da is was faul

Hab gestern schon vermutet, das du Probleme hast.
Ich weiß jetzt auch warum der sich immer nachlädt.

PPFScanner im abgesicherten Modus starten.
In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

CREATE_FOLDER->C:\PPFS_Sicherung
CREATE_FOLDER->C:\PPFS_Tools
KILL_PROCESS->CMD.EXE
CREATE_BATCH_FILE->C:\PPFS_Tools\LT_DIR.BAT
WRITE_BATCH->DIR C:\* /S > C:\PPFS_Sicherung\DIR.TXT
OPEN->C:\PPFS_Tools\LT_DIR.BAT
SLEEP->10000
WAIT_FOR_TERMINATE->CMD.EXE
MOVE_FILE_ON_REBOOT->C:\Windows\system32\UpdSvc.dll~O1PSEUJ6>C:\PPFS_Sicherung\UpdSvc1.dll
MOVE_FILE_ON_REBOOT->C:\Windows\system32\UpdSvc.dll>C:\PPFS_Sicherung\UpdSvc.dll
MOVE_FILE_ON_REBOOT->C:\Windows\system32\ntqgkeei.sys>C:\PPFS_Sicherung\ntqgkeei.sys
MOVE_FILE_ON_REBOOT->C:\Windows\System32\aptw0nfap.dll>C:\PPFS_Sicherung\aptw0nfap.dll
SET_REGISTRY_STRING_VALUE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
->LanmanWorkstation
->C:\Windows\System32\wkssvc.dll
REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
->Update-Service
REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
->ntqgkeei
REBOOT->

• Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
• [LEFT]Warte, bis sich der Rechner neu startet. Gib Rückmeldung, wenn er das nach einer Stunde nicht getan hat.[/LEFT]
• [LEFT]Startet der Rechner neu, boote ihn normal. Führe dann nochmals den Lanmancheck aus und poste das Ergebnis.[/LEFT]
  

  
  

  
  

Gibt es Fehlermeldungen, muss ich die Zeile wissen, um das Script anzupassen.

Wirst du vom PPFScanner gefragt, ob du die Ausführung des Scripts abbrechen möchtest, lasse es nicht abbrechen!

Schicke mir den gesammten Inhalt des Ordners wieder an meine Mailadresse.
Mache jetzt noch einmal den erweiterten Scan mit dem PPFscanner.

Du hast mir das falsche Archiv zugeschickt - da sind die alten Dateien drin.

rechtsklick avira schirm, guard deaktivieren dann gehts.
danach wieder einschalten.

Bei deinem Befall handelt es sich scheinbar um eine Abart des Mediyes Trojaners: Trojaner Mediyes trickst mit gestohlenem Conpavi-Zertifikat
- aber nicht um die Version, um die es in dem Link oben geht.
Die Version, um die es bei dir geht, tritt in vielen unterschiedlichen Versionen auf und macht scheinbar auch zusätzlich unterschiedliche Sachen. Oft ist ein Treiber auf dem Rechner zusätzlich installiert - bei dir zum Beispiel auch.
Zusätzlich dazu lädt sich das Ding laufend neue Versionen der DLL und des Treibers nach. Seit gestern haben wir eine DLL, die ich bei dir jetzt zusätzlich gelöscht habe, im starken Verdacht, der Downloader für das Ding zu sein.
Wenn du dir diese DLL ansiehst, wirst du bemerken, dass auch die digital signiert ist - die ist also quasi von einer Firma als vetrauenswürdig markiert und mit Zeitstempel abgestempelt.

Ich möchte gerne andere vor diesem Befall schützen und muss deshalb wissen, ob sich deine Rechner nach dem Löschen der signierten DLL wieder neu infizieren. Mache mit dem Rechnern, den wir bereinigt haben, folgendes:
Starte in den nächsten drei Wochen, jedesmal, wenn du den Rechner neu hochfährst, die LanmanCheck.exe. Meldet der Test erneut einen Befall, gib hier bitte Rückmeldung! Setze den Rechner nach einer Meldung eines neuen Befalls komplett neu auf (alte Partition erst löschen, dann neu partitionieren - nicht nur drüberbügel). auf keine Fall eine Sicherung aufspielen!
Jeweils nach Ablauf einer Woche mache nochmals mit den Rechnern das, egal ob ein Befall gemeldt wurde oder nicht (also jede Woche ein Mal)!

• PPFScanner im normalen Modus starten.
• Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
• Wähle im Untermenü Script laden und ausführen.
• Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja.
• Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

Mache noch folgendes auf dem befallenen Rechner:

• Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
• PPFScan.exe starten.
• In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

CREATE_FOLDER->C:\PPF_Scan4
REGISTRY_ENUM->HKEY_LOCAL_MACHINE\SOFTWARE\Joosoft.com
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SOFTWARE\Joosoft.com>C:\PPF_Scan4\Joosoft.reg
COPY_SCANFILES->C:\PPF_Scan4
OPEN->C:\PPF_Scan4
END->

• Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
• Nach dem Scan beendet sich der Scanner. Es befinden sich danach im Ordner C:\PPF_Scan4 einige Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.

Das Script noch einmal im PPFScanner ausführen, der Computerbrowser geht sonst nicht (Macke in Windows):

• PPFScan.exe starten.
• In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

SET_REGISTRY_VALUE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
->ServiceDll
->2553797374656D526F6F74255C53797374656D33325C776B737376632E646C6C00
->2
REBOOT->

• Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
• Rechner startet sich dann neu.

Ja, trotzdem. Ich meine die Erkennung anderer Computer im Netzwerk.