Arbeitsstationsdienst lässt sich nicht starten!
 

Hi

ich wollte heute Kaspersky installieren, aber als ich den Lizenzschlüssel eingeben wollte kam eine Fehlermeldung. Ich vermute es liegt daran, dass ich den Arbeitsstationsdienst nicht starten kann, es erscheint immer folgende Fehlermeldung: Der Dienst "Arbeitsdienst" auf "Lokaler Computer" konnte nicht gestartet werden. Fehler 2: Das System kann die angegebene Datei nicht finden.

Außerdem kann ich keine Fenster mehr öffnen, es erscheint immer die Meldung:
"Windows-Explorer funktioniert nicht mehr" und im Anschluss "Windows-Explorer wird neu gestartet" - oft ist es so, dass dieser Zustand in einer Art Dauerschleufe hängenbleibt - es hört einfach nicht auf.

Ich habe auch diesen "LanmanworkstationCheck" gemacht und raus kam folgende Meldung:
"Vermutlich infiziert
Der Lanmanworkstationschlüssel konnte nicht ausgelesen werden oder ist nicht vorhanden!
Auf ihrem Rechner wurde eine Datei gefunden die auf eine Infektion mit einem Mediyes Trojaner hindeuten könnte! Bitte wenden sie sich mit den angezeiten Infos an das Virenforum und erstellen sie dort einen neuen Beitrag!!!"

Hier die Infos:

DLL im Lanmanworkstation Schlüssel:
Geladene DLL:
Signatur der DLL:
Rückgabe der Signaturermittlung: Das System kann die angegebene Datei nicht finden.
MD5 der DLL:

DLL im Dnscache Schlüssel: %SystemRoot%\System32\dnsrslvr.dll
Geladene DLL: C:\Windows\System32\dnsrslvr.dll
Signatur der DLL: Microsoft Windows
Rückgabe der Signaturermittlung: Der Vorgang wurde erfolgreich beendet.
MD5 der DLL: 16835866AAA693C7D7FCEBA8FFF706E4

Der Lanmanworkstation Schlüssel konnte nicht ausgelesen werden oder ist nicht vorhanden!
Auf ihrem Rechner wurde eine Datei gefunden, die auf eine Infektion mit einem
Mediyes Trojaner hindeuten könnte!


Ich bitte dringenst um eure Mithilfe!!
Vielen Dank schonmal im voraus! :)

Hallo und :hallo:

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
  
  
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  
  
• Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
  
  
• Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
  
  
• Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Erstmal eine Kontrolle mit OTL bitte:

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in CODE-Tags in den Thread.

Vielen Dank für deine Hilfe :D
Ich werde mich bemühen deinen Anweisungen zu folgen!

OTL.Txt

OTL Logfile:
--- --- ---

Extras.Txt

OTL EXTRAS Logfile:
--- --- ---

Bitte um kurze Erläuterung was das genau sein sein und aus welcher Quelle es stammt.

Anschließend Logs mit GMER (<<< klick für Anleitung) und aswMBR (Anleitung etwas weiter unten) erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim zweiten Mal nicht will, lass es einfach weg und führ nur aswMBR aus.

aswMBR-Download => aswMBR.exe - speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

GMER 1/2

GMER 2/2

Was ist mit der Erklärung zu dieser besagten Datei? :pfeiff:

aswMBR


Unbedeutende Datei, weiss die Quelle nicht mehr - wurde auch erst heuntergeladen, nachdem meine Probleme entstanden sind.

aswMBR wurde falsch gemacht, bitte richtig wiederholen

Und du glaubst sowas wie ein Hack sei egal und dabei nochmal gleich mit dem Satz darauf weiter verharmlos, dass die Datei ja angeblich vor der Infektion schon ja da war? :pfeiff:
Bitte erklär was für eine Datei das sein soll und welchen Zweck sie erfüllt.

Wenn ich "AV-scan" (none) setzte kommt das raus was ich gepostet habe.
Steht er auf Quick-scan kommt immer "avast! Antirootkit funktioniert nicht mehr"

-> Die letzten zwei Zeilen im DOS-Fenster:

File: C:\Windows\system32\xptz7cb2.tsp **INFECTED** Win32:Malware-gen M
C: Windows\assembly\GAC_MSIL\Microsoft.VisualStudios.Tools.Applications.S (Weiter kann ich nicht lesen)

Ich habe angefangen ein Rollenspiel zu spielen und war drauf und dran zu cheaten, habe micht dann aber entschieden es doch nicht zu machen, weil cheaten ne echt uncoole Sache ist - jetzt spiele ich das Spiel lieber so wie es richtig ist.
Die Datei existiert allerdings tatsächlich erst, nachdem ich diese Probleme habe! ;)

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehlalarm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition ( meistens Laufwerk C: ) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtg4nzy0ywy5/settings_2012-09-04.png

Downloade dir bitte Farbar's Service Scanner

• Starte das Tool mit Doppelklick auf die FSS.exe
• Gehe sicher, dass folgende Optionen angehakt sind.
  • Internet Services
  • Windows Firewall
  • System Restore
  • SecurityCenter / ActionCenter
• Klicke auf Scan.
• Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.

Was machen diene DIenst? Besser geworden?

Hast du selbst die Windows-Firewall ausgeknippst?

Es hat sich leider nichts gebessert :/

Jap, selbst die Windows-Firewall ist aus.

Downloade dir bitte ESET's ServiceRepair.exe auf deinem Desktop.
Doppelklick auf die Datei und bestätige die ersten Nachricht mit Yes.

Das Tool wird einen Neustart verlangen, dies bitte zulassen.

Habe ServiceRepair.exe ausgeführt und den Neustart zugelassen.
Hat leider nichts geändert.

Hm ok, ich hoffe dein System ist noch nicht zu stark beschädigt :(
Bitte probier nochmal aswMBR aus

Steht bei aswMBR der AV-Scan auf "QuickScan", so kommt wieder die Fehlermeldung funktioniert nicht mehr" kur nachdem die infizierte Datei gefunden wurde:
Windows/system32/yptz7cb2.tsp

Setze ich ihn auf "none" kommt nun folgendes raus:

*Korrektur: xptz7cb2.tsp

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Ich habe vorher nochmal nachgesehen und die Datei xptz7cb2.tsp war nicht mehr auffindbar :/

Aber hier die Lod Datei:

Combofix Logfile:
--- --- ---

Ich glaube aber, dass die Datei da immer noch ist. Boote diesen Rechner mal bitte von einer Live-Linux-CD wie zB Parted Magic. Schau da über den FileManager mal auf deine Windows-Systempartition im Verzeichnis C:\Windows\system32\ nach ob die Datei xptz7cb2.tsp dort zu sehen ist

Hmm mein kleiner neunmalkluger Bruder hat mir soeben gebeichtet, dass er mein Notebook im abgesicherten modus hochgefahren und dann diese Datei gelöscht hat -.-

Macht es trotzdem noch Sinn den von dir genannten Schritt durchzuführen?
Muss ich das heruntergeladene Parted Magic auf CD/DVD brennen und dann von dieser aus booten?

Wieso fummelt dein Bruder da rum ohne Absprache :balla:
Was wurde noch gemacht wovon ich nichts weiß?

Findet aswMBR diese Datei immer noch? Läuft aswMBR jetzt durch bzw. im abgesicherten Modus mit Netzwerktreibern?

Entschuldige bitte, dass ich so lange nicht geantwortet habe, aber ich befinde mich momentan noch mitten in der Klausurphase ;)

Keine Ahnung warum der da rumfummelt -.-
Ansonsten wurde aber wohl nichts gemacht.

Bei normalem Betrieg läuft aswMBR durch :) Soll ich es im abgesicherten Modus mit Netzwerktreiber trotzdem probieren?

JRT - Junkware Removal Tool

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Im Anschluss:

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Danach eine Kontrolle mit OTL bitte:

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles in CODE-Tags hier in den Thread.

JRT:

AdwCleaner[S1].txt

AdwCleaner Logfile:
--- --- ---

OTL:

Extras.txt :