Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner TR/Proxy.Gen5

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 14.07.2012, 12:23   #1
Lars1234
 
Trojaner TR/Proxy.Gen5 - Standard

Trojaner TR/Proxy.Gen5



Moin moin, mein free Antivir erkennt ein Virus oder unerwünschtes Programm.
In der Datei C:\Windows\System32\pouaiafd6.dll wurde ein Virus oder unerwünschtes Programm 'TR/Proxy.Gen5' gefunden.

Diese Meldung kommt ständig. Ich habe mit dem Programm OTL ein Scan durchgeführt und die erstellten Dateien angehängt.

Bitte um eure Hilfe, ich weiß nicht weiter.

Danke Lars

Alt 14.07.2012, 15:47   #2
markusg
/// Malware-holic
 
Trojaner TR/Proxy.Gen5 - Standard

Trojaner TR/Proxy.Gen5



hi
vorbereitung.
lade lspfix:
LSPfix - Freeware - DE - Download.CHIP.eu


es ist wichtig, dass du dich an die reihenfolge hältst!
1.
  • Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
  • Rechner über drücken der Taste F8 beim Booten in den abgesicherten Modus (ohne Netzwerk) hochfahren.
  • PPFScan.exe starten.
  • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:
Code:
ATTFilter
CREATE_FOLDER->C:\PPFS_Sicherung
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache>C:\PPFS_Sicherung\DNSCACHE.REG
SET_REGISTRY_VALUE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters
->ServiceDll
->2553797374656D526F6F74255C53797374656D33325C646E7372736C76722E646C6C00
->2
REBOOT->
         
  • Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
  • Klappt alles, startet sich der Rechner neu.
2.
dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.



Code:
ATTFilter
:OTL
SRV - (Update-Service) -- C:\Windows\System32\UpdSvc.dll (Joosoft.com GmbH)
SRV - (Dnscache) -- C:\Windows\System32\pouaiafd6.dll ()
O10 - NameSpace_Catalog5\Catalog_Entries\000000000009 [] - C:\Windows\system32\tnnsdhk7q.dll File not found

 :Files
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         


• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
3.

führe lsp fix aus.
__________________

__________________

Alt 14.07.2012, 16:27   #3
Lars1234
 
Trojaner TR/Proxy.Gen5 - Standard

Trojaner TR/Proxy.Gen5



Moin moin herzlichsten Dank für die schnelle Hilfe. Ich habe alles so ausgeführt wie beschrieben. Im Anhang die erstellte Textdatei.

Ob der Fehler behoben ist werde ich ja demnächst sehen.

Danke Lars
__________________

Alt 14.07.2012, 19:45   #4
markusg
/// Malware-holic
 
Trojaner TR/Proxy.Gen5 - Standard

Trojaner TR/Proxy.Gen5



internet geht?
  • Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
  • PPFScan.exe starten.
  • Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
  • Wähle im Untermenü Script laden und ausführen.
  • Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa.
  • Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. bitte einen rechtsklick auf diesen ordner, mit winrar packen und anhängen.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 17.07.2012, 13:37   #5
Lars1234
 
Trojaner TR/Proxy.Gen5 - Standard

Trojaner TR/Proxy.Gen5



Moin moin, bislang hat Avira noch nicht wieder gemeckert und soweit geht auch alles.
Im Anhang die Textdateien von Scan1.

Vielen lieben Dank für eure Mühe, echt spitze.

Gruß Lars


Alt 18.07.2012, 20:29   #6
markusg
/// Malware-holic
 
Trojaner TR/Proxy.Gen5 - Standard

Trojaner TR/Proxy.Gen5



• PPFScan.exe starten.
• In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:
CREATE_FOLDER->C:\PPFS_Sicherung
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Update-Service>C:\PPFS_Sicherung\UPD.re_
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation>C:\PPFS_ Sicherung\LanmanWorkstation.re_
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SOFTWARE\Joosoft.com>C:\PPFS_Sicherung\JOOSOFT.RE_
KILL_PROCESS->IEXPLORE.EXE
KILL_PROCESS->Firefox.exe
KILL_PROCESS->Chrome.exe
KILL_PROCESS->OPERA.EXE
KILL_PROCESS->svchost.exe
REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
->Update-Service
REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SOFTWARE
->Joosoft.com

REGISTRY_CREATE_KEY->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation
->parameters
->
SET_REGISTRY_VALUE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Paramete rs
->ServiceDll
->2553797374656D526F6F74255C53797374656D33325C776B737376632E646C6C00
->2
REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Provider s
->ProviderID4
REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Provider s
->ProviderFilename4
SET_REGISTRY_DWORD_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Provider s
->NextProviderID
->5
SET_REGISTRY_DWORD_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Provider s
->NumProviders
->4
MOVE_FILE_ON_REBOOT->C:\Windows\system32\incv2a9r5.tsp>C:\PPFS_Sicherung\incv2a9r5.tsp
MOVE_FILE_ON_REBOOT->C:\Windows\system32\UpdSvc.dll>C:\PPFS_Sicherung\UpdSvc.dll
REBOOT->

• Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
• Klappt alles, startet sich der Rechner neu.

öffne dann computer, navigiere zu
C:\PPFS_Sicherung
rechtsklick, mit winrar packen und hochladen im upload channel, wenn fertig, kurz melden.
Trojaner-Board Upload Channel
__________________
--> Trojaner TR/Proxy.Gen5

Alt 19.07.2012, 13:34   #7
Lars1234
 
Trojaner TR/Proxy.Gen5 - Standard

Trojaner TR/Proxy.Gen5



Moin, ich habe das Skript ausgeführt und folgende Fehlermeldung erhalten:

Script geht nicht
Zeile3:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation>C:\PPFS_Sicherung\LanmanWorkstation.re_REGISTRY_SAVE->HKEY_LOCAL_
MACHINE\SOFTWARE\Joosoft.com existiert nicht


Aber bislang kam auch noch keine Meldung über den Trojaner mehr.

Gruß Lars

Alt 19.07.2012, 15:18   #8
markusg
/// Malware-holic
 
Trojaner TR/Proxy.Gen5 - Standard

Trojaner TR/Proxy.Gen5



das hat damit nichts zu tun, wir haben trotzdem noch schaddateien + verbogene registry einträge, melde mich gleich noch mal
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 19.07.2012, 15:39   #9
markusg
/// Malware-holic
 
Trojaner TR/Proxy.Gen5 - Standard

Trojaner TR/Proxy.Gen5



neues script
wenn das klappt, weiter mit dem upload
Code:
ATTFilter
CREATE_FOLDER->C:\PPFS_Sicherung
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Update-Service>C:\PPFS_Sicherung\UPD.re_
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation>C:\PPFS_ Sicherung\LanmanWorkstation.re_
KILL_PROCESS->IEXPLORE.EXE
KILL_PROCESS->Firefox.exe
KILL_PROCESS->Chrome.exe
KILL_PROCESS->OPERA.EXE
KILL_PROCESS->svchost.exe
REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
->Update-Service
REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SOFTWARE
->Joosoft.com
REGISTRY_CREATE_KEY->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation
->parameters
->
SET_REGISTRY_VALUE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Paramete rs
->ServiceDll
->2553797374656D526F6F74255C53797374656D33325C776B737376632E646C6C00
->2
REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Provider s
->ProviderID4
REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Provider s
->ProviderFilename4
SET_REGISTRY_DWORD_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Provider s
->NextProviderID
->5
SET_REGISTRY_DWORD_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Provider s
->NumProviders
->4
MOVE_FILE_ON_REBOOT->C:\Windows\system32\incv2a9r5.tsp>C:\PPFS_Sicherung\incv2a9r5.tsp
MOVE_FILE_ON_REBOOT->C:\Windows\system32\UpdSvc.dll>C:\PPFS_Sicherung\UpdSvc.dll
REBOOT->
         
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 19.07.2012, 21:21   #10
AHT
/// Helfer-Team
 
Trojaner TR/Proxy.Gen5 - Standard

Trojaner TR/Proxy.Gen5



@markusg: Klappt bei euch so nicht.
Euer Forum macht innerhalb der Code-Tags eine automatische Worttrennung - das zerschneidet die Schlüsselnamen.
Hab's gerade erst gesehen.
Lade das mal als Textdatei hoch.

@Lars1234: Du bist noch infiziert.
Das Problem bei Mediyes ist, dass die injizierten DLLs hardwareabhangig codiert sind. Die TSP-Datei, die unter anderem noch in deinem System ist, lädt zum Beispiel die vorher von Markus mit LSP-Fix gelöschte DLL in den Layered Service Providern wieder nach. In der Regel dann oft in einer Version, die dein Virenscanner nicht mehr erkennt.
Du kommst übrigens erst nicht mehr ins Internet, wenn dein Virenscanner versucht, die DLL im LSP Schlüssel zu löschen. Dann geht die Kette dort nicht mehr.

Alt 19.07.2012, 22:15   #11
markusg
/// Malware-holic
 
Trojaner TR/Proxy.Gen5 - Standard

Trojaner TR/Proxy.Gen5



die angehangene datei laden, script in den ppf scanner kopieren und ausführen
Angehängte Dateien
Dateityp: txt Neues Textdokument.txt (1,6 KB, 154x aufgerufen)
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 20.07.2012, 09:51   #12
Lars1234
 
Trojaner TR/Proxy.Gen5 - Standard

Trojaner TR/Proxy.Gen5



Danke, habe es nochmals ausgeführt und diesmal hat es geklappt.

Ist im Upload Channel hochgeladen.

Bin gespannt auf eure Rückmeldung.

Gruß Lars.

Alt 20.07.2012, 11:03   #13
markusg
/// Malware-holic
 
Trojaner TR/Proxy.Gen5 - Standard

Trojaner TR/Proxy.Gen5



sorry erst mal für die verwirrung :-(
ist auf jeden fall malware, ich meld mich noch mal, muss noch mal über die logs gehen.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 20.07.2012, 12:31   #14
Lars1234
 
Trojaner TR/Proxy.Gen5 - Standard

Trojaner TR/Proxy.Gen5



Kein Problem ich finds super wie einem hier geholfen wird!

Gruß Lars

Alt 20.07.2012, 17:05   #15
markusg
/// Malware-holic
 
Trojaner TR/Proxy.Gen5 - Standard

Trojaner TR/Proxy.Gen5



ok
gehe jetzt mal auf start ausführen, tippe:
regedit.exe
enter navigiere zu:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2
dort rechtsklick, exportieren.
speichere ihn da, wo du ihn gut wieder findest
und im upload channel hochladen bitte
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu Trojaner TR/Proxy.Gen5
.dll, antivir, c:\windows, datei, dateien, durchgeführt, erkenn, erkennt, erstell, erstellte, free, gefunde, meldung, scan, system, system32, troja, trojaner, unerwünschtes, virus, windows



Ähnliche Themen: Trojaner TR/Proxy.Gen5


  1. Samsung Monte will Proxy-Passwort, aber kein Proxy installiert
    Smartphone, Tablet & Handy Security - 16.06.2014 (2)
  2. TR/Dropper.Gen5 und loadtbs
    Plagegeister aller Art und deren Bekämpfung - 31.01.2013 (19)
  3. HTML/Rce.Gen5 --> Was nun?
    Plagegeister aller Art und deren Bekämpfung - 07.01.2013 (3)
  4. spy.banker.gen5
    Plagegeister aller Art und deren Bekämpfung - 08.08.2012 (3)
  5. Trojaner TR/Spy.Banker.Gen5 in C:\User\Antonia\AppData\Roaming\BAcroIEHelpe180.dll eingefangen
    Plagegeister aller Art und deren Bekämpfung - 04.08.2012 (1)
  6. TR/Crypt.XPACK.Gen5
    Plagegeister aller Art und deren Bekämpfung - 01.08.2012 (9)
  7. TR/Proxy.Gen5 in C:\Windows\System32\pouay7o22.dll
    Plagegeister aller Art und deren Bekämpfung - 17.07.2012 (9)
  8. Maßnahmen gegen Trojaner TR/spy.banker.gen5 und TR/Spy.Farko.lw
    Plagegeister aller Art und deren Bekämpfung - 17.07.2012 (15)
  9. TR/ATRAPS.Gen5
    Plagegeister aller Art und deren Bekämpfung - 22.06.2012 (2)
  10. TR/Crypt.XPACK.Gen5
    Log-Analyse und Auswertung - 23.05.2012 (5)
  11. crypt.xpack.gen5
    Plagegeister aller Art und deren Bekämpfung - 22.05.2012 (2)
  12. Trojaner TR/Crypt.XPACK.Gen5" gefunden C:\Windows\winsxs\Temp\PendingRenames
    Log-Analyse und Auswertung - 16.05.2012 (6)
  13. Trojaner [TR/Fraud.Gen5] und [EXP/SWF.AF]
    Log-Analyse und Auswertung - 02.01.2012 (13)
  14. Trojaner TR/Proxy.VB.BR
    Plagegeister aller Art und deren Bekämpfung - 19.07.2009 (6)
  15. Proxy-Trojaner???
    Plagegeister aller Art und deren Bekämpfung - 12.05.2005 (3)
  16. Proxy.10.S Trojaner
    Plagegeister aller Art und deren Bekämpfung - 01.12.2004 (4)

Zum Thema Trojaner TR/Proxy.Gen5 - Moin moin, mein free Antivir erkennt ein Virus oder unerwünschtes Programm. In der Datei C:\Windows\System32\pouaiafd6.dll wurde ein Virus oder unerwünschtes Programm 'TR/Proxy.Gen5' gefunden. Diese Meldung kommt ständig. Ich habe mit - Trojaner TR/Proxy.Gen5...
Archiv
Du betrachtest: Trojaner TR/Proxy.Gen5 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.