Das jetzt noch einmal tun:

• PPFScan.exe starten.
• Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
• Wähle im Untermenü Script laden und ausführen.
• Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja.
• Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Packe alle 14 Dateien von dort in eine ZIP und lade die ZIP bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste den Downloadlink hier. Bei Fileupload erhälst du auch einen Löschlink.
• Optional kannst du auch die ZIP als Anhang deines Forenthreads hier posten - auch das müsste später wieder von dir löschbar sein.

Wichtig: Der Scanner darf nicht in der Sandbox von Avast laufen!

Eine Frage: Hattest du den Arbeitsstationsdienst (Lanmanworkstation) evtl. deaktiviert?
Wenn ja, warum?

hier der log:

hxxp://www.file-upload.net/download-4629774/PPF_Scan1.rar.html

Zitat:

Eine Frage: Hattest du den Arbeitsstationsdienst (Lanmanworkstation) evtl. deaktiviert?
Wenn ja, warum?

habe nichts gemacht. ich weiß nichmal was die Lanmanworkstation ist.

kann ich den ordner PPFS_Sicherung löschen?

Sieht schon besser aus.
Das nun tun:

• Rechner neu starten.
• Von hier Lanmancheck.exe herunterladen und ausführen.
• Achte darauf, das der Test nicht in der Sandbox läuft.
• Ergebnis des Scans markieren, mit Rechtsklick kopieren und hier einfügen.

Zum Schluss den Ordner löschen, jetzt noch nicht.

log:

erledigt[/CODE]

Öffne mal die Oberfläche deines Avast Virenscanners. Schau da mal in die Quarantäne und die LOG-Dateien der Scans ob du folgende Datei dort findest: xptytqqw.tsp

Ich möchte Wissen, wann die erkannt bzw. gelöscht wurde.
Desweiteren schau einmal nach, ob du eine Datei mit d3d vorne im Dateinamen in der Quarantäne findest. Die hat die Dateiendung .DLL.
Einmal melden, ob du die findest.

Hattest du den Rechner bereits einmal vorher wegen Virenbefalls bereinigen lassen (zwischen März und Juni)? Wenn ja, wann war das in etwa?

es steht nichts von der datei drin.

screen: hxxp://www.file-upload.net/download-4629923/virus.jpg.html

durchsucht hatte ich den rechner am 30 und 31.07.12 jewals schnelle überprüfung

Edit -> Blödsinn - falsches Datum gesehen... (bin ein Trottel).

nee, ich habe nich weiter mit den trojaner beschäftig. habe erlich gesagt nichts gemerkt nur das er vieleicht langsamer ist und das habe ich auf meinem vermüllten rechner geschoben. ich war erst hier als der scheiß trojaner mein rechner gesperrt hat.

Den Trojaner Mediyes schleppst du wie es aussieht schon sehr lange mit dir rum - unter Umständen bereits seit November 2011.
Es wurde wohl versucht, dir das hier unter zu schieben: Encyclopedia entry: Trojan:Win32/Mediyes.D - Learn more about malware - Microsoft Malware Protection Center
Ob das komplett erfolgreich in der ganzen Zeit geglückt ist, kann ich nicht sagen. Gehe aber erst mal sicherheitshalber davon aus, dass dir über mehre Monate Daten gestohlen wurden.
Deine Systemwiederherstellung ist komplett verseucht. Deaktiviere die Sytemwiederherstellung und aktiviere sie dann wieder:
Windows XP - Die Systemwiederherstellung komplett abschalten
Das hat den Sinn, alle alten Systemwiederherstellungspunkte zu löschen.

Lasse Avast dein komlettes System scannen - poste das LOG.
Lade dir dann von hier den Avira DE-Cleaner herunter. Mache einen kompletten Systemscan und poste wiederum das LOG. Den DE-Cleaner kannst du nach dem Scan deinstallieren.

ok, das dauert jetzt ein parr stunden. ich melde mich.

Zitat:

habe nichts gemacht. ich weiß nichmal was die Lanmanworkstation ist.

Deine Antwort passt mir gar nicht in den Kram.
Irgendjemand hat den kompletten Schlüssel dieses Dienstes entfernt (oder unsichtbar gemacht) und kurz vor meinem Fixen wieder hinzugefügt.
Wenn du das nicht warst, war es die DLL, die ich entfernt habe (Verstecken des Dienstes vor dem OTL-Scan) - oder es läuft noch ein RootKit auf dem Rechner. Anders kann ich mir das im Augenblick nicht erklären.

...oder aber Avast hat den Schlüssel gelöscht und die DLL hat ihn wieder hergestellt...
Ich stelle mal eine Anfrage im Forum von Avast...

die alten sicherheitswiederherstellungen sind gelöscht.

avast hat nix besonderes angezeigt ausser in dateien wo 100%tig kein virus drin sein kann.

und hier der log von avira: hxxp://www.file-upload.net/download-4632716/avira-log.txt.html

Ich bin mir ziemlich sicher, das wir Mediyes jetzt komplett getötet haben.
Unter anderem während unserer Arbeibt hier hat Mediyes versucht, sich nachzuladen. Deswegen ist auch der Lanmancheck-Test angesprungen.
Ich habe bei dir daraufhin eine DLL und einen Registryschlüssel gelöscht. Diese DLL und der Schlüssel befinden sich im Augenblick im Ordner C:\PPFS_Sicherung - den Ordner jetzt löschen, nichts im Ordner anklicken.
Wegen dieser DLL bin ich eigentlich nur auf dich aufmerksam geworden.
Ich habe bislang noch keinen Rechner gesehen, bei dem diese DLL installiert war und der nicht mit Mediyes infiziert war.
Diese DLL wird zur Zeit nicht von Virenscannern als Malware erkannt und wird auch in näherer Zukunft nicht erkannt werden.

Ich möhte dich jetzt um deine Mithilfe bitten - und das auch in deinem eigenen Interesse. Komme bitte einmal pro Woche wieder hierhin zurück und mache das:

• Von hier Lanmancheck.exe herunterladen und ausführen.
• Achte darauf, das der Test nicht in der Sandbox läuft.
• Ergebnis des Scans markieren, mit Rechtsklick kopieren und hier einfügen.

Der Scan verrät nichts über deinen Rechner - lasse die LOGs hier stehen. Zeigt der Scan irgendetwas anderes in der Messagebox an als "Nicht infiziert", schreib mir zusätzlich eine PM.
Tue das bis Anfang Oktober. Fange heute damit an.
Ich möchte sicher gehen, das wir das erwischt haben, was die Mediyes DLL im Lanmanworkstation Schlüssel nachlädt.

ok, mache ich. ist das eine neue version von Mediyes? schön wenn ich helfen kann. ich poste jede woche die logs.

vielen dank für deine hilfe.

Code: Alles auswählenAufklappen

ATTFilter

DLL im Lanmanworkstation Schlüssel: %SystemRoot%\System32\wkssvc.dll
Geladene DLL: C:\WINDOWS\System32\wkssvc.dll
Signatur der DLL: Microsoft Windows Component Publisher
Rückgabe der Signaturermittlung: Der Vorgang wurde erfolgreich beendet.
MD5 der DLL: 1869B14B06B44B44AF70548E1EA3303F

DLL im Dnscache Schlüssel: %SystemRoot%\System32\dnsrslvr.dll
Geladene DLL: C:\WINDOWS\System32\dnsrslvr.dll
Signatur der DLL: Microsoft Windows Component Publisher
Rückgabe der Signaturermittlung: Der Vorgang wurde erfolgreich beendet.
MD5 der DLL: 407F3227AC618FD1CA54B335B083DE07

Alles OK, der Rechner ist nicht vom Lanmanworkstation Trojaner befallen!
         

Ist eine neue Version von Mediyes - nicht die mit dem von Conpavi signierten Installer.