sorry. habe das script noch einmal ausgeführt.

Datei C:\PPFS_Sicherung\xpt6ygrx.tsp einmal hier hochladen: http://upload.trojaner-board.de/

Und hier auch: https://www.virustotal.com/
Link zu Ergebnis von Virustotal hier posten.

ich habe die datei auf die trojaner-board seite hochgeladen.

hier der link zum ergebnis von virustotal:
https://www.virustotal.com/file/7d0d03b5a173b6072b9ec3a58664da9880e0f0a7d5df89912768ae75258395fa/analysis/1344522805/

Muss gerade noch ein Script schreiben und testen. Bei dir ist der Arbeitsstationsdienst vom Trojaner zerschossen worden. Ich versuche das zu reparieren. Treten später Fehler mit dem Dienst auf, musst du den Rechner neu aufsetzen.

Das Script im PPFScanner ausführen:

Code: Alles auswählenAufklappen

ATTFilter

CREATE_FOLDER->C:\PPFS_Tools
DOWNLOAD->http://www.osnanet.de/andreas.hoetker/REGs/Lanman_W7_64.reg>C:\PPFS_Tools\Lanman_W7_64.reg
OPEN->C:\PPFS_Tools\Lanman_W7_64.reg
         

Es öffenet sich danach eine Messagebox - lasse die Daten in die Registry eintragen. Melde dich, ob sich nach dem Ausführen die Messagebox öffnet.
Starte danach den Rechner neu.
Hast du ihn neu gestartet, nochmals hier melden.

das script hat nicht funktioniert. dies habe ich als antwort bekommen:

Code: Alles auswählenAufklappen

ATTFilter

#################################
CREATE_FOLDER->C:\PPFS_Tools
DOWNLOAD->hxxp://www.osnanet.de/andreas.hoetker/REGs/Lanman_W7_64.reg>C:\PPFS_Tools\Lanman_W7_64.reg
OPEN->C:\PPFS_Tools\Lanman_W7_64.reg


#################################
Zeile 1: CREATE_FOLDER->C:\PPFS_Tools
  Eine Datei kann nicht erstellt werden, wenn sie bereits vorhanden ist.

Zeile 2: DOWNLOAD->hxxp://www.osnanet.de/andreas.hoetker/REGs/Lanman_W7_64.reg>C:\PPFS_Tools\Lanman_W7_64.reg
  Errorcode $800C0003: hxxp://www.osnanet.de/andreas.hoetker/REGs/Lanman_W7_64.reg > C:\PPFS_TOOLS\LANMAN_W7_64.REG
Zeile 3: OPEN->C:\PPFS_Tools\Lanman_W7_64.reg
  Das System kann die angegebene Datei nicht finden.

Zeile 4: 
Zeile 5:
         

Folgende Datei herunterladen und ausführen: Lanman_W7_64.reg
Infos in Registry eintragen lassen, Rechner neu starten.
Hier danach melden.

ausgeführt

Rehner einmal neu starten.

und neu gestartet

Dann das noch einmal tun:

• PPFScan.exe starten.
• Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
• Wähle im Untermenü Script laden und ausführen.
• Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja.
• Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. bitte einen Rechtsklick auf diesen Ordner, mit winrar packen und anhängen.

Ich will schauen, ob sich der Mist zwischendurch nachgeladen hat.

Ich habe den Scan nochmals durchgeführt.

Mediyes ist jetzt tot.

• Ordner C:\PPFS_Sicherung löschen, Papierkorb leeren.
• Alle alten Systemwiederherstellungspunkte löschen (sind seit 2011 alle infziert): Windows 7 - Die Systemwiederherstellung in Windows 7 deaktivieren
• Zum Schluss alle Passwörter ändern. Warte aber erst noch auf t'john, ob er auf der Kiste noch was wegen BKA durchführen will.

Folgendes Script dann im PPFScanner ausführen (löscht Java Cache):

Code: Alles auswählenAufklappen

ATTFilter

CREATE_FOLDER->C:\PPFS_Tools
CREATE_BATCH_FILE->C:\PPFS_Tools\DelJwCACHE.BAT
WRITE_BATCH->javaws -uninstall
KILL_PROCESS->IEXPLORE.EXE
KILL_PROCESS->OPERA.EXE
KILL_PROCESS->firefox.exe
OPEN->C:\PPFS_Tools\DelJwCACHE.BAT
SLEEP->500
WAIT_FOR_TERMINATE->javaws.exe
END->
         

wow danke, danke und nochmals danke
du bist mein held!
kurze frage noch: alle von dir zuvor genannten punkte soll ich erst durchführen wenn t'john sich wieder gemeldet hat. habe ich das so richtig verstanden oder gilt dies nur für die ausführung des scripts?

Warte erst mit allem, bis der andere Helfer sich meldet.
t'john fixt hier desöfteren BKA Sachen und ich weiß nicht genau, ob er diesbezüglich bei dir noch was ausführen möchte.
Ich musste das mit Mediyes dazwischenschieben - laufen noch Teile von Mediyes kann es jederzeit passieren, das du den Internetkontakt verlierst.

ok
nocheinmal vielen dank für deine hilfe