Trojaner-Board - TR/Medisys.F.10 in C:\Windows\System32 bei MS Vista home Premium

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - TR/Medisys.F.10 in C:\Windows\System32 bei MS Vista home Premium (https://www.trojaner-board.de/118291-tr-medisys-f-10-c-windows-system32-ms-vista-home-premium.html)

TR/Medisys.F.10 in C:\Windows\System32 bei MS Vista home Premium

Hallo Ihr lieben Mitmenschen,

zur Person: ich bin wirklich ein alter PC Rentner, aber das mit diesen Würmern/Trojanern wird ja immer schlimmer. Ich hab schon bei DOS 2.1 mitgemischt und einige der ersten Viren entfernt.
zum System: Medion Akoya Vista sp2 32bit System
Jetzt hab ich das Problem mit einem Trojaner TR/Medisys.f.10 sagte Avira am 26.6. um ca. 12:xx in der Datei c:\windows\system32\nsp5yf0t.??? seitdem geht kein Netzwerk mehr. DHCP u. Benachrichtigungsdienst werden nicht vollständig gestartet.
Ich habe bereits andere Vorschläge im www getestet um den Lapi wieder zu erwecken. Alles schlug bisher fehl, daher meine Bitte um Hilfe bei Euch. Die für Trojaner notwendigen Test's hab ich bereits durchgeführt und die Texte als .Zip angehängt falls ich das richtig gemacht habe. Ich hoffe Ihr könnt mir helfen, bevor ich die ganze Kiste neu aufsetze. Ich glaub ich weiß jetzt auch warum das Vista heißt(ableitung von Fiesta) schlafen einem die Füße ein
mfG
Richy

hi
vorbereitung:
lade lspfix
dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code:

:OTL

SRV - [2012.06.02 19:08:14 | 000,241,664 | ---- | M] (Parental Solutions Inc.) [Auto | Stopped] -- C:\Windows\System32\pouazzw6g.dll -- (Dnscache)

SRV - [2011.12.09 20:43:07 | 000,114,000 | ---- | M] (Joosoft.com GmbH) [Auto | Stopped] -- C:\Windows\System32\UpdSvc.dll -- (Update-Service)

O10 - NameSpace_Catalog5\Catalog_Entries\000000000008 [] - C:\Windows\System32\tnns7ewfk.dll (Intra Net Communications)

 :Files

C:\Windows\System32\pouazzw6g.dll

C:\Windows\System32\tnns7ewfk.dll

:Commands

[purity]

[EMPTYFLASH] 

[emptytemp]

[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
führe vorher lsp fix aus.
starte neu, inet sollte funktionieren.
Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.

Öffne dein Systemlaufwerk ( meistens C: )
Suche nun
folgenden Ordner: _OTL und öffne diesen.
Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
Dies wird eine Movedfiles.zip Datei in _OTL erstellen
Lade diese bitte in unseren Uploadchannel
hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

Hi Markusg,
Upload hat geklappt, aber leider der Lapi noch nicht. Ich glaub dem spendier ich einen Kanonenschlag. Aber trotzdem danke für die schnelle Hilfe
mfG
Richard

was klappt nicht? hattest du lsp fix ausprobiert? dann mal neustarten und gucken obs internet geht.
danke für den upload

Ich habe leider einen Teil meiner Antwort an den Upload gehängt. Den LSPFix 1.1 hab ich runtergeladen und auch ausgeführt der hat nix gefunden und auch an meinen Netzwerkfehlern nichts geändert
Danke für die schnelle Rückfrage
Richy:headbang:

start ausführen
tippe
cmd.exe
damit die als admin startet, drücke strg+enter
bestätige die abfrage ob die datei als admin gestartet werden darf mit ja
tippe:
netsh winsock reset
enter
wenn es keine fehlermeldung gab, pc neustarten, testen obs internet läuft.
falls doch, erneut eingeben und falls es erneut nen fehler gibt, bitte meldung posten.

Hi Markus,
ich habe dir die Fehlermeldungen als Doc angehängt. Diese Befehle habe ich aus anderen Foren und schon mal probiert, sind aber leider nicht gegangen. Ich hoffe das Hochladen der Zip Datei zum Thema hat funktioniert

ich habe nach viel Suchen auch noch das Avira Protokoll von diesem Trojanerfehler gefunden und hab es noch mitanhängt
Richy:killpc:

öffne noch mal die eingabeaufforderung (cmd) wie beschrieben
dann:
netsh int ip reset c:\resetlog.txt

Die gewünschten Log hab ich Dir angehängt

lass mich raten, es geht nicht :-(

Du sagst es überaus deutlich, hast Du noch irgendeinen Tip für mich?? außer formatieren und neu aufsetzen :confused:

mal folgendes:

Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
Rechner über drücken der Taste F8 beim Booten in den abgesicherten Modus (ohne Netzwerk) hochfahren.
PPFScan.exe starten.
In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

Code:

CREATE_FOLDER->C:\PPFS_Sicherung

REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache>C:\PPFS_Sicherung\DNSCACHE.REG

SET_REGISTRY_VALUE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters

->ServiceDll

->2553797374656D526F6F74255C53797374656D33325C646E7372736C76722E646C6C00

->2

REBOOT->

Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
Klappt alles, startet sich der Rechner neu.