Lanman Check / Arbeitsstationsdienst startet nicht 2

Mediyesbefall auf dem Rechner. Das tun:

• Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
• Danach die PPFScan.exe starten.
• Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
• Wähle im Untermenü Script laden und ausführen.
• Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja.
• Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

Werde mich hier morgen früh wieder melden- muss gleich arbeiten.
Bitte nicht selbst versuchen, die Kiste zu bereinigen - das geht in der Regel in die Hose.

Um dir besser helfen zu können, habe ich deine Beiträge verschoben.

Zu dem Befall:
Deine Probleme haben scheinbar im Dezember 2011 ihren Anfang gehabt. Ein Teil des Payloads der Malware ist bei dir noch aktiv - und läuft scheinbar seit Januar 2012 auf der Kiste.

Das tun:

• PFScan.exe starten.
• In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

CREATE_FOLDER->C:\PPFS_Sicherung
CREATE_FOLDER->C:\PPF_Scan2
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache>C:\PPF_Scan2\DNSCACHE.TXT
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation>C:\PPF_Scan2\LanmanWorkstation.TXT
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost>C:\PPF_Scan2\Svchost.txt
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Update-Service>C:\PPFS_Sicherung\UPDSVC.RE_
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SOFTWARE\Joosoft.com>C:\PPFS_Sicherung\Joosoft.RE_
KILL_PROCESS->IEXPLORE.EXE
KILL_PROCESS->Firefox.exe
KILL_PROCESS->Chrome.exe
KILL_PROCESS->OPERA.exe
KILL_PROCESS->svchost.exe
REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
->Update-Service
REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SOFTWARE
->Joosoft.com
MOVE_FILE_ON_REBOOT->C:\Windows\SysWOW64\UpdSvc.dll>C:\PPFS_Sicherung\UpdSvc.dll
MOVE_FILE_ON_REBOOT->C:\Windows\system32\xpt83roj.tsp>C:\PPFS_Sicherung\xpt83roj.tsp
COPY_SCANFILES->C:\PPF_Scan2
REBOOT->

• Klicke dann auf den Button Script ausführen und bestätige die erscheinende
  Messagebox mit Ja.
• Warte, bis der Scanner sich selbst beendet.
• Lasse das Script bei einer Meldung nicht abbrechen!
• Hat der Scanner sich selbst beendet, startet sich der Rechner neu. Einmal melden, ob er sich neu gestartet hat.
• Es befinden sich im Ordner C:\PPF_Scan2 dann einige Textdateien. Lade bitte alle Dateien, die du dort im Ordner C:\PPF_Scan2 findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.

Danach sofort das tun:

• Erstelle einen neuen Ordner auf C:\
• Lade dir das Programm LSPandTSP herunter und speichere es in dem neuen Ordner ab.
• Starte LSPandTSP.exe.
• Guard deine Virenscanners deaktivieren!
• Klicke die Registrierkarten Telephony Providers an.
• Setze ein Häkchen bei C:\Windows\system32\xpt83roj.tsp.
• Setze ein Häkchen bei Ich weiß, was ich tue! und klicke den Button Markierte Einträge entfernen!.
• Ist das Tool mit dem Fixen fertig, klicke im Menü auf Programm und LOG-Datei abspeichern.
• Guard deines Virenscanners wieder aktivieren!
• Lade die LOG-Datei bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste den Downloadlink im Forum.
• Rechner dann neu starten.

Danach repariere ich den Dienst.

Die Dateien aus PPFScan2 fehlen. Die brauche ich zum Reparierem des Dienstes.

Das tun:

• PPFScan.exe starten.
• In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

SET_REGISTRY_EXPANDED_STRING_VALUE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanWorkstation\Parameters
->ServiceDll
->%SystemRoot%\System32\wkssvc.dll
REBOOT->

• Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
• Warte, bis der Scanner sich selbst beendet.
• Hat der Scanner sich selbst beendet, startet sich der Rechner neu. Danach einmal den Arbeitsstationsdienst testen. Je nachdem was zerschossen ist, kann es sein, das der immer noch nicht startet - keine Gedanken darüber machen, das kriegen wir dann noch hin. Ich muss nur wissen ob der schon geht, dann brauche ich an der anderen Ecke nicht mehr schauen.
• Danach sind wir lange noch nicht fertig - auch wenn der Dienst laufen sollte.

Dann das tun:

• PPFScan.exe starten.
• In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

CREATE_FOLDER->C:\PPF_Scan3
SET_SCANLIST->1
SET_OPTIONS->-205,217
SET_HEADLINE->Files in   C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp#Dateien in   C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp
SEARCH_FILES->*
->C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp
SET_HEADLINE->winupd.dat files#winupd.dat Dateien
SEARCH_FILES->winupd.dat
->
SET_HEADLINE->Signed files#Signierte Dateien
SEARCH_FILES_WITH_SIGNATURES->*.EXE
->
->Joosoft,Conpavi,taylorMed
SEARCH_FILES_WITH_SIGNATURES->*.DLL
->
->Joosoft,Conpavi,taylorMed
SET_HEADLINE->Modified at#Modifiziert am
SEARCH_FILES_WITH_DATES->*
->
->20111213
SET_HEADLINE->CompanyName#CompanyName
SEARCH_FILES_WITH_INFOS->*
->
->taylorMed,Joosoft,Bluw (Hong Kong) Limited,New Technology   Quality,Discrete Cosine LLC,Conpavi,Works Ltd.,Portable Network   Group,IntTele,VoIP Service Provider,Parental Solutions   Inc.,Zeroconf,Intra Net Communications
->CompanyName
COPY_SCANFILES->C:\PPF_Scan3
OPEN->C:\PPF_Scan3
END->

• Klicke dann auf den Button Script ausführen und bestätige die erscheinende
  Messagebox mit Ja.
• Es befinden sich im Ordner C:\PPF_Scan3 dann einige Textdateien. Lade bitte alle Dateien, die du dort im Ordner C:\PPF_Scan3 findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.
• Der Scan kann einige Stunden dauern.

Während der Scan läuft, öffne den Ordner C:\PPFS_Sicherung.
Dort findest du eine Datei xpt83roj.tsp - das ist die Datei, die noch auf dem Rechner lief. Läde die Datei hier hoch und lasse sie neu scannen: https://www.virustotal.com/de/
Kopiere den Link zum Scanergebnis aus der Artessleiste des Browsers ab und füge den Link hier in einen Beitrag ein.

Ja - sonst hätte der nicht über ein Jahr auf deinem Rechner laufen können.

Du erhälst gleich ein PM von mir.Ich empfehle Kaspersky weiter zu nutzen.

Muss gleich zur Arbeit. Ich schaue mír morgen früh wieder die Sachen an, dann geht's weiter.
Mach erst mal kein Onlinebanking mit dem Gerät, bis wir fertig sind (wegen ZBOT-Befall in der Vergangenheit). Auch keine Einkäufe mit dem Gerät tätigen.

PPFScan3 fehlt noch.

• PPFScan.exe starten.
• In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

CREATE_FOLDER->C:\PPFS_Sicherung
MOVE_FILE->K:\iview430g_setup.exe>C:\PPFS_Sicherung\iview430g_setup.ex_
END->

• Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.

Danach das tun:
Kaspersky TDSSKiller

• Lade die TDSSKiller.exe herunter und speicher sie auf dem Desktop.
• Starte die Datei TDSSKiller.exe
• Klicke auf Change parameters
• Setze zusätzlich einen Haken bei Loaded modules
• Bestätige die Meldung "Reboot is required" mit Reboot now
• Das System wird einen Neustart durchführen
• Nach dem Neustart öffnet sich der TDSSKiller automatisch
• Klicke erneut auf Change parameters
• Setze zusätzlich bei Verify file digital signatures und Detect TDLFS file system einen Haken.
• Klick auf OK und anschließend auf Start scan
• Warte bis zum Ende der Untersuchung .
• Sollten Threats gefunden werden so wähle Skip aus.
• Bestätige unten Links mit Continue
• Schließe das Fenster vom TDSSKiller
• Navigiere nun zu C:
• Lade dort das Log TDSSKiller.2.x.x.x_Tag.Monat.Jahr_Datum_log bitte bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Download Links hier im Forum.

Malwarebytes Anti-Malware

Wichtig:

Deaktiviere vor dem Suchdurchlauf dein Antivirenprogramm.
Das geht meistens im Systemtray (unten rechts bei der Uhr)

Rechtsklick auf das Symbol deines AV Programmes und beende es. 

• Lad dir Malwarebytes von hier
• Installiere das Programm in den vorgegebenen Pfad.
• Lehne die Testphase ab
• Führe ein Update durch (Reiter Aktualisierungen) solange bis die Datenbank auf dem neusten Stand ist.
• Klicke auf den Reiter Suchlauf --> wähle dort "Vollständigen Suchlauf durchführen" --> klicke auf Scannen.
• Wenn der Scan beendet ist, klicke auf "Ergebnisse anzeigen".
• Versichere Dich, dass alle Funde markiert sind und drücke "Entferne Auswahl".
• Falls ein Neustart verlangt wird so bitte nachkommen.
• Es wird ein Logfile erstellt.
• Lade bitte das Log bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum. Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Den Scanbericht mit dem ZBot Fund brauche ich auch noch:

Kaspersky 2013

• Öffne das Hauptmenü von Kaspersky
• Klicke oben rechts auf Berichte
• Klicke anschließend unten Rechts auf Detaillierter Bericht
• Wähle oben bei Zeitraum:

Tag/Woche/Monat/Jahr/Gesamter Zeitraum

• Klicke nun unten rechts auf Speichern...
• Speicher das Log als Kaspersky.txt auf dem Desktop ab

Malwarebytes wieder deinstallieren. Das dann tun:

• Lad dir bitte von hier den AdwCleaner herunter
• Starte nun die adwcleaner.exe
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Lade bitte das Log bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Download links hier im Forum.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.