so, da ist der nächste Scan

Gruß Velch70

Servus,




ComboFix wird am Ende der Bereinigung dich auffordern, Dateien hochzuladen. Folge bitte den Anweisungen und lass die Dateien zur weiteren Analyse hochladen! Vielen Dank!



Schritt 1
Combofix-Skript

WARNUNG für die MITLESER:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

• Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link
• Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!
• Drücke die Windows + R Taste --> notepad (hinein schreiben) --> OK
• Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
  
  
  

  Code: Alles auswählenAufklappen

  ATTFilter

  http://www.trojaner-board.de/127992-adware-agent-c-users-xxxxx-appdata-local-temp-814044-uninstall-uninstall-exe-adware-agent-c-users-xxxxxx-downloads-flv.html
  
  Driver::
  Update-Service
  
  Collect::[100]
  C:\Windows\SysNative\aptw71ukf.dll
  C:\Windows\system32\d3dysoos7.dll
  C:\Windows\SysNative\xptsgtyo.tsp
  C:\Windows\system32\UpdSvc.dll
  
  Registry::
  [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]
  "Update-Service-Installer-Service"=-
  "Update-Service"=-
  
  [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
  "Update-Service-Installer-Service"=-
  "Update-Service"=-
  
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Joosoft.com]
  
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanWorkstation\Parameters]
  "ServiceDll"=hex(2):25,53,79,73,74,65,6D,52,6F,6F,74,25,5C,53,\
    79,73,74,65,6D,33,32,5C,77,6B,73,73,76,63,2E,64,6C,6C,00
           

• Speichere dies als CFScript.txt auf deinem Desktop.
• Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
  Danach wieder anstellen nicht vergessen!
• Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.
• Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:
  
  
• Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
• Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
  Bitte füge es hier als Antwort (in CODE-Tags mit dem #-Button des Editors) ein.

Hinweis:
Suspect:: und Collect::
Falls im Skript diese Anweisungen enthalten sind, sollen Dateien zur Analyse eingeschickt werden. Es erscheint eine Message-Box, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. Teile mir unbedingt mit, ob der Upload geklappt hat!

Schritt 2
Bitte downloade dir LSPFix

• Starte die LSPFix.exe
• Markiere die Box "I know what I'm doing"
• In der Keep Box solltest du eine oder mehrer dieser d3dysoos7.dll Dateien finden.
• Wähle jede einzelne vorhandene d3dysoos7.dll und verschiebe diese in die Remove Box indem du den >> Button drückst.
• Wenn alle Dateien verschoben wurden klicke Finish>>.
• Starte deinen Rechner neu auf!

Schritt 2

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers
HKEY_LOCAL_MACHINE\software\Wow6432Node\microsoft\Windows\CurrentVersion\Telephony\Providers
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation /S
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Dnscache /S
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost
HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost
HKEY_LOCAL_MACHINE\SOFTWARE\Joosoft.com
%SystemRoot%\system32\*.tsp
%SystemRoot%\system32\*.tsp /64
C:\Windows\system32\*.dll /420
C:\Windows\SysNative\*.dll /420
C:\Windows\SysWOW64\*.dll /420
         

• Schließe bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Scan Button.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Bitte poste mit deiner nächsten Antwort

• die Logdatei von ComboFix,
• die Logdatei von OTL.

Schritt 1 ist abgelaufen, der Schritt 2 startet mit folgendem Fehler:
siehe Anhang LSPfix

Servus,


poste die neue Logdatei von ComboFix (C:\ComboFix.txt).

Starte LSP-Fix mit Rechtsklick -> Als Administrator ausführen und gib Bescheid, ob es nun funktioniert.

Führe den OTL-Scan durch und poste die Logdatei.

jetzt hat es geklappt

Dateien anbei

Servus,


du hast mir zweimal die ComboFix.txt hochgeladen.

Auch die OTL.txt hat als Inhalt die Logdatei von ComboFix.


Bitte lade mir die richtige Logdatei von OTL hoch.

sorry, irgendwann klappt es immer.Danke für deine Geduld

Servus,



wir müssen nochmal ran!

Bitte beide Schritte genau so ausführen wie beschrieben!




Schritt 1

Fixen mit OTL

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
[2012/01/11 20:50:45 | 000,569,856 | ---- | M] (VoIP Service Provider) -- C:\Windows\SysNative\xptsgtyo.tsp
[2012/01/11 20:50:45 | 000,286,720 | ---- | M] () -- C:\Windows\system32\d3dysoos7.dll
[2011/12/16 19:25:12 | 000,114,000 | ---- | M] (Joosoft.com GmbH) -- C:\Windows\system32\UpdSvc.dll
[2011/12/16 19:25:12 | 000,114,000 | ---- | M] (Joosoft.com GmbH) -- C:\Windows\SysWOW64\UpdSvc.dll

:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Joosoft.com]

:Commands
[emptytemp]
         

• Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2

• Starte bitte die OTL.exe.
• Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Standard Ausgabe.
• Setze einen Haken bei Scanne alle Benutzer.
• Unter Extra Registry, wähle bitte Use SafeList.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

activex
msconfig
safebootminimal
safebootnetwork
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers
HKEY_LOCAL_MACHINE\software\Wow6432Node\microsoft\Windows\CurrentVersion\Telephony\Providers
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation /S
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Dnscache /S
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost
HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost
HKEY_LOCAL_MACHINE\SOFTWARE\Joosoft.com
%SystemRoot%\system32\*.tsp
%SystemRoot%\system32\*.tsp /64
C:\Windows\system32\*.dll /420
C:\Windows\SysNative\*.dll /420
C:\Windows\SysWOW64\*.dll /420
         

• Schließe bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Scan Button.
• Am Ende des Suchlaufs werden 2 Logdateien erstellt.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Bitte poste mit deiner nächsten Antwort

• die Logdatei des OTL-Fix,
• die beiden Logdateien des neuen OTL-Scans.