Mediyes Trojaner?

Ja, mach ich.

Das tun:

• Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
• Danach die PPFScan.exe starten.
• Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
• Wähle im Untermenü Script laden und ausführen.
• Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja.
• Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

Wir werden morgen nicht fertig werden. Wird alles etwas dauern.

Mediyesbefall. Deine Probleme haben scheinbar im Dezember 2011 ihren Anfang gehabt. Arbeitsstationsdienst und TSP Kette sind zur Zeit zerschossen. Der Payload der Malware ist bei dir nicht mehr aktiv.
Das tun:

• PFScan.exe starten.
• In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

CREATE_FOLDER->C:\PPFS_Sicherung
CREATE_FOLDER->C:\PPF_Scan2
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache>C:\PPF_Scan2\DNSCACHE.TXT
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation>C:\PPF_Scan2\LanmanWorkstation.TXT
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost>C:\PPF_Scan2\Svchost.txt
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Update-Service>C:\PPFS_Sicherung\UPDSVC.RE_
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SOFTWARE\Joosoft.com>C:\PPFS_Sicherung\Joosoft.RE_
KILL_PROCESS->IEXPLORE.EXE
KILL_PROCESS->Firefox.exe
KILL_PROCESS->Chrome.exe
KILL_PROCESS->OPERA.exe
KILL_PROCESS->svchost.exe
REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
->Update-Service
MOVE_FILE_ON_REBOOT->C:\Windows\SysWOW64\UpdSvc.dll>C:\PPFS_Sicherung\UpdSvc.dll
COPY_SCANFILES->C:\PPF_Scan2
REBOOT->

• Klicke dann auf den Button Script ausführen und bestätige die erscheinende
  Messagebox mit Ja.
• Warte, bis der Scanner sich selbst beendet.
• Lasse das Script bei einer Meldung nicht abbrechen!
• Hat der Scanner sich selbst beendet, startet sich der Rechner neu. Einmal melden, ob er sich neu gestartet hat.
• Es befinden sich im Ordner C:\PPF_Scan2 dann einige Textdateien. Lade bitte alle Dateien, die du dort im Ordner C:\PPF_Scan2 findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.

Danach sofort das tun:

• Erstelle einen neuen Ordner auf C:\
• Lade dir das Programm LSPandTSP herunter und speichere es in dem neuen Ordner ab.
• Starte LSPandTSP.exe.
• Guard deine Virenscanners deaktivieren!
• Klicke die Registrierkarten Telephony Providers an.
• Setze ein Häkchen bei xptib0lb.tsp.
• Setze ein Häkchen bei Ich weiß, was ich tue! und klicke den Button Markierte Einträge entfernen!.
• Ist das Tool mit dem Fixen fertig, klicke im Menü auf Programm und LOG-Datei abspeichern.
• Guard deines Virenscanners wieder aktivieren!
• Lade die LOG-Datei bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste den Downloadlink im Forum.
• Rechner dann neu starten.

Danach repariere ich den Dienst.

OK, kein Problem.

Das tun:

• PPFScan.exe starten.
• In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

SET_REGISTRY_EXPANDED_STRING_VALUE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanWorkstation\Parameters
->ServiceDll
->%SystemRoot%\System32\wkssvc.dll
REBOOT->

• Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
• Warte, bis der Scanner sich selbst beendet.
• Hat der Scanner sich selbst beendet, startet sich der Rechner neu. Danach einmal den Arbeitsstationsdienst testen. Je nachdem was zerschossen ist, kann es sein, das der immer noch nicht startet - keine Gedanken darüber machen, das kriegen wir dann noch hin. Ich muss nur wissen ob der schon geht, dann brauche ich an der anderen Ecke nicht mehr schauen.
• Danach sind wir lange noch nicht fertig - auch wenn der Dienst laufen sollte.

Dann das tun:

• PPFScan.exe starten.
• In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

CREATE_FOLDER->C:\PPF_Scan3
SET_SCANLIST->1
SET_OPTIONS->-205,217
SET_HEADLINE->Files in  C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp#Dateien in  C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp
SEARCH_FILES->*
->C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp
SET_HEADLINE->winupd.dat files#winupd.dat Dateien
SEARCH_FILES->winupd.dat
->
SET_HEADLINE->Signed files#Signierte Dateien
SEARCH_FILES_WITH_SIGNATURES->*.EXE
->
->Joosoft,Conpavi,taylorMed,Daily
SEARCH_FILES_WITH_SIGNATURES->*.DLL
->
->Joosoft,Conpavi,taylorMed,Daily
SET_HEADLINE->Modified at#Modifiziert am
SEARCH_FILES_WITH_DATES->*
->
->20111226
SET_HEADLINE->CompanyName#CompanyName
SEARCH_FILES_WITH_INFOS->*
->
->Daily,taylorMed,Joosoft,Bluw (Hong Kong) Limited,New Technology  Quality,Discrete Cosine LLC,Conpavi,Works Ltd.,Portable Network  Group,IntTele,VoIP Service Provider,Parental Solutions  Inc.,Zeroconf,Intra Net Communications
->CompanyName
COPY_SCANFILES->C:\PPF_Scan3
OPEN->C:\PPF_Scan3
END->

• Klicke dann auf den Button Script ausführen und bestätige die erscheinende
  Messagebox mit Ja.
• Es befinden sich im Ordner C:\PPF_Scan3 dann einige Textdateien. Lade bitte alle Dateien, die du dort im Ordner C:\PPF_Scan3 findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.
• Der Scan kann einige Stunden dauern.

Das tun:
Malwarebytes Anti-Malware

Wichtig:

Deaktiviere vor dem Suchdurchlauf dein Antivirenprogramm.
Das geht meistens im Systemtray (unten rechts bei der Uhr)
Rechtsklick auf das Symbol deines AV Programmes und beende es. 

• Lad dir Malwarebytes von hier
• Installiere das Programm in den vorgegebenen Pfad.
• Lehne die Testphase ab
• Führe ein Update durch (Reiter Aktualisierungen) solange bis die Datenbank auf dem neusten Stand ist.
• Klicke auf den Reiter Suchlauf --> wähle dort "Vollständigen Suchlauf durchführen" --> klicke auf Scannen.
• Wenn der Scan beendet ist, klicke auf "Ergebnisse anzeigen".
• Versichere Dich, dass alle Funde markiert sind und drücke "Entferne Auswahl".
• Falls ein Neustart verlangt wird so bitte nachkommen.
• Es wird ein Logfile erstellt.
• Lade bitte das Log bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum. Nachträglich kannst du den Bericht unter "Log Dateien" finden

Muss gleich zur Nachtschicht - melde mich hier morgen wieder.

Malwarebytes wieder deinstallieren.
Das tun:
Adwcleaner

Suchen

• Lad dir bitte von hier den AdwCleaner herunter und speicher es auf dem Desktop ab
• Starte nun die adwcleaner.exe
• Klicke im Hauptfenster auf "Suchen"
• Wenn der Scan beendet ist, klicke auf "Bericht" - es erscheint eine LOG-Datei
• Lade das Log(AdwCleaner[R0].txt) bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste den Downloadlink hier im Forum.

Löschen

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe
• Klicke im Hauptfenster auf "Suchen"
• Warte bis der Scan beendet ist.
• Klicke im Hauptfenster auf "Löschen"
• Bestätige die erscheinenden Meldung mit OK
• Der Rechner wird sich neu starten.
• Nach dem Neustart öffnet sich ein Textdokument.
• Lade das Log AdwCleaner[S0].txt, das sich nach dem Neustart geöffnet hat, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste den Downloadlink hier im Forum.

Dann das:

• Lad dir den ESET Onlinescanner von hier herunter.
• Führen den esetsmartinstaller_deu aus und folge der Installationsroutine.
• Stelle nach dem Herunterladen der Komponenten den Scanner wie auf diesem Bild ein.
  [Blockierte Grafik: http://www.paules-pc-forum.de/infothek/leo/esetos.jpg]
• Klicke anschließend unten rechts auf Starten um den Suchlauf auszuführen.
• Nach dem Scann bitte den ESET Onlinescanner nicht deinstallieren!
• Das LOG findest Du im folgendem Verzeichnis
• C:\Programme\ESET\ESET Online Scanner\log.txt

Nein, nicht normal.
Er soll den Scan abbrechen und nach dem LOG suchen.
Der Onlinescanner hat einen kleinen Fehler in der Programmierung und fährt sich auf manchen Rechnern fest.