Mediyes

arnoroso

Moinsen, auch mich hat Mediyes offenbar erwischt... bin auch nur drauf gestoßen, weil ich Kaspersky 2013 aktivieren wollte.

Zitat

DLL im Lanmanworkstation Schlüssel:
Geladene DLL:
Signatur der DLL:
Rückgabe der Signaturermittlung: Das System kann die angegebene Datei nicht finden.
MD5 der DLL:
DLL im Dnscache Schlüssel: %SystemRoot%\System32\dnsrslvr.dll
Geladene DLL: C:\Windows\System32\dnsrslvr.dll
Signatur der DLL: Microsoft Windows
Rückgabe der Signaturermittlung: Der Vorgang wurde erfolgreich beendet.
MD5 der DLL: 16835866AAA693C7D7FCEBA8FFF706E4
Der Lanmanworkstation Schlüssel konnte nicht ausgelesen werden oder ist nicht vorhanden!
Auf ihrem Rechner wurde eine Datei gefunden, die auf eine Infektion mit einem
Mediyes Trojaner hindeuten könnte!

Alles anzeigen

Scan dateien im zip:
[Auf Wunsch vom Moderator gelöscht]

Schonmal vielen Dank für die Hilfe!

ps: würde einmal festplatte formatieren das problem auch lösen?

Werbepost

Hallo!

Wenn du gerade an deiner Website arbeitest oder dein aktuelles Hosting überdenkst: Wir betreiben mit NetzLiving eine Hosting-Plattform, die speziell auf Performance, Sicherheit und einfache Verwaltung ausgelegt ist.

✔️ Schnelle Ladezeiten (optimiert für WordPress, WoltLab & Co.)
✔️ Deutsche Server & DSGVO-konform
✔️ Persönlicher Support (kein 0815-Ticket-System)

Mehr erfahren

Wenn du Fragen hast, kannst du dich gerne jederzeit an @Maximilian Rupp wenden

Hinweis:

AxT

Deine Probleme haben scheinbar im September 2011 angefangen.
Über mindestens vier Monate lief der komplette Internetkontakt (bis etwa Ostern 2011) über die eingeschleusten DLLs des Trojaners.
Ein Teil des Payloads ist bei dir immer noch aktiv und lief während des Scans.

AxT

Willst du formatieren und komplett neu aufsetzen, löst auch das dein Problem. Passwörter danach alle ändern. Willst du das nicht, tue das, danach repariere ich den Dienst:

PFScan.exe starten.
In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

Code

CREATE_FOLDER->C:\PPFS_Sicherung
CREATE_FOLDER->C:\PPF_Scan2
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache>C:\PPF_Scan2\DNSCACHE.TXT
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation>C:\PPF_Scan2\LanmanWorkstation.TXT
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost>C:\PPF_Scan2\Svchost.txt
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Update-Service>C:\PPFS_Sicherung\UPDSVC.RE_
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SOFTWARE\Joosoft.com>C:\PPFS_Sicherung\Joosoft.RE_
KILL_PROCESS->IEXPLORE.EXE
KILL_PROCESS->Firefox.exe
KILL_PROCESS->Chrome.exe
KILL_PROCESS->OPERA.exe
KILL_PROCESS->svchost.exe
REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
->Update-Service
REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SOFTWARE
->Joosoft.com
MOVE_FILE_ON_REBOOT->C:\Windows\SysWOW64\UpdSvc.dll>C:\PPFS_Sicherung\UpdSvc.dll
MOVE_FILE_ON_REBOOT->C:\Windows\system32\xptu6qag.tsp>C:\PPFS_Sicherung\xptu6qag.tsp
COPY_SCANFILES->C:\PPF_Scan2
REBOOT->

Alles anzeigen

Klicke dann auf den Button Script ausführen und bestätige die erscheinende
Messagebox mit Ja.
Warte, bis der Scanner sich selbst beendet.
Lasse das Script bei einer Meldung nicht abbrechen!
Hat der Scanner sich selbst beendet, startet sich der Rechner neu. Einmal melden, ob er sich neu gestartet hat.
Es befinden sich im Ordner C:\PPF_Scan2 dann einige Textdateien. Lade bitte alle Dateien, die du dort im Ordner C:\PPF_Scan2 findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.

Danach sofort das tun:

Erstelle einen neuen Ordner auf C:\
Lade dir das Programm LSPandTSP herunter und speichere es in dem neuen Ordner ab.
Starte LSPandTSP.exe.
Guard deine Virenscanners deaktivieren!
Klicke die Registrierkarten Telephony Providers an.
Setze ein Häkchen bei C:\Windows\system32\xptu6qag.tsp.
Setze ein Häkchen bei Ich weiß, was ich tue! und klicke den Button Markierte Einträge entfernen!.
Ist das Tool mit dem Fixen fertig, klicke im Menü auf Programm und LOG-Datei abspeichern.
Guard deines Virenscanners wieder aktivieren!
Lade die LOG-Datei bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste den Downloadlink im Forum.
Rechner dann neu starten.

Haben wird das beides ausgeführt, sind dem Trojaner Arme und Beine abgeschnitten und er kann sich erst mal nicht erneut aus dem Netz herunterladen und installieren.

arnoroso

jau schönen dank schonmal!

reboot hat geklappt.

die dateien ausm scan 2 im zip:

am rest bin ich jetzt dran.

AxT

Nach LSPandTSP das tun:

PPFScan.exe starten.
In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

Code

CREATE_FOLDER->C:\PPFS_Sicherung
SET_REGISTRY_EXPANDED_STRING_VALUE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanWorkstation\Parameters
->ServiceDll
->%SystemRoot%\System32\wkssvc.dll
REBOOT->

Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
Warte, bis der Scanner sich selbst beendet.
Hat der Scanner sich selbst beendet, startet sich der Rechner neu. Danach einmal den Arbeitsstationsdienst testen. Je nachdem was zerschossen ist, kann es sein, das der immer noch nicht startet - keine Gedanken darüber machen, das kriegen wir dann noch hin. Ich muss nur wissen ob der schon geht, dann brauche ich an der anderen Ecke nicht mehr schauen.

Danach sind wir lange noch nicht fertig - auch wenn der Dienst laufen sollte.

arnoroso

lsp krams

AxT

Das jetzt: http://www.paules-pc-forum.de/forum/viren-fo…html#post959942

arnoroso

nächster reboot hat auch geklappt, arbeitsstationsdienst ist gestartet.

kann ich jetzt schon kaspersky aktivieren oder soll ich noch warten?

AxT

Das erst zun, danach Kaspersky aktivieren:
Schau in den Ordner C:\PPFS_Sicherung. Dort müsstest du eine Datei xptu6qag.tsp finden. Lade diese Datei bei https://www.virustotal.com/de/ hoch und lasse sie neu scannen (das ist die Datei vom Payload, die bei dir noch lief).
Po0ste den Link zum Scanergebnis hier (aus Browser abkopieren).
Packe die Datei dann in eine ZIP und lade die hier hoch: [Link vom Moderator gelöscht]

AxT

Dann Kaspersky aktivieren. danach das tun:

PPFScan.exe starten.
In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

Code

CREATE_FOLDER->C:\PPF_Scan3
SET_SCANLIST->1
SET_OPTIONS->-205,217
SET_HEADLINE->Signed files#Signierte Dateien
SEARCH_FILES_WITH_SIGNATURES->*.EXE
->
->Joosoft,Conpavi,taylorMed
SEARCH_FILES_WITH_SIGNATURES->*.DLL
->
->Joosoft,Conpavi,taylorMed
SET_HEADLINE->Modified at#Modifiziert am
SEARCH_FILES_WITH_DATES->*
->
->20110924
SET_HEADLINE->CompanyName#CompanyName
SEARCH_FILES_WITH_INFOS->*
->
->taylorMed,Joosoft,Bluw (Hong Kong) Limited,New Technology Quality,Discrete Cosine LLC,Conpavi,Works Ltd.,Portable Network Group,IntTele,VoIP Service Provider,Parental Solutions Inc.,Zeroconf,Intra Net Communications
->CompanyName
COPY_SCANFILES->C:\PPF_Scan3
OPEN->C:\PPF_Scan3
END->

Alles anzeigen

Klicke dann auf den Button Script ausführen und bestätige die erscheinende
Messagebox mit Ja.
Es befinden sich im Ordner C:\PPF_Scan3 dann einige Textdateien. Lade bitte alle Dateien, die du dort im Ordner C:\PPF_Scan3 findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.
Der Scan kann einige Stunden dauern.

arnoroso

die zip ist auch hochgeladen. aber nen link hab ich nich bekommen

AxT

Hat alles geklappt, ist angekommen.

AxT

Kaspersky Aktivierung hat geklappt?

arnoroso

jau.

der scan 3 läuft auch..mal sehen wie lange

arnoroso

scan 3 als zip:

AxT

Wie gesagt - dauert lange. Wie bist du auf unsere Seite gestoßen? Ist eher logisch, bei so einem Problem erst mal Hilfe von Kaspersky zu suchen. Es ist im Augenblick auffällig, dass die Leute mit diesem Kaspersky Updateproblem alle bei uns landen. Interessiert mich mal, warum das so ist.

arnoroso

najo hab über google gesucht nach meinem problem. und da kam ich ziemlich schnell bei euch an..^^ zweiter oder dritter link. oder übers kaspersky-forum. weiß auch nich mehr genau. aber hat jedenfalls nicht lang gedauert.

also scan 3 ist schon im vorigen post von mir hochgeladen. oder dauert deine auswertung länger?

AxT

Malwarebytes Anti-Malware

Wichtig:

Deaktiviere vor dem Suchdurchlauf dein Antivirenprogramm.
Das geht meistens im Systemtray (unten rechts bei der Uhr)

Rechtsklick auf das Symbol deines AV Programmes und beende es.

Lad dir Malwarebytes von hier
Installiere das Programm in den vorgegebenen Pfad.
Lehne die Testphase ab
Führe ein Update durch (Reiter Aktualisierungen) solange bis die Datenbank auf dem neusten Stand ist.
Klicke auf den Reiter Suchlauf --> wähle dort "Vollständigen Suchlauf durchführen" --> klicke auf Scannen.
Wenn der Scan beendet ist, klicke auf "Ergebnisse anzeigen".
Versichere Dich, dass alle Funde markiert sind und drücke "Entferne Auswahl".
Falls ein Neustart verlangt wird so bitte nachkommen.
Es wird ein Logfile erstellt.
Lade bitte das Log bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum. Nachträglich kannst du den Bericht unter "Log Dateien" finden.

arnoroso

------

AxT

Bitte einmal PM lesen

Jetzt mitmachen!