Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner TR/Proxy.Gen5 (https://www.trojaner-board.de/119460-trojaner-tr-proxy-gen5.html)

Lars1234 14.07.2012 11:23
Trojaner TR/Proxy.Gen5
 
Moin moin, mein free Antivir erkennt ein Virus oder unerwünschtes Programm.
In der Datei C:\Windows\System32\pouaiafd6.dll wurde ein Virus oder unerwünschtes Programm 'TR/Proxy.Gen5' gefunden.

Diese Meldung kommt ständig. Ich habe mit dem Programm OTL ein Scan durchgeführt und die erstellten Dateien angehängt.

Bitte um eure Hilfe, ich weiß nicht weiter.

Danke Lars

markusg 14.07.2012 14:47
hi
vorbereitung.
lade lspfix:
LSPfix - Freeware - DE - Download.CHIP.eu


es ist wichtig, dass du dich an die reihenfolge hältst!
1.
  • Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
  • Rechner über drücken der Taste F8 beim Booten in den abgesicherten Modus (ohne Netzwerk) hochfahren.
  • PPFScan.exe starten.
  • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:
Code:
CREATE_FOLDER->C:\PPFS_Sicherung
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache>C:\PPFS_Sicherung\DNSCACHE.REG
SET_REGISTRY_VALUE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters
->ServiceDll
->2553797374656D526F6F74255C53797374656D33325C646E7372736C76722E646C6C00
->2
REBOOT->
  • Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
  • Klappt alles, startet sich der Rechner neu.
2.
dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.



Code:
:OTL
SRV - (Update-Service) -- C:\Windows\System32\UpdSvc.dll (Joosoft.com GmbH)
SRV - (Dnscache) -- C:\Windows\System32\pouaiafd6.dll ()
O10 - NameSpace_Catalog5\Catalog_Entries\000000000009 [] - C:\Windows\system32\tnnsdhk7q.dll File not found

 :Files
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]


• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
3.

führe lsp fix aus.

Lars1234 14.07.2012 15:27
Moin moin herzlichsten Dank für die schnelle Hilfe. Ich habe alles so ausgeführt wie beschrieben. Im Anhang die erstellte Textdatei.

Ob der Fehler behoben ist werde ich ja demnächst sehen.

Danke Lars

markusg 14.07.2012 18:45
internet geht?
  • Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
  • PPFScan.exe starten.
  • Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
  • Wähle im Untermenü Script laden und ausführen.
  • Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa.
  • Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. bitte einen rechtsklick auf diesen ordner, mit winrar packen und anhängen.

Lars1234 17.07.2012 12:37
Moin moin, bislang hat Avira noch nicht wieder gemeckert und soweit geht auch alles.
Im Anhang die Textdateien von Scan1.

Vielen lieben Dank für eure Mühe, echt spitze.

Gruß Lars

markusg 18.07.2012 19:29
• PPFScan.exe starten.
• In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:
CREATE_FOLDER->C:\PPFS_Sicherung
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Update-Service>C:\PPFS_Sicherung\UPD.re_
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation>C:\PPFS_ Sicherung\LanmanWorkstation.re_
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SOFTWARE\Joosoft.com>C:\PPFS_Sicherung\JOOSOFT.RE_
KILL_PROCESS->IEXPLORE.EXE
KILL_PROCESS->Firefox.exe
KILL_PROCESS->Chrome.exe
KILL_PROCESS->OPERA.EXE
KILL_PROCESS->svchost.exe
REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
->Update-Service
REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SOFTWARE
->Joosoft.com

REGISTRY_CREATE_KEY->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation
->parameters
->
SET_REGISTRY_VALUE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Paramete rs
->ServiceDll
->2553797374656D526F6F74255C53797374656D33325C776B737376632E646C6C00
->2
REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Provider s
->ProviderID4
REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Provider s
->ProviderFilename4
SET_REGISTRY_DWORD_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Provider s
->NextProviderID
->5
SET_REGISTRY_DWORD_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Provider s
->NumProviders
->4
MOVE_FILE_ON_REBOOT->C:\Windows\system32\incv2a9r5.tsp>C:\PPFS_Sicherung\incv2a9r5.tsp
MOVE_FILE_ON_REBOOT->C:\Windows\system32\UpdSvc.dll>C:\PPFS_Sicherung\UpdSvc.dll
REBOOT->

• Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
• Klappt alles, startet sich der Rechner neu.

öffne dann computer, navigiere zu
C:\PPFS_Sicherung
rechtsklick, mit winrar packen und hochladen im upload channel, wenn fertig, kurz melden.
Trojaner-Board Upload Channel

Lars1234 19.07.2012 12:34
Moin, ich habe das Skript ausgeführt und folgende Fehlermeldung erhalten:

Script geht nicht
Zeile3:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation>C:\PPFS_Sicherung\LanmanWorkstation.re_REGISTRY_SAVE->HKEY_LOCAL_
MACHINE\SOFTWARE\Joosoft.com existiert nicht


Aber bislang kam auch noch keine Meldung über den Trojaner mehr.

Gruß Lars

markusg 19.07.2012 14:18
das hat damit nichts zu tun, wir haben trotzdem noch schaddateien + verbogene registry einträge, melde mich gleich noch mal

markusg 19.07.2012 14:39
neues script
wenn das klappt, weiter mit dem upload
Code:
CREATE_FOLDER->C:\PPFS_Sicherung
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Update-Service>C:\PPFS_Sicherung\UPD.re_
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation>C:\PPFS_ Sicherung\LanmanWorkstation.re_
KILL_PROCESS->IEXPLORE.EXE
KILL_PROCESS->Firefox.exe
KILL_PROCESS->Chrome.exe
KILL_PROCESS->OPERA.EXE
KILL_PROCESS->svchost.exe
REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
->Update-Service
REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SOFTWARE
->Joosoft.com
REGISTRY_CREATE_KEY->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation
->parameters
->
SET_REGISTRY_VALUE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Paramete rs
->ServiceDll
->2553797374656D526F6F74255C53797374656D33325C776B737376632E646C6C00
->2
REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Provider s
->ProviderID4
REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Provider s
->ProviderFilename4
SET_REGISTRY_DWORD_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Provider s
->NextProviderID
->5
SET_REGISTRY_DWORD_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Provider s
->NumProviders
->4
MOVE_FILE_ON_REBOOT->C:\Windows\system32\incv2a9r5.tsp>C:\PPFS_Sicherung\incv2a9r5.tsp
MOVE_FILE_ON_REBOOT->C:\Windows\system32\UpdSvc.dll>C:\PPFS_Sicherung\UpdSvc.dll
REBOOT->

AHT 19.07.2012 20:21
@markusg: Klappt bei euch so nicht.
Euer Forum macht innerhalb der Code-Tags eine automatische Worttrennung - das zerschneidet die Schlüsselnamen.
Hab's gerade erst gesehen.
Lade das mal als Textdatei hoch.

@Lars1234: Du bist noch infiziert.
Das Problem bei Mediyes ist, dass die injizierten DLLs hardwareabhangig codiert sind. Die TSP-Datei, die unter anderem noch in deinem System ist, lädt zum Beispiel die vorher von Markus mit LSP-Fix gelöschte DLL in den Layered Service Providern wieder nach. In der Regel dann oft in einer Version, die dein Virenscanner nicht mehr erkennt.
Du kommst übrigens erst nicht mehr ins Internet, wenn dein Virenscanner versucht, die DLL im LSP Schlüssel zu löschen. Dann geht die Kette dort nicht mehr.

markusg 19.07.2012 21:15
die angehangene datei laden, script in den ppf scanner kopieren und ausführen

Lars1234 20.07.2012 08:51
Danke, habe es nochmals ausgeführt und diesmal hat es geklappt.

Ist im Upload Channel hochgeladen.

Bin gespannt auf eure Rückmeldung.

Gruß Lars.

markusg 20.07.2012 10:03
sorry erst mal für die verwirrung :-(
ist auf jeden fall malware, ich meld mich noch mal, muss noch mal über die logs gehen.

Lars1234 20.07.2012 11:31
Kein Problem ich finds super wie einem hier geholfen wird!

Gruß Lars

markusg 20.07.2012 16:05
ok
gehe jetzt mal auf start ausführen, tippe:
regedit.exe
enter navigiere zu:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2
dort rechtsklick, exportieren.
speichere ihn da, wo du ihn gut wieder findest
und im upload channel hochladen bitte


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:50 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19