Trojaner TR/Proxy.Gen5
 

Moin moin, mein free Antivir erkennt ein Virus oder unerwünschtes Programm.
In der Datei C:\Windows\System32\pouaiafd6.dll wurde ein Virus oder unerwünschtes Programm 'TR/Proxy.Gen5' gefunden.

Diese Meldung kommt ständig. Ich habe mit dem Programm OTL ein Scan durchgeführt und die erstellten Dateien angehängt.

Bitte um eure Hilfe, ich weiß nicht weiter.

Danke Lars

hi
vorbereitung.
lade lspfix:
LSPfix - Freeware - DE - Download.CHIP.eu


es ist wichtig, dass du dich an die reihenfolge hältst!
1.

• Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
• Rechner über drücken der Taste F8 beim Booten in den abgesicherten Modus (ohne Netzwerk) hochfahren.
• PPFScan.exe starten.
• In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

• Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
• Klappt alles, startet sich der Rechner neu.

2.
dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.





• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
3.

führe lsp fix aus.

Moin moin herzlichsten Dank für die schnelle Hilfe. Ich habe alles so ausgeführt wie beschrieben. Im Anhang die erstellte Textdatei.

Ob der Fehler behoben ist werde ich ja demnächst sehen.

Danke Lars

internet geht?

• Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
• PPFScan.exe starten.
• Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
• Wähle im Untermenü Script laden und ausführen.
• Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa.
• Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. bitte einen rechtsklick auf diesen ordner, mit winrar packen und anhängen.

Moin moin, bislang hat Avira noch nicht wieder gemeckert und soweit geht auch alles.
Im Anhang die Textdateien von Scan1.

Vielen lieben Dank für eure Mühe, echt spitze.

Gruß Lars

• PPFScan.exe starten.
• In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:
CREATE_FOLDER->C:\PPFS_Sicherung
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Update-Service>C:\PPFS_Sicherung\UPD.re_
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation>C:\PPFS_ Sicherung\LanmanWorkstation.re_
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SOFTWARE\Joosoft.com>C:\PPFS_Sicherung\JOOSOFT.RE_
KILL_PROCESS->IEXPLORE.EXE
KILL_PROCESS->Firefox.exe
KILL_PROCESS->Chrome.exe
KILL_PROCESS->OPERA.EXE
KILL_PROCESS->svchost.exe
REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
->Update-Service
REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SOFTWARE
->Joosoft.com

REGISTRY_CREATE_KEY->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation
->parameters
->
SET_REGISTRY_VALUE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Paramete rs
->ServiceDll
->2553797374656D526F6F74255C53797374656D33325C776B737376632E646C6C00
->2
REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Provider s
->ProviderID4
REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Provider s
->ProviderFilename4
SET_REGISTRY_DWORD_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Provider s
->NextProviderID
->5
SET_REGISTRY_DWORD_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Provider s
->NumProviders
->4
MOVE_FILE_ON_REBOOT->C:\Windows\system32\incv2a9r5.tsp>C:\PPFS_Sicherung\incv2a9r5.tsp
MOVE_FILE_ON_REBOOT->C:\Windows\system32\UpdSvc.dll>C:\PPFS_Sicherung\UpdSvc.dll
REBOOT->

• Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
• Klappt alles, startet sich der Rechner neu.

öffne dann computer, navigiere zu
C:\PPFS_Sicherung
rechtsklick, mit winrar packen und hochladen im upload channel, wenn fertig, kurz melden.
Trojaner-Board Upload Channel

Moin, ich habe das Skript ausgeführt und folgende Fehlermeldung erhalten:

Script geht nicht
Zeile3:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation>C:\PPFS_Sicherung\LanmanWorkstation.re_REGISTRY_SAVE->HKEY_LOCAL_
MACHINE\SOFTWARE\Joosoft.com existiert nicht


Aber bislang kam auch noch keine Meldung über den Trojaner mehr.

Gruß Lars

das hat damit nichts zu tun, wir haben trotzdem noch schaddateien + verbogene registry einträge, melde mich gleich noch mal

neues script
wenn das klappt, weiter mit dem upload

@markusg: Klappt bei euch so nicht.
Euer Forum macht innerhalb der Code-Tags eine automatische Worttrennung - das zerschneidet die Schlüsselnamen.
Hab's gerade erst gesehen.
Lade das mal als Textdatei hoch.

@Lars1234: Du bist noch infiziert.
Das Problem bei Mediyes ist, dass die injizierten DLLs hardwareabhangig codiert sind. Die TSP-Datei, die unter anderem noch in deinem System ist, lädt zum Beispiel die vorher von Markus mit LSP-Fix gelöschte DLL in den Layered Service Providern wieder nach. In der Regel dann oft in einer Version, die dein Virenscanner nicht mehr erkennt.
Du kommst übrigens erst nicht mehr ins Internet, wenn dein Virenscanner versucht, die DLL im LSP Schlüssel zu löschen. Dann geht die Kette dort nicht mehr.

die angehangene datei laden, script in den ppf scanner kopieren und ausführen

Danke, habe es nochmals ausgeführt und diesmal hat es geklappt.

Ist im Upload Channel hochgeladen.

Bin gespannt auf eure Rückmeldung.

Gruß Lars.

sorry erst mal für die verwirrung :-(
ist auf jeden fall malware, ich meld mich noch mal, muss noch mal über die logs gehen.

Kein Problem ich finds super wie einem hier geholfen wird!

Gruß Lars

ok
gehe jetzt mal auf start ausführen, tippe:
regedit.exe
enter navigiere zu:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2
dort rechtsklick, exportieren.
speichere ihn da, wo du ihn gut wieder findest
und im upload channel hochladen bitte

Moin moin, so die Datei ist im Upload Channel hochgeladen.

MfG Lars

bitte lade die angehängte textdatei, füge deren inhalt in den PPF-scanner ein und führe das script aus

Moin moin, das Skript wurde ausgeführt und die Anleitung von Mediyes befolgt.
Im Anhang die Überschriebenen Dateien.

MfG Lars

folgendadas angehängte script ausführen, danach prüfen ob
C:\Windows\System32\dnsrslvr.dll
vorhanden ist

Moin moin, ich habe das Skript ausgeführt und die Datei auch gefunden.
Also sie ist vorhanden.

Gruß Lars

PS: Bei meiner Freundin fängt sowas ähnliches an. irgendwas mit Gen2 wird von Avira gefunden. Werde das noch mal genau schreiben. Vielleicht könnt ihr da ja auch helfen.

neues thema, und link kannst mir geben.
diese malware ist schwer aufzuspüren.
bitte sende deswegen diesen link an alle freunde und bekannte, führe das tool auf jedem deiner pcs aus.
http://www.osnanet.de/andreas.hoetke...anmanCheck.exe
gibts noch probleme?
lade den CCleaner standard:
CCleaner Download - CCleaner 3.21.1767
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

So mit dem Link wird nix mehr gefunden.
Vielen vielen Dank an markusg und AHT. Ihr habt mir sehr geholfen.
Echt spitze, weiter so.

ccleaner liste fehlt.

So die Liste vom CCleaner erstelle ich heute abend. Avira hat beim suchlauf den Ordner PPFS_Sicherung angemeckert mit der Datei: TR/Kazy.7418.21.

MfG Lars

Ok habe es doch gerade schon gemacht. Also anbei die Textdatei der Software.

ja die datei war auch malware, den ganzen ordner + ppf scanner löschen und papierkorb leeren
deinstaliere:
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok



deinstaliere:
EAGLE
FileZilla
Free Audio
Free Studio
Java
Download der kostenlosen Java-Software
downloade java jre instalieren
deinstaliere:
LingoPad
MathType
MATLAB
Mozilla
National
Nokia : beide
PC Connectivity
Reader for
RealPlayer
SecureW2
Silicon : beide
TeamViewer
USB Tablet

öffne ccleaner, analysieren starten
öffne otl, cleanup pc startet neu testen wie er läuft

In C:\PPFS_Sicherung liegt der getötete Nediyes Trojaner - deswegen die Meldung von Antivir.
Systemwiderherstellung muss bereinigt werden - infiziert wohl schon seit 2011.

Moin moin, ich habe den letzten Eintrag von markusg abgearbeitet.

Bei OTL habe ich oben den Button Bereinigung gedrückt. Danach wollte der PC auch ein Neustart machen.

Denn beobachte ich jetzt mal wie er läuft gell?!

Vielen Dank
Lars

genau und dann noch mal melden