Medieyes?

P.K.

Hallo,

hier erstmal das was der Schnelltest ausspuckt.

DLL im Lanmanworkstation Schlüssel:
Geladene DLL:
Signatur der DLL:
Rückgabe der Signaturermittlung: Das System kann die angegebene Datei nicht finden.
MD5 der DLL:

DLL im Dnscache Schlüssel: %SystemRoot%\System32\dnsrslvr.dll
Geladene DLL: C:\Windows\System32\dnsrslvr.dll
Signatur der DLL: Microsoft Windows
Rückgabe der Signaturermittlung: Der Vorgang wurde erfolgreich beendet.
MD5 der DLL: 16835866AAA693C7D7FCEBA8FFF706E4

Der Lanmanworkstation Schlüssel konnte nicht ausgelesen werden oder ist nicht vorhanden!
Auf ihrem Rechner wurde eine Datei gefunden, die auf eine Infektion mit einem
Mediyes Trojaner hindeuten könnte!

und hier der Link zu den Logs vom Scan:

DLL im Lanmanworkstation Schlüssel:
Geladene DLL:
Signatur der DLL:
Rückgabe der Signaturermittlung: Das System kann die angegebene Datei nicht finden.
MD5 der DLL:

[Link gelöscht vom Mederator]

Werbepost

Hallo!

Wenn du gerade an deiner Website arbeitest oder dein aktuelles Hosting überdenkst: Wir betreiben mit NetzLiving eine Hosting-Plattform, die speziell auf Performance, Sicherheit und einfache Verwaltung ausgelegt ist.

✔️ Schnelle Ladezeiten (optimiert für WordPress, WoltLab & Co.)
✔️ Deutsche Server & DSGVO-konform
✔️ Persönlicher Support (kein 0815-Ticket-System)

Mehr erfahren

Wenn du Fragen hast, kannst du dich gerne jederzeit an @Maximilian Rupp wenden

Hinweis:

AxT

Du hast mein Programm hochgeladen, nicht die Dateien. Lies dir durch, was du tun sollst.

PPFScan.exe starten.
Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
Wähle im Untermenü Script laden und ausführen.
Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja.
Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

P.K.

Ohja, falsches Archiv hochgeladen.

Hier das Richtige.

File-Upload.net - Test.zip

Gruß
Philipp

AxT

OK, stimmt jetzt. Dauert jetzt etwa 30Minuten, dann melde ich mich wieder.

P.K.

Oki,
danke dir.

AxT

Auch bei dir:
Du bist mit Mediyes infiziert. Deine Probleme haben scheinbar im Dezember 2011 angefangen. Ein Teil des Payloads der Malware ist bei dir immer noch aktiv und läuft seit Januar 2012 auf deiner Kiste. Du musst davon ausgehen, dass für etwa vier Monate der gesammte Internetkontakt über die DLLs des Trojaners lief.
Das tun:

Danach das tun:

PFScan.exe starten.
In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

Code

CREATE_FOLDER->C:\PPFS_Sicherung
CREATE_FOLDER->C:\PPF_Scan2
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache>C:\PPF_Scan2\DNSCACHE.TXT
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation>C:\PPF_Scan2\LanmanWorkstation.TXT
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost>C:\PPF_Scan2\Svchost.txt
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Update-Service>C:\PPFS_Sicherung\UPDSVC.RE_
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SOFTWARE\Joosoft.com>C:\PPFS_Sicherung\Joosoft.RE_
KILL_PROCESS->IEXPLORE.EXE
KILL_PROCESS->Firefox.exe
KILL_PROCESS->Chrome.exe
KILL_PROCESS->OPERA.exe
KILL_PROCESS->svchost.exe
REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
->Update-Service
REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SOFTWARE
->Joosoft.com
MOVE_FILE_ON_REBOOT->C:\Windows\SysWOW64\UpdSvc.dll>C:\PPFS_Sicherung\UpdSvc.dll
MOVE_FILE_ON_REBOOT->C:\Windows\system32\xptwbz5i.tsp>C:\PPFS_Sicherung\xptc0vis.tsp
COPY_SCANFILES->C:\PPF_Scan2
REBOOT->

Alles anzeigen

Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
Warte, bis der Scanner sich selbst beendet.
Lasse das Script bei einer Meldung nicht abbrechen!
Hat der Scanner sich selbst beendet, startet sich der Rechner neu. Einmal melden, ob er sich neu gestartet hat.
Es befinden sich im Ordner C:\PPF_Scan2 dann einige Textdateien. Lade bitte alle Dateien, die du dort im Ordner C:\PPF_Scan2 findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.

Dann sofort das tun:

Erstelle einen neuen Ordner auf C:\
Lade dir das Programm LSPandTSP herunter und speichere es in dem neuen Ordner ab.
Starte LSPandTSP.exe.
Guard deine Virenscanners deaktivieren!
Klicke die Registrierkarte Telephony Providers an.
Setze ein Häkchen bei xptc0vis.tsp.
Setze ein Häkchen bei Ich weiß, was ich tue! und klicke den Button Markierte Einträge entfernen!.
Ist das Tool mit dem Fixen fertig, klicke im Menü auf Programm und LOG-Datei abspeichern.
Guard deine Virenscanners wieder aktivieren!
Lade die LOG-Datei bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste den Downloadlink im Forum.
Rechner dann neu starten.

Datei C:\PPFS_Sicherung\xptc0vis.tsp dann bei https://www.virustotal.com/ hochladen, neu scannen lassen und Link zum Ergebnis posten. Danach geht's weiter.

P.K.

Beim Reboot musste ich nachhelfen.

Hier die Log-Dateien vom 2. Scan

File-Upload.net - Test2.zip

P.K.

Hier der Link zum Log von LSPandTSP

File-Upload.net - LSPandTSP-LOG-File.txt

P.K.

Datei C:\PPFS_Sicherung\xptc0vis.tsp dann bei https://www.virustotal.com/ hochladen, neu scannen lassen und Link zum Ergebnis posten. Danach geht's weiter.

wollte die datei scannen lassen, aber diese ist in dem angegebenen ordner nicht zu finden

AxT

Mein Fehler.
Das Script im PPFScanner ausführen:

Code

MOVE_FILE_ON_REBOOT->C:\Windows\system32\xptc0vis.tsp>C:\PPFS_Sicherung\xptc0vis.tsp
COPY_SCANFILES->C:\PPF_Scan2
REBOOT->

Nach dem Reboot müsste die Datei da sein.

P.K.

Jup, hattest Recht.

Hier der Link zum Scan-Ergebnis.

https://www.virustotal.com/de/file/2b45f5…sis/1364828488/

AxT

Das Ding lief seit Januar 2012 auf deinem Rechner.

Das jetzt tun:

PPFScan.exe starten.
In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

Code

CREATE_FOLDER->C:\PPF_Scan3
SET_SCANLIST->1
SET_OPTIONS->-205,217
SET_HEADLINE->winupd.dat files#winupd.dat Dateien
SEARCH_FILES->winupd.dat
->
SET_HEADLINE->Signed files#Signierte Dateien
SEARCH_FILES_WITH_SIGNATURES->*.EXE
->
->Joosoft,Conpavi,taylorMed
SEARCH_FILES_WITH_SIGNATURES->*.DLL
->
->Joosoft,Conpavi,taylorMed
SET_HEADLINE->Modified at#Modifiziert am
SEARCH_FILES_WITH_DATES->*
->
->20111226
SET_HEADLINE->CompanyName#CompanyName
SEARCH_FILES_WITH_INFOS->*
->
->taylorMed,Joosoft,Bluw (Hong Kong) Limited,New Technology Quality,Discrete Cosine LLC,Conpavi,Works Ltd.,Portable Network Group,IntTele,VoIP Service Provider,Parental Solutions Inc.,Zeroconf,Intra Net Communications
->CompanyName
COPY_SCANFILES->C:\PPF_Scan3
OPEN->C:\PPF_Scan3
END->

Alles anzeigen

Klicke dann auf den Button Script ausführen und bestätige die erscheinende
Messagebox mit Ja.
Es befinden sich im Ordner C:\PPF_Scan3 dann einige Textdateien. Lade bitte alle Dateien, die du dort im Ordner C:\PPF_Scan3 findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.
Der Scan kann einige Stunden dauern.

P.K.

Hey,

hier die Links zu den Log Dateien nach dem Skriptdurchlauf:

File-Upload.net - ppFiles.txt

File-Upload.net - Scripting.txt

AxT

PPFScan.exe starten.
In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

Code

CREATE_FOLDER->C:\PPF_Scan3
SET_SCANLIST->1
SET_OPTIONS->-205,217
SET_HEADLINE->Files in C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp#Dateien in C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp
SEARCH_FILES->*
COPY_SCANFILES->C:\PPF_Scan3
OPEN->C:\PPF_Scan3
END->

Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
Es befinden sich im Ordner C:\PPF_Scan3 dann einige Textdateien. Lade bitte alle Dateien, die du dort im Ordner C:\PPF_Scan3 findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.

P.K.

den PPFScan3 ordner gibts ja schon, soll das so sein, oder müsst es nicht Scan4 heißen?

AxT

Wird überschrieben - ist egal.

P.K.

Ok, hier die Logs.

Links gelöscht.

Grüße
Philipp

AxT

Da hat was nicht geklappt. Alle bei dir offenen Dateien auf PPF_Scan3 schließen.
Script noch einmal ausführen. Warte, bis der Scanner sich beendet hat.

P.K.

Ich hab das Skript noch 2mal durchlaufen lassen, aber der aktualisiert die Log-Dateien nicht. Habs mal händisch in scan4 geändert und nach dem skriptdurchlauf bleibt der Ordner leer.

AxT

Das Script ausführen:

Code

CREATE_FOLDER->C:\PPF_Scan4
SET_SCANLIST->1
SET_OPTIONS->-205,217
SET_HEADLINE->Files in C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp#Dateien in C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp
SEARCH_FILES->*
->C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp
COPY_SCANFILES->C:\PPF_Scan4
OPEN->C:\PPF_Scan4
END->

Jetzt mitmachen!