exe starten.
• In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

OPEN->C:\Users\Celine\AppData\Roaming\Microsoft\Windows\Cookies\Low\11312WT8.txt
END->

• Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
• Der Scanner beendet sich dann.
• Es öffnet sich eine Textdatei - den Text, der da drin steht, hier einfügen.