|
Trojaner TR/Proxy.Gen5 Moin moin, mein free Antivir erkennt ein Virus oder unerwünschtes Programm. In der Datei C:\Windows\System32\pouaiafd6.dll wurde ein Virus oder unerwünschtes Programm 'TR/Proxy.Gen5' gefunden. Diese Meldung kommt ständig. Ich habe mit dem Programm OTL ein Scan durchgeführt und die erstellten Dateien angehängt. Bitte um eure Hilfe, ich weiß nicht weiter. Danke Lars |
hi vorbereitung. lade lspfix: LSPfix - Freeware - DE - Download.CHIP.eu es ist wichtig, dass du dich an die reihenfolge hältst! 1.
Code: CREATE_FOLDER->C:\PPFS_Sicherung
dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user. wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts. • Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. Code: :OTL• Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren. 3. führe lsp fix aus. |
Moin moin herzlichsten Dank für die schnelle Hilfe. Ich habe alles so ausgeführt wie beschrieben. Im Anhang die erstellte Textdatei. Ob der Fehler behoben ist werde ich ja demnächst sehen. Danke Lars |
internet geht?
|
Moin moin, bislang hat Avira noch nicht wieder gemeckert und soweit geht auch alles. Im Anhang die Textdateien von Scan1. Vielen lieben Dank für eure Mühe, echt spitze. Gruß Lars |
• PPFScan.exe starten. • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen: CREATE_FOLDER->C:\PPFS_Sicherung REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Update-Service>C:\PPFS_Sicherung\UPD.re_ REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation>C:\PPFS_ Sicherung\LanmanWorkstation.re_ REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SOFTWARE\Joosoft.com>C:\PPFS_Sicherung\JOOSOFT.RE_ KILL_PROCESS->IEXPLORE.EXE KILL_PROCESS->Firefox.exe KILL_PROCESS->Chrome.exe KILL_PROCESS->OPERA.EXE KILL_PROCESS->svchost.exe REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services ->Update-Service REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SOFTWARE ->Joosoft.com REGISTRY_CREATE_KEY->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation ->parameters -> SET_REGISTRY_VALUE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Paramete rs ->ServiceDll ->2553797374656D526F6F74255C53797374656D33325C776B737376632E646C6C00 ->2 REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Provider s ->ProviderID4 REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Provider s ->ProviderFilename4 SET_REGISTRY_DWORD_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Provider s ->NextProviderID ->5 SET_REGISTRY_DWORD_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Provider s ->NumProviders ->4 MOVE_FILE_ON_REBOOT->C:\Windows\system32\incv2a9r5.tsp>C:\PPFS_Sicherung\incv2a9r5.tsp MOVE_FILE_ON_REBOOT->C:\Windows\system32\UpdSvc.dll>C:\PPFS_Sicherung\UpdSvc.dll REBOOT-> • Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja. • Klappt alles, startet sich der Rechner neu. öffne dann computer, navigiere zu C:\PPFS_Sicherung rechtsklick, mit winrar packen und hochladen im upload channel, wenn fertig, kurz melden. Trojaner-Board Upload Channel |
Moin, ich habe das Skript ausgeführt und folgende Fehlermeldung erhalten: Script geht nicht Zeile3:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation>C:\PPFS_Sicherung\LanmanWorkstation.re_REGISTRY_SAVE->HKEY_LOCAL_ MACHINE\SOFTWARE\Joosoft.com existiert nicht Aber bislang kam auch noch keine Meldung über den Trojaner mehr. Gruß Lars |
das hat damit nichts zu tun, wir haben trotzdem noch schaddateien + verbogene registry einträge, melde mich gleich noch mal |
neues script wenn das klappt, weiter mit dem upload Code: CREATE_FOLDER->C:\PPFS_Sicherung |
@markusg: Klappt bei euch so nicht. Euer Forum macht innerhalb der Code-Tags eine automatische Worttrennung - das zerschneidet die Schlüsselnamen. Hab's gerade erst gesehen. Lade das mal als Textdatei hoch. @Lars1234: Du bist noch infiziert. Das Problem bei Mediyes ist, dass die injizierten DLLs hardwareabhangig codiert sind. Die TSP-Datei, die unter anderem noch in deinem System ist, lädt zum Beispiel die vorher von Markus mit LSP-Fix gelöschte DLL in den Layered Service Providern wieder nach. In der Regel dann oft in einer Version, die dein Virenscanner nicht mehr erkennt. Du kommst übrigens erst nicht mehr ins Internet, wenn dein Virenscanner versucht, die DLL im LSP Schlüssel zu löschen. Dann geht die Kette dort nicht mehr. |
die angehangene datei laden, script in den ppf scanner kopieren und ausführen |
Danke, habe es nochmals ausgeführt und diesmal hat es geklappt. Ist im Upload Channel hochgeladen. Bin gespannt auf eure Rückmeldung. Gruß Lars. |
sorry erst mal für die verwirrung :-( ist auf jeden fall malware, ich meld mich noch mal, muss noch mal über die logs gehen. |
Kein Problem ich finds super wie einem hier geholfen wird! Gruß Lars |
ok gehe jetzt mal auf start ausführen, tippe: regedit.exe enter navigiere zu: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2 dort rechtsklick, exportieren. speichere ihn da, wo du ihn gut wieder findest und im upload channel hochladen bitte |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:04 Uhr. |
Copyright ©2000-2024, Trojaner-Board