so, da ist der nächste Scan

Gruß Velch70

Servus,




ComboFix wird am Ende der Bereinigung dich auffordern, Dateien hochzuladen. Folge bitte den Anweisungen und lass die Dateien zur weiteren Analyse hochladen! Vielen Dank!



Schritt 1
Combofix-Skript

WARNUNG für die MITLESER:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

• Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link
• Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!
• Drücke die Windows + R Taste --> notepad (hinein schreiben) --> OK
• Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
  
  
  

  Code: Alles auswählenAufklappen

  ATTFilter

  http://www.trojaner-board.de/127992-adware-agent-c-users-xxxxx-appdata-local-temp-814044-uninstall-uninstall-exe-adware-agent-c-users-xxxxxx-downloads-flv.html
  
  Driver::
  Update-Service
  
  Collect::[100]
  C:\Windows\SysNative\aptw71ukf.dll
  C:\Windows\system32\d3dysoos7.dll
  C:\Windows\SysNative\xptsgtyo.tsp
  C:\Windows\system32\UpdSvc.dll
  
  Registry::
  [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]
  "Update-Service-Installer-Service"=-
  "Update-Service"=-
  
  [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
  "Update-Service-Installer-Service"=-
  "Update-Service"=-
  
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Joosoft.com]
  
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanWorkstation\Parameters]
  "ServiceDll"=hex(2):25,53,79,73,74,65,6D,52,6F,6F,74,25,5C,53,\
    79,73,74,65,6D,33,32,5C,77,6B,73,73,76,63,2E,64,6C,6C,00
           

• Speichere dies als CFScript.txt auf deinem Desktop.
• Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
  Danach wieder anstellen nicht vergessen!
• Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.
• Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:
  
  
• Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
• Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
  Bitte füge es hier als Antwort (in CODE-Tags mit dem #-Button des Editors) ein.

Hinweis:
Suspect:: und Collect::
Falls im Skript diese Anweisungen enthalten sind, sollen Dateien zur Analyse eingeschickt werden. Es erscheint eine Message-Box, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. Teile mir unbedingt mit, ob der Upload geklappt hat!

Schritt 2
Bitte downloade dir LSPFix

• Starte die LSPFix.exe
• Markiere die Box "I know what I'm doing"
• In der Keep Box solltest du eine oder mehrer dieser d3dysoos7.dll Dateien finden.
• Wähle jede einzelne vorhandene d3dysoos7.dll und verschiebe diese in die Remove Box indem du den >> Button drückst.
• Wenn alle Dateien verschoben wurden klicke Finish>>.
• Starte deinen Rechner neu auf!

Schritt 2

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers
HKEY_LOCAL_MACHINE\software\Wow6432Node\microsoft\Windows\CurrentVersion\Telephony\Providers
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation /S
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Dnscache /S
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost
HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost
HKEY_LOCAL_MACHINE\SOFTWARE\Joosoft.com
%SystemRoot%\system32\*.tsp
%SystemRoot%\system32\*.tsp /64
C:\Windows\system32\*.dll /420
C:\Windows\SysNative\*.dll /420
C:\Windows\SysWOW64\*.dll /420
         

• Schließe bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Scan Button.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Bitte poste mit deiner nächsten Antwort

• die Logdatei von ComboFix,
• die Logdatei von OTL.

Schritt 1 ist abgelaufen, der Schritt 2 startet mit folgendem Fehler:
siehe Anhang LSPfix

Servus,


poste die neue Logdatei von ComboFix (C:\ComboFix.txt).

Starte LSP-Fix mit Rechtsklick -> Als Administrator ausführen und gib Bescheid, ob es nun funktioniert.

Führe den OTL-Scan durch und poste die Logdatei.

jetzt hat es geklappt

Dateien anbei

Servus,


du hast mir zweimal die ComboFix.txt hochgeladen.

Auch die OTL.txt hat als Inhalt die Logdatei von ComboFix.


Bitte lade mir die richtige Logdatei von OTL hoch.

sorry, irgendwann klappt es immer.Danke für deine Geduld

Servus,



wir müssen nochmal ran!

Bitte beide Schritte genau so ausführen wie beschrieben!




Schritt 1

Fixen mit OTL

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
[2012/01/11 20:50:45 | 000,569,856 | ---- | M] (VoIP Service Provider) -- C:\Windows\SysNative\xptsgtyo.tsp
[2012/01/11 20:50:45 | 000,286,720 | ---- | M] () -- C:\Windows\system32\d3dysoos7.dll
[2011/12/16 19:25:12 | 000,114,000 | ---- | M] (Joosoft.com GmbH) -- C:\Windows\system32\UpdSvc.dll
[2011/12/16 19:25:12 | 000,114,000 | ---- | M] (Joosoft.com GmbH) -- C:\Windows\SysWOW64\UpdSvc.dll

:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Joosoft.com]

:Commands
[emptytemp]
         

• Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2

• Starte bitte die OTL.exe.
• Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Standard Ausgabe.
• Setze einen Haken bei Scanne alle Benutzer.
• Unter Extra Registry, wähle bitte Use SafeList.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

activex
msconfig
safebootminimal
safebootnetwork
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers
HKEY_LOCAL_MACHINE\software\Wow6432Node\microsoft\Windows\CurrentVersion\Telephony\Providers
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation /S
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Dnscache /S
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost
HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost
HKEY_LOCAL_MACHINE\SOFTWARE\Joosoft.com
%SystemRoot%\system32\*.tsp
%SystemRoot%\system32\*.tsp /64
C:\Windows\system32\*.dll /420
C:\Windows\SysNative\*.dll /420
C:\Windows\SysWOW64\*.dll /420
         

• Schließe bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Scan Button.
• Am Ende des Suchlaufs werden 2 Logdateien erstellt.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Bitte poste mit deiner nächsten Antwort

• die Logdatei des OTL-Fix,
• die beiden Logdateien des neuen OTL-Scans.

Ich hoffe, dass der Fix richtig funktioniert hat. Ich habe keinen Namen geändert oder hinzugefügt.

Gruß Velch70

Servus,


du hast alles richtig gemacht.

Wir entfernen noch ein paar Reste und führen anschließend ein paar Kontrollscans durch:





Schritt 1

Fixen mit OTL

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
IE - HKU\S-1-5-21-202450914-1495109679-2338228822-1000\..\SearchScopes\{ECC8F649-404B-49BA-9802-83A383DA68AD}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYDE&apn_uid=B65E4169-F867-48FB-B149-FD6722993FAD&apn_sauid=C54C5202-285E-471D-95B2-8BF9174C7D82
[2012/04/22 08:19:43 | 000,289,280 | ---- | M] (Works Ltd.) -- C:\Windows\SysNative\aptw71ukf.dll

:Commands
[emptytemp]
         

• Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2

• Starte Malwarebytes' Anti-Malware, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 3

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 4
Downloade Dir bitte SecurityCheck

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Wenn der Scan beendet wurde sollte sich ein Textdokument ( checkup.txt ) öffnen.

Poste den Inhalt bitte hier.





Schritt 5
Drücke bitte die + E Taste.

• Öffne dein Systemlaufwerk ( meistens C: )
• Suche nunfolgenden Ordner: _OTL und öffne diesen.
• Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
• Dies wird eine Movedfiles.zip Datei in _OTL erstellen
• Lade diese bitte in unseren Uploadchannel
  hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus





Bitte poste mit deiner nächsten Antwort

• die Logdatei von OTL,
• die Logdatei von MBAM,
• die Logdatei von ESET,
• die Logdatei von SecurityCheck,
• eine Rückmeldung bezüglich des Uploads.

Bin ebenso offline bis 26.12. . Melde mich mit den Ergebnissen.
Ein Frohes Fest vom Velch70

Servus,


alles klar, dann bis zum 26.12.

Frohe Weihnachten!

Leider funktioniert Schritt 3 nicht, siehe Fehlermeldung.
Welche Proxy Einstellungen muss ich machen?

Servus,


lies dir das mal durch:
Probleme mit der Internetverbindung (Proxy-Einstellungen prüfen)

Sollte das auch nicht helfen, fahre mit SecurityCheck fort.

Ich sehe im OTL logfile nämlich keine speziellen Proxy-Einstellungen auf deinem Rechner.

Hat alles geklappt. Das mit dem ProxyEinstellungen hat wohl an dem zu spät ausgeschaltetem MCAFEE gelegen. ESET ist 5 h durchgelaufen und hat 4 files gefunden.
4 Dateien anbei und der upload von OTL hat funktioniert


Gruß Velch70