Moin moin, mein free Antivir erkennt ein Virus oder unerwünschtes Programm.
In der Datei C:\Windows\System32\pouaiafd6.dll wurde ein Virus oder unerwünschtes Programm 'TR/Proxy.Gen5' gefunden.

Diese Meldung kommt ständig. Ich habe mit dem Programm OTL ein Scan durchgeführt und die erstellten Dateien angehängt.

Bitte um eure Hilfe, ich weiß nicht weiter.

Danke Lars

hi
vorbereitung.
lade lspfix:
LSPfix - Freeware - DE - Download.CHIP.eu


es ist wichtig, dass du dich an die reihenfolge hältst!
1.

• Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
• Rechner über drücken der Taste F8 beim Booten in den abgesicherten Modus (ohne Netzwerk) hochfahren.
• PPFScan.exe starten.
• In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

Code: Alles auswählenAufklappen

ATTFilter

CREATE_FOLDER->C:\PPFS_Sicherung
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache>C:\PPFS_Sicherung\DNSCACHE.REG
SET_REGISTRY_VALUE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters
->ServiceDll
->2553797374656D526F6F74255C53797374656D33325C646E7372736C76722E646C6C00
->2
REBOOT->
         

• Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
• Klappt alles, startet sich der Rechner neu.

2.
dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
SRV - (Update-Service) -- C:\Windows\System32\UpdSvc.dll (Joosoft.com GmbH)
SRV - (Dnscache) -- C:\Windows\System32\pouaiafd6.dll ()
O10 - NameSpace_Catalog5\Catalog_Entries\000000000009 [] - C:\Windows\system32\tnnsdhk7q.dll File not found

 :Files
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
3.

führe lsp fix aus.

Moin moin herzlichsten Dank für die schnelle Hilfe. Ich habe alles so ausgeführt wie beschrieben. Im Anhang die erstellte Textdatei.

Ob der Fehler behoben ist werde ich ja demnächst sehen.

Danke Lars

internet geht?

• Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
• PPFScan.exe starten.
• Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
• Wähle im Untermenü Script laden und ausführen.
• Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa.
• Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. bitte einen rechtsklick auf diesen ordner, mit winrar packen und anhängen.

Moin moin, bislang hat Avira noch nicht wieder gemeckert und soweit geht auch alles.
Im Anhang die Textdateien von Scan1.

Vielen lieben Dank für eure Mühe, echt spitze.

Gruß Lars

• PPFScan.exe starten.
• In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:
CREATE_FOLDER->C:\PPFS_Sicherung
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Update-Service>C:\PPFS_Sicherung\UPD.re_
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation>C:\PPFS_ Sicherung\LanmanWorkstation.re_
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SOFTWARE\Joosoft.com>C:\PPFS_Sicherung\JOOSOFT.RE_
KILL_PROCESS->IEXPLORE.EXE
KILL_PROCESS->Firefox.exe
KILL_PROCESS->Chrome.exe
KILL_PROCESS->OPERA.EXE
KILL_PROCESS->svchost.exe
REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
->Update-Service
REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SOFTWARE
->Joosoft.com

REGISTRY_CREATE_KEY->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation
->parameters
->
SET_REGISTRY_VALUE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Paramete rs
->ServiceDll
->2553797374656D526F6F74255C53797374656D33325C776B737376632E646C6C00
->2
REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Provider s
->ProviderID4
REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Provider s
->ProviderFilename4
SET_REGISTRY_DWORD_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Provider s
->NextProviderID
->5
SET_REGISTRY_DWORD_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Provider s
->NumProviders
->4
MOVE_FILE_ON_REBOOT->C:\Windows\system32\incv2a9r5.tsp>C:\PPFS_Sicherung\incv2a9r5.tsp
MOVE_FILE_ON_REBOOT->C:\Windows\system32\UpdSvc.dll>C:\PPFS_Sicherung\UpdSvc.dll
REBOOT->

• Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
• Klappt alles, startet sich der Rechner neu.

öffne dann computer, navigiere zu
C:\PPFS_Sicherung
rechtsklick, mit winrar packen und hochladen im upload channel, wenn fertig, kurz melden.
Trojaner-Board Upload Channel

Moin, ich habe das Skript ausgeführt und folgende Fehlermeldung erhalten:

Script geht nicht
Zeile3:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation>C:\PPFS_Sicherung\LanmanWorkstation.re_REGISTRY_SAVE->HKEY_LOCAL_
MACHINE\SOFTWARE\Joosoft.com existiert nicht


Aber bislang kam auch noch keine Meldung über den Trojaner mehr.

Gruß Lars

das hat damit nichts zu tun, wir haben trotzdem noch schaddateien + verbogene registry einträge, melde mich gleich noch mal

neues script
wenn das klappt, weiter mit dem upload

Code: Alles auswählenAufklappen

ATTFilter

CREATE_FOLDER->C:\PPFS_Sicherung
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Update-Service>C:\PPFS_Sicherung\UPD.re_
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation>C:\PPFS_ Sicherung\LanmanWorkstation.re_
KILL_PROCESS->IEXPLORE.EXE
KILL_PROCESS->Firefox.exe
KILL_PROCESS->Chrome.exe
KILL_PROCESS->OPERA.EXE
KILL_PROCESS->svchost.exe
REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
->Update-Service
REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SOFTWARE
->Joosoft.com
REGISTRY_CREATE_KEY->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation
->parameters
->
SET_REGISTRY_VALUE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Paramete rs
->ServiceDll
->2553797374656D526F6F74255C53797374656D33325C776B737376632E646C6C00
->2
REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Provider s
->ProviderID4
REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Provider s
->ProviderFilename4
SET_REGISTRY_DWORD_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Provider s
->NextProviderID
->5
SET_REGISTRY_DWORD_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Provider s
->NumProviders
->4
MOVE_FILE_ON_REBOOT->C:\Windows\system32\incv2a9r5.tsp>C:\PPFS_Sicherung\incv2a9r5.tsp
MOVE_FILE_ON_REBOOT->C:\Windows\system32\UpdSvc.dll>C:\PPFS_Sicherung\UpdSvc.dll
REBOOT->
         

@markusg: Klappt bei euch so nicht.
Euer Forum macht innerhalb der Code-Tags eine automatische Worttrennung - das zerschneidet die Schlüsselnamen.
Hab's gerade erst gesehen.
Lade das mal als Textdatei hoch.

@Lars1234: Du bist noch infiziert.
Das Problem bei Mediyes ist, dass die injizierten DLLs hardwareabhangig codiert sind. Die TSP-Datei, die unter anderem noch in deinem System ist, lädt zum Beispiel die vorher von Markus mit LSP-Fix gelöschte DLL in den Layered Service Providern wieder nach. In der Regel dann oft in einer Version, die dein Virenscanner nicht mehr erkennt.
Du kommst übrigens erst nicht mehr ins Internet, wenn dein Virenscanner versucht, die DLL im LSP Schlüssel zu löschen. Dann geht die Kette dort nicht mehr.

die angehangene datei laden, script in den ppf scanner kopieren und ausführen

Danke, habe es nochmals ausgeführt und diesmal hat es geklappt.

Ist im Upload Channel hochgeladen.

Bin gespannt auf eure Rückmeldung.

Gruß Lars.

sorry erst mal für die verwirrung :-(
ist auf jeden fall malware, ich meld mich noch mal, muss noch mal über die logs gehen.

Kein Problem ich finds super wie einem hier geholfen wird!

Gruß Lars

ok
gehe jetzt mal auf start ausführen, tippe:
regedit.exe
enter navigiere zu:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2
dort rechtsklick, exportieren.
speichere ihn da, wo du ihn gut wieder findest
und im upload channel hochladen bitte