Mediyes - Bitte um Hilfe!

workaholic

Hallo liebes Forum,

habe vor ein paar Tagen bemerkt, dass in der Windows Ereignisanzeige unzählige Fehlermeldungen bzgl. "Arbeitsstationsdienst konnte nicht gestartet werden... Fehler 126" protokolliert werden.
Bei der Suche nach einer Lösung bin ich im Internet auf dieses Forum gestoßen und habe auch schon eine Prüfung mit dem LanmanworkstationChecker durchgeführt. Offensichtlich ist / war mein System mit dem "Mediyes"-Trojaner infiziert...
Hier der Bericht des LanmanworkstationChecker:

Zitat

DLL im Lanmanworkstation Schlüssel: %SystemRoot%\System32\aptwilviv.dll
Geladene DLL: C:\Windows\System32\aptwilviv.dll
Signatur der DLL:
Rückgabe der Signaturermittlung: Das System kann die angegebene Datei nicht finden.
MD5 der DLL:
DLL im Dnscache Schlüssel: %SystemRoot%\System32\dnsrslvr.dll
Geladene DLL: C:\Windows\System32\dnsrslvr.dll
Signatur der DLL: Microsoft Windows
Rückgabe der Signaturermittlung: Der Vorgang wurde erfolgreich beendet.
MD5 der DLL: 16835866AAA693C7D7FCEBA8FFF706E4
Die im Lanmanworkstation Schlüssel angegebene DLL konnte nicht gefunden werden!
Auf ihrem Rechner wurde eine Datei gefunden, die auf eine Infektion mit einem
Mediyes Trojaner hindeuten könnte!

Alles anzeigen

Danke schon mal im Voraus!

workaholic

Werbepost

Hallo!

Wenn du gerade an deiner Website arbeitest oder dein aktuelles Hosting überdenkst: Wir betreiben mit NetzLiving eine Hosting-Plattform, die speziell auf Performance, Sicherheit und einfache Verwaltung ausgelegt ist.

✔️ Schnelle Ladezeiten (optimiert für WordPress, WoltLab & Co.)
✔️ Deutsche Server & DSGVO-konform
✔️ Persönlicher Support (kein 0815-Ticket-System)

Mehr erfahren

Wenn du Fragen hast, kannst du dich gerne jederzeit an @Maximilian Rupp wenden

Hinweis:

AxT

Jau - Mediyesbefall.

Das tun:

Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
Danach die PPFScan.exe starten.
Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
Wähle im Untermenü Script laden und ausführen.
Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja.
Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

workaholic

Wow! Extrem schnelle Reaktion! Respekt!

Hier die gewünschte ZIP-Datei:
PPF_Scan1.zip

INFO: Den PPF_Scan hatte ich vorher schon heruntergeladen und ausgeführt, daher sind frühere Zeitstempel auf den Dateien.

Danke schon mal!

workaholiic

AxT

Deine Probleme haben scheinbar im Dezember 2011 ihren Anfang gehabt. Im Januar 2012 wurde nochmals ein Update geladen. LSP-Kette, TSP-Kette und Arbeitsstationsdienst sind zur Zeit zerschossen. Der Payload der Malware ist nicht mehr aktiv. Ich helfe dir weiter.

Das tun:

PPFScan.exe starten.
In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

Code

CREATE_FOLDER->C:\PPFS_Sicherung
CREATE_FOLDER->C:\PPF_Scan2
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache>C:\PPF_Scan2\DNSCACHE.TXT
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation>C:\PPF_Scan2\LanmanWorkstation.TXT
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost>C:\PPF_Scan2\Svchost.txt
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SOFTWARE\Joosoft.com>C:\PPFS_Sicherung\Joosoft.RE_
KILL_PROCESS->IEXPLORE.EXE
KILL_PROCESS->Firefox.exe
KILL_PROCESS->Chrome.exe
KILL_PROCESS->OPERA.exe
KILL_PROCESS->svchost.exe
REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SOFTWARE
->Joosoft.com 
MOVE_FILE_ON_REBOOT->C:\Windows\SysWOW64\UpdSvc.dll>C:\PPFS_Sicherung\UpdSvc.dll
COPY_SCANFILES->C:\PPF_Scan2
REBOOT->

Alles anzeigen

Klicke dann auf den Button Script ausführen und bestätige die erscheinende
Messagebox mit Ja.
Warte, bis der Scanner sich selbst beendet.
Lasse das Script bei einer Meldung nicht abbrechen!
Hat der Scanner sich selbst beendet, startet sich der Rechner neu. Einmal melden, ob er sich neu gestartet hat.
Es befinden sich im Ordner C:\PPF_Scan2 dann einige Textdateien. Lade bitte alle Dateien, die du dort im Ordner C:\PPF_Scan2 findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.

Danach sofort das tun:

Erstelle einen neuen Ordner auf C:\
Lade dir das Programm LSPandTSP herunter und speichere es in dem neuen Ordner ab.
Starte LSPandTSP.exe.
Guard deine Virenscanners deaktivieren!
Klicke die Registrierkarten Telephony Providers an.
Setze ein Häkchen bei xptc0vis.tsp.
Klicke die Registrierkarten (Catalog 5) an.
Setze ein Häkchen bei C:\Windows\system32\d3dyub6to.dll.
Setze ein Häkchen bei Ich weiß, was ich tue! und klicke den Button Markierte Einträge entfernen!.
Ist das Tool mit dem Fixen fertig, klicke im Menü auf Programm und LOG-Datei abspeichern.
Guard deines Virenscanners wieder aktivieren!
Lade die LOG-Datei bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste den Downloadlink im Forum.
Rechner dann neu starten.

Danach repariere ich den Dienst.

workaholic

Sorry, wo finde ich PFScan.exe?
In dem Ordner, in dem ich PPFScan entpackt habe, finde ich nur PPFScan.exe und PPFScan64.exe?

AxT

Gibt es Probleme mit dem Script?

AxT

Hab die Sachen oben geändert - waren Schreibfehler drin.

workaholic

Gut. Jetzt bin ich einen Schritt weiter gekommen, allerdings wurde noch folgende Meldung angezeigt: "Die letzte Scriptingzeile konnte nicht erfolgreich abgeschlossen werden. Scripting jetzt abbrechen?"
Nun kann ich "Ja" oder "Nein" wählen... was ist richtig?

AxT

Script nicht abbrechen.
Nein wählen.

workaholic

OK. Habe jetzt "Nein" geklickt.
Wenige Sekunden später hat der PC neu gestartet.
Soll ich jetzt die weiteren Schritte ausführen, die Du oben geschrieben hattest?

AxT

Ja, weiter machen. Will den Dienst noch zum Laufen kriegen.

workaholic

OK. Habe die restlichen Schritte erfolgreich durchgeführt und die Logdatei hochgeladen:
LSPandTSP-LOG-File.txt

AxT

Wo sind die dateien aus C:\PPF_Scan2?

workaholic

Ooops. Die hatte ich vergessen hochzuladen... der PC ist noch am Starten.
Ich lade gleich hoch und sag wieder bescheid.
Sorry.

workaholic

So. Hier noch die PPFScan2.zip: PPF_Scan2.zip

AxT

Das tun:

PPFScan.exe starten.
In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

Code

SET_REGISTRY_EXPANDED_STRING_VALUE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanWorkstation\Parameters
->ServiceDll
->%SystemRoot%\System32\wkssvc.dll
REBOOT->

Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
Warte, bis der Scanner sich selbst beendet.
Hat der Scanner sich selbst beendet, startet sich der Rechner neu. Danach einmal den Arbeitsstationsdienst testen. Je nachdem was zerschossen ist, kann es sein, das der immer noch nicht startet - keine Gedanken darüber machen, das kriegen wir dann noch hin. Ich muss nur wissen ob der schon geht, dann brauche ich an der anderen Ecke nicht mehr schauen.
Danach sind wir lange noch nicht fertig - auch wenn der Dienst laufen sollte.

Dann das tun:

PPFScan.exe starten.
In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

Code

CREATE_FOLDER->C:\PPF_Scan3
SET_SCANLIST->1
SET_OPTIONS->-205,217
SET_HEADLINE->Files in C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp#Dateien in C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp
SEARCH_FILES->*
->C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp
SET_HEADLINE->winupd.dat files#winupd.dat Dateien
SEARCH_FILES->winupd.dat
->
SET_HEADLINE->Signed files#Signierte Dateien
SEARCH_FILES_WITH_SIGNATURES->*.EXE
->
->Joosoft,Conpavi,taylorMed,Daily
SEARCH_FILES_WITH_SIGNATURES->*.DLL
->
->Joosoft,Conpavi,taylorMed,Daily
SET_HEADLINE->Modified at#Modifiziert am
SEARCH_FILES_WITH_DATES->*
->
->20111225,20120115
SET_HEADLINE->CompanyName#CompanyName
SEARCH_FILES_WITH_INFOS->*
->
->Daily,taylorMed,Joosoft,Bluw (Hong Kong) Limited,New Technology Quality,Discrete Cosine LLC,Conpavi,Works Ltd.,Portable Network Group,IntTele,VoIP Service Provider,Parental Solutions Inc.,Zeroconf,Intra Net Communications
->CompanyName
COPY_SCANFILES->C:\PPF_Scan3
OPEN->C:\PPF_Scan3
END->

Alles anzeigen

Klicke dann auf den Button Script ausführen und bestätige die erscheinende
Messagebox mit Ja.
Es befinden sich im Ordner C:\PPF_Scan3 dann einige Textdateien. Lade bitte alle Dateien, die du dort im Ordner C:\PPF_Scan3 findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.
Der Scan kann einige Stunden dauern. Den Rest machen wir morgen.

workaholic

OK - habe das Script in PPFScan64.exe eingefügt und ausgeführt.
Der Rechner startet gerade neu.
Werde dann noch die restlichen Schritte durchführen und die Ergebnisse melden.

Bis hierher auf jeden Fall schon mal VIELEN HERZLICHEN DANK!
Du bist auf mein Held!

Bis morgen!

workaholic

workaholic

Erster Erfolg! Der Arbeitsstationsdienst läuft wieder!
Ich mache weiter...

workaholic

Im Moment läuft der PPFScanner und ich werde jetz auch mal ein paar Stunden schlafen. Morgen lade ich die Logs hoch und melde mich wieder.
Nochmals Danke, für die super schnelle und extrem kompetente Hilfe!

workaholic

workaholic

Guten Tag.
So, der PPFScan ist durch. Hier sind die Logs Link gelöscht.

Grüße

workaholic

Jetzt mitmachen!