Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: GEMA - Trojaner ...shell.text bereits erstellt

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 26.12.2011, 20:49   #1
Tamrin
 
GEMA - Trojaner ...shell.text bereits erstellt - Standard

GEMA - Trojaner ...shell.text bereits erstellt



Hallo zusammen.
Ich hab mir heute irgendwie diesen GEMA-Trojaner eingefangen und schonmal die ersten wichtigen Schritte, wie hier beschrieben (EDIT: ich kann wohl keine Links erstellen, darum hier das Thema das ich eigentlich verlinken wolte: http://www.trojaner-board.de/105536-...-laufwerk.html ), befolgt.

Noch zur Info: Ich habe ein Acer-Netbook und nach der erstellung der shell.txt kann ich wieder auf mein Benutzerkonto zugreifen. Allerdings ist der Desctop schwarz und ich sehe keine Icons.

hier nun die shell.txt

WIN_7 X86 Service Pack 1
Running from F:\

Modified HKLM shell extension. Current Shell File = C:\Users\Tamrin\AppData\Roaming\5suxrt589cxuftg.exe
.
.
File C:\Users\Tamrin\AppData\Roaming\5suxrt589cxuftg.exe moved to F:\\infected or not found
HKCU\..\Winlogon; Shell not found
.


[System Process]
System
smss.exe
csrss.exe
csrss.exe
wininit.exe
winlogon.exe
services.exe
lsass.exe
lsm.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
cmd.exe
conhost.exe
ctfmon.exe
srep.exe


HKLM\..\Run [IAAnotif] = C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
HKLM\..\Run [LManager] = C:\Program Files\Launch Manager\LManager.exe
HKLM\..\Run [SynTPEnh] = %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
HKLM\..\Run [IgfxTray] = C:\Windows\system32\igfxtray.exe
HKLM\..\Run [HotKeysCmds] = C:\Windows\system32\hkcmd.exe
HKLM\..\Run [Persistence] = C:\Windows\system32\igfxpers.exe
HKLM\..\Run [avgnt] = "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
HKLM\..\Run [Adobe Reader Speed Launcher] = "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
HKLM\..\Run [IjmrHbDDJ3PyrXc] = C:\Users\Tamrin\AppData\Roaming\5suxrt589cxuftg.exe

HKCU\..\Run [IjmrHbDDJ3PyrXc] = C:\Users\Tamrin\AppData\Roaming\5suxrt589cxuftg.exe

HKU\.DEFAULT\..\Winlogon; Shell = C:\Windows\system32\config\systemprofile\AppData\Roaming\5suxrt589cxuftg.exe
HKU\S-1-5-19\..\Winlogon; Shell =
HKU\S-1-5-20\..\Winlogon; Shell =
HKU\S-1-5-21-255489488-3253161425-1575784739-1000\..\Winlogon; Shell = C:\Users\Tamrin\AppData\Roaming\5suxrt589cxuftg.exe
HKU\S-1-5-21-255489488-3253161425-1575784739-1000_Classes\..\Winlogon; Shell =
HKU\S-1-5-18\..\Winlogon; Shell = C:\Windows\system32\config\systemprofile\AppData\Roaming\5suxrt589cxuftg.exe

HKU\.DEFAULT\..\Run [IjmrHbDDJ3PyrXc] = C:\Windows\system32\config\systemprofile\AppData\Roaming\5suxrt589cxuftg.exe
HKU\S-1-5-19\..\Run [Sidebar] = %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-20\..\Run [Sidebar] = %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-21-255489488-3253161425-1575784739-1000\..\Run [IjmrHbDDJ3PyrXc] = C:\Users\Tamrin\AppData\Roaming\5suxrt589cxuftg.exe
HKU\S-1-5-18\..\Run [IjmrHbDDJ3PyrXc] = C:\Windows\system32\config\systemprofile\AppData\Roaming\5suxrt589cxuftg.exe

==== FINISH 26.12-20.21 ====


Ich weiß nicht ob das weiter Hilft, aber ich habe über den Facebook-chat nen link zu "chinamartusa.com" bekommen. Der führte nicht wirklich zu einer Internet-Seite, sondern Google-Chrome hat versucht eine Dateirunter zu laden, was ich aber untersagt habe.
Danach hatte ich schon die ersten Probleme mit Viren. AntiVir meldete sich aufgrund einer Maleware und 2 Viren. Nach einem kompletten Scan mit Antivir und einem Antimalewareprogramm (dass sogar 11 Funde vorweisen konnte) schien erstmal alles sauber.
Später bekam ich jedoch wieder Nachricht von AntiVir über Maleware und 2 Viren (nach AntiVir-Protokoll waren es wohl die selben wie zuvor) UND AntiVir blockte aus Sicherheitsgründen die Host-Datei.
Ich war erstmal ratlos weil ich dachte mein PC wäre sauber, aber bevor ich groß wieder suchen konnte hatte ich dieses Gema-Trojanerproblem.

Könnte das im Zusammenhang stehen? Zwischen den einzelnen Vorkommen vergehen nämlich über 24 Stunden.

Vielen Dank schonmal im Vorraus für die Hilfe.

mfg

Alt 26.12.2011, 21:59   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
GEMA - Trojaner ...shell.text bereits erstellt - Standard

GEMA - Trojaner ...shell.text bereits erstellt



Probier mal bitte:

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
ATTFilter
 hier steht das Log
         
__________________

__________________

Alt 27.12.2011, 13:01   #3
Tamrin
 
GEMA - Trojaner ...shell.text bereits erstellt - Standard

GEMA - Trojaner ...shell.text bereits erstellt



Hi cosinus,
danke für deine schnelle Antwort und das noch am 2. Weihnachtsfeiertag. Ihr seid wirklich klasse

Den Vollscan mit Malwarebytes hab ich noch gestern Abend ausgeführt.
Die Vollscans vor dem Trojanerbefall poste ich am besten auch gleich mit.

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 911122601

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

26.12.2011 05:26:35
mbam-log-2011-12-26 (05-26-35).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 285303
Laufzeit: 2 Stunde(n), 46 Minute(n), 40 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 13

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\program files\relevantknowledge (Spyware.MarketScore) -> Quarantined and deleted successfully.
c:\Users\Tamrin\m-1-25-5432-6437-5685 (Trojan.Agent.Gen) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\$Recycle.Bin\s-1-5-21-255489488-3253161425-1575784739-1000\$RPVQYXE.exe (Affiliate.Downloader) -> Quarantined and deleted successfully.
c:\programdata\sectaskman\winmgr.exe.q_quarantine_5f58c00_q (Trojan.MSIL) -> Quarantined and deleted successfully.
c:\Users\Tamrin\AppData\Local\Google\Chrome\user data\Default\Cache\f_00335b (Trojan.MSIL) -> Quarantined and deleted successfully.
c:\Users\Tamrin\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\OCLIRLSK\fa[1].exe (Trojan.MSIL) -> Quarantined and deleted successfully.
c:\Users\Tamrin\AppData\Local\Temp\0.031457084596690166.exe (Trojan.MSIL) -> Quarantined and deleted successfully.
c:\Users\Tamrin\AppData\Local\Temp\2218193.exe (Trojan.MSIL) -> Quarantined and deleted successfully.
c:\Users\Tamrin\AppData\Local\Temp\CSMFCA.tmp (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
c:\Users\Tamrin\AppData\Local\Temp\4425571.exe (Trojan.MSIL) -> Quarantined and deleted successfully.
c:\Users\Tamrin\AppData\Local\Temp\7624970.exe (Trojan.MSIL) -> Quarantined and deleted successfully.
c:\Users\Tamrin\AppData\LocalLow\Sun\Java\deployment\cache\6.0\57\5c565cf9-27d6991b (Trojan.MSIL) -> Quarantined and deleted successfully.
c:\Users\Tamrin\downloads\install_flash_player.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\program files\relevantknowledge\MSVCP71.DLL (Spyware.MarketScore) -> Quarantined and deleted successfully.
c:\program files\relevantknowledge\MSVCR71.DLL (Spyware.MarketScore) -> Quarantined and deleted successfully.
         
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 911122601

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

26.12.2011 14:06:32
mbam-log-2011-12-26 (14-06-32).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 283102
Laufzeit: 2 Stunde(n), 55 Minute(n), 11 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 911122605

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

27.12.2011 00:34:45
mbam-log-2011-12-27 (00-34-45).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 283257
Laufzeit: 2 Stunde(n), 4 Minute(n), 18 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{TIXrGaSC-eWNX-NSWd-i9pl-PgdxpRdF4nbF} (Backdoor.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\IjmrHbDDJ3PyrXc (Backdoor.Agent.H) -> Value: IjmrHbDDJ3PyrXc -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell.Gen) -> Value: Shell -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\IjmrHbDDJ3PyrXc (Backdoor.Agent) -> Value: IjmrHbDDJ3PyrXc -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\IjmrHbDDJ3PyrXc (Backdoor.Agent) -> Value: IjmrHbDDJ3PyrXc -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop (PUM.Hidden.Desktop) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (PUM.Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Windows\System32\config\systemprofile\AppData\Roaming\5suxrt589cxuftg.exe (Backdoor.Agent.H) -> Quarantined and deleted successfully.
c:\Windows\Temp\sdpgfc\setup.exe (Backdoor.Agent.H) -> Quarantined and deleted successfully.
         
Danach war mein Desktop auch nicht mehr schwarz. Die Icons fehlen jedoch immernoch.

Bei der benutzung von ESET Online Scanner tuen sich allerdings nun einige Probleme auf.
Das Erste ist, dass ich die ESET.exe nicht auf meinem Desctop speichern kann, weil dort ja keine Icons zu sehen sind. Ich hab es versucht, aber es ist nicht zu erkennen, dass ein Kopiervorgang statt findet.

Ich habe dann die .exe von einem Windows XP Rechner heruntergeladen und auf einen USB-Stick gespeichert.
Danach wollte ich ESET über den USB-Stick auf meinem infizierten Rechner starten (ist das überhaupt ratsam, oder führt das wieder zu Problemen?) jedoch bin ich nicht weit gekommen, weil mir ESET sagt, dass noch Windows Defender im Hintergrund läuft.

Hier weiß ich wieder nicht wie ich es ausschalten soll.
Als ich nach dem Programm erfolgreich gesucht habe stand dort, dass Windows Defender auf Grund eines Problems angehalten wurde. Also ist es doch schon aus, oder?


Nochmals Danke für die schnelle Hilfe. Ich hoffe ich schreibe verständlich genug für eine Ferndiagnose. Falls nicht, unbedingt zur Ansprache bringen! Ich versuche mich dann zu bessern.

mfg
__________________

Alt 27.12.2011, 17:07   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
GEMA - Trojaner ...shell.text bereits erstellt - Standard

GEMA - Trojaner ...shell.text bereits erstellt



Zitat:
Hier weiß ich wieder nicht wie ich es ausschalten soll.
Versuch trotzdem ESET einfach scannen zu lassen oder will es nicht wenn der Defender angeblich aktiv ist?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 28.12.2011, 02:00   #5
Tamrin
 
GEMA - Trojaner ...shell.text bereits erstellt - Standard

GEMA - Trojaner ...shell.text bereits erstellt



Ok also es scannt trotz Windows Defender im Hintergrund.
Hab es wie gesagt vom USB-Stick aus starten lassen.

Hier der gewüschte Text:
Code:
ATTFilter
ESETSmartInstaller@High as downloader log:
Can not open internetESETSmartInstaller@High as downloader log:
Can not open internetESETSmartInstaller@High as downloader log:
all ok
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=81e2b2100558fd40963ed3f4681fedd8
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-12-27 08:11:11
# local_time=2011-12-27 09:11:11 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 6240104 6240104 0 0
# compatibility_mode=5893 16776574 66 94 186522 76635831 0 0
# compatibility_mode=8192 67108863 100 0 64602 64602 0 0
# scanned=129424
# found=10
# cleaned=0
# scan_time=12032
C:\ABC\Spiele\WoW\sblauncher.exe	probably a variant of Win32/TrojanDownloader.Agent.SVNSNU trojan (unable to clean)	00000000000000000000000000000000	I
C:\Stormblade\zlconf.exe	probably a variant of Win32/TrojanDownloader.Agent.SVNSNU trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\Tamrin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\OCLIRLSK\st[1].exe	a variant of Win32/Kryptik.XZM trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\Tamrin\AppData\Local\Temp\jar_cache572285927657068335.tmp	a variant of J2ME/Agent.AA trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\Tamrin\AppData\Roaming\toolplugin\toolbar.dll	Win32/Adware.ToolPlugin application (unable to clean)	00000000000000000000000000000000	I
C:\Users\Tamrin\Downloads\sblauncher (1).exe	probably a variant of Win32/TrojanDownloader.Agent.SVNSNU trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\Tamrin\Downloads\sblauncher.exe	probably a variant of Win32/TrojanDownloader.Agent.SVNSNU trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\Tamrin\Downloads\SoftonicDownloader_fuer_wowmatrix.exe	a variant of Win32/SoftonicDownloader.A application (unable to clean)	00000000000000000000000000000000	I
C:\Windows\Temp\ymoimg\setup.exe	a variant of Win32/Kryptik.YBK trojan (unable to clean)	00000000000000000000000000000000	I
${Memory}	a variant of Win32/Sirefef.DN trojan	00000000000000000000000000000000	I
         
Ich hoffe das hilft.


mfg


Alt 28.12.2011, 04:06   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
GEMA - Trojaner ...shell.text bereits erstellt - Standard

GEMA - Trojaner ...shell.text bereits erstellt



Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
ATTFilter
 hier steht das Log
         
CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet
Code:
ATTFilter
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread
__________________
--> GEMA - Trojaner ...shell.text bereits erstellt

Alt 28.12.2011, 14:38   #7
Tamrin
 
GEMA - Trojaner ...shell.text bereits erstellt - Standard

GEMA - Trojaner ...shell.text bereits erstellt



Hi.
Mit OTL gibts es ein kleines Problem. Nach einer Weile hängt sich das Programm bei einem bestimmten Ordner auf.
Ich hab es schon zwei mal probiert und musste dann das Netbook kalt ausschalten, weil nix mehr weiter ging.
Wenn OTL bei dem Dateipfad "C:\ABC\Programme\VLC\locale\pt4\..." angekommen ist scheint es nicht mehr weiter zu arbeiten und, wenn ich dann irgendwas klicke (egal was... auch ins Lehre), steht bei OTL (keine Rückmeldung).
Hab dann immer versucht OTL zu beenden indem ich auf X drücke, aber es passiert einfach nichts oder es ist wirklich ewig langsam.

Ich habe auch drauf geachtet, dass keine Programme neben OTL laufen. Habe auch AntiVir deaktiviert und die Internetverbindung ist für den Zeitraum des Scans auch abgeschaltet.
Ich habe OTL auch als Admin gestartet.

Was soll ich tun?

mfg

Alt 28.12.2011, 22:19   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
GEMA - Trojaner ...shell.text bereits erstellt - Standard

GEMA - Trojaner ...shell.text bereits erstellt



Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Wenn ja probier da nochmal OTL




Abgesicherter Modus zur Bereinigung
  • Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
  • Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:

    Windows im abgesicherten Modusstarten
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 29.12.2011, 02:04   #9
Tamrin
 
GEMA - Trojaner ...shell.text bereits erstellt - Standard

GEMA - Trojaner ...shell.text bereits erstellt



Ok also ich bin gerade etwas am verzweifeln, aber eins nach dem anderen.

Zunächst habe ich versucht im abgesicherten Modus OTL scannen zu lassen, aber da hängt es wieder an der gleichen stelle.
Daraufhin habe ich mir gedacht, dass ich den VLC-Player eh nicht brauche und wollte den Ordner einfach löschen. Deinstallation hat auch soweit funktioniert, aber der q4t-Ordner war noch da und ließ sich nicht löschen, da folgende Fehlermeldung kam:
Zitat:
Fehler 0x8007045D: Die Anforderung konnte wegen eines E/A-Gerätefehlers nicht ausgeführt werden.
Daraufhin habe ich mit Sweepi herunter geladen und den Ordner mit gewalt gelöscht. (Bitte verzeiht meine Ungeduld, aber ich konnte mir nicht vorstellen, dass die Dateien noch wichtig seien und hielt das für eine pragmatische Lösung)
Nach dem Löschen des Ordners habe ich OTL wieder gestartet, doch wieder blieb es nach eine Weile hängen und ich sah folgenden Dateipfad:
Zitat:
"C:\ABC\Programme\TIJZCM\FNRSXI\qt4..."
... schonwieder dieser qt4-Ordner?
Was mir jetzt echt angst macht, ist, dass ich diesen \TIJZCM noch nie vorher gesehen hatte und mir sicher bin so einen nie erstellt zu haben.
Ich habe ihn gleich wieder mit Sweepi gelöscht und prompt war einer neuer Ordner in meinem \Programme-Ordner. Wieder nach dem selben Muster von 6 willkührlichen Großbuchstaben
Zitat:
"...\HOPXHI\QP@LYA\qt4..."
.
OTL hängt sich jedes mal an der gleichen stelle auf und ich kann den Ordner nich los werden.
Was genau ist das?

mfg

Alt 29.12.2011, 02:31   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
GEMA - Trojaner ...shell.text bereits erstellt - Standard

GEMA - Trojaner ...shell.text bereits erstellt



Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.
  • Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.
Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 29.12.2011, 02:39   #11
Tamrin
 
GEMA - Trojaner ...shell.text bereits erstellt - Standard

GEMA - Trojaner ...shell.text bereits erstellt



Mein infizierter Rechner ist ein Netbook, da kannich nicht von einer CD aus booten

mfg

PS: Ich persönlich halte mich nicht für dumm und wäre auch über etwas background sehr dankbar. Ich würde gerne wissen wieso etwas nicht so funktioniert wie es soll, oder was mein Rechner denn überhaupt hat.

Alt 29.12.2011, 02:52   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
GEMA - Trojaner ...shell.text bereits erstellt - Standard

GEMA - Trojaner ...shell.text bereits erstellt



Wenn wirklich garnichts mehr geht brauchst du aber eine eine Möglichkeit von einem anderem Laufwerk zu booten.


Erstellen wir einen bootbaren USB Stick für OTLPE

Wichtig:
Der USB Stick muss mindestens 512 MB oder mehr haben. Sichere gegebenfalls alle Dateien von dem USB Stick, diese werden nach den folgenden Schritten nicht mehr vorhanden sein.
  • Downloade dir OTLPEstd.exe und speichere die Datei auf dem Desktop.
  • Solltest Du kein 7-zip oder Winrar auf deinem System haben, lade dir 7-zip herunter und installiere es.
  • Nach der Installation von 7-zip, extrahiere OTLPEstd mit einem Rechtsklick auf OTLPE.iso und wähle Entpacken nach "OTLPEstd\".





    Nun öffne bitte den Ordner OTLPEStd und mache einen Rechtklick auf die OTLPE_New_Std.iso und wähle in 7zip Dateien entpacken



    Entpacke die Dateien in einen Ordner ( OTLPE ) auf dem Desktop. Nehme bitte ebenfalls die Einstellung wie im Bild vor.

Downloade dir eeepcfr.zip und entpacke die Datei nach Systemroot (meistens C:\).
  • Leere den USB Stick auf den Du OTLPE erstellen willst.
  • Navigiere nach C:\eeecpfr und starte usb_prep8.cmd.
  • Drücke im DOS Fenster eine beliebige Taste.
  • Gehe nun sicher das der richtige Laufwerksbuchstabe deines USB Sticks ganz oben steht.
    Für Drive Label: gib ein OTLPE.
    Unter Source Path to built BartPE/WinPE Files klicke ... und wähle den vorher erstellten OTLPE Ordner .
    Setze ein Häckchen bei Enable File Copy.
  • Klicke Start, akzeptiere die Nutzungsbestimmungen.
Nun kannst Du mit dem USB Stick dein System starten!

Nun boote von mit der OTLPE USB Stick.
Hinweis: Wie boote ich von CD (einfach statt ner CD USB Device auswählen)
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 29.12.2011, 04:28   #13
Tamrin
 
GEMA - Trojaner ...shell.text bereits erstellt - Standard

GEMA - Trojaner ...shell.text bereits erstellt



Ok ich habe den bootbaren USB-Stick erstellt und im Bootmenü den USB-Stick als ersten Bootdriver ausgewählt.
Wenn dann der Rechner hoch fährt steht da im schwarzen Bildschirm.
Zitat:
Datenträger entfernen.
Neustart: Taste drücken
is für mich zumindest nen zeichen, dass das mit dem vom USB booten schonmal erkannt wurde.
ICh drücke dann immer irgend ne Taste und er fährt ganz normal hoch.
Wann genau erkenne ich, dass er wirklich vom USB-stick gebootet hat?
dieser REATGO desktop erschweint nämlich nicht, nach dem ich mich mit meinem Benutzerkonto angemeldet habe.

mfg

Alt 29.12.2011, 16:03   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
GEMA - Trojaner ...shell.text bereits erstellt - Standard

GEMA - Trojaner ...shell.text bereits erstellt



Sry wenn du das nicht hinbekommst gibt es nicht mehr viele Möglichkeiten. Die letzte außer OTLPE von USB-Stick wäre ein Booten von CD wenn du ein externes optisches Laufwerk dran hättest.

Wenn das mit OTLPE nicht klappt wäre das noch eine Option => Kaspersky WindowsUnlocker - Anwendung für die Bekämpfung von Ransomware
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 30.12.2011, 03:08   #15
Tamrin
 
GEMA - Trojaner ...shell.text bereits erstellt - Standard

GEMA - Trojaner ...shell.text bereits erstellt



Ja aber kann es denn nicht sein, dass ich irgendwas falsch gemacht habe.
Muss ja nicht automtisch heißen, dass es mit dem USB stick nicht geht.
Kann doch nicht euer Ernst sein, dass ich mir extra ein externes Laufwerk kaufen muss. Vor allem .. wo ist denn da der große Unterschied zum USB-stick? Wer garantiert mir, dass es mit dem Laufwerk geht und warum?

Kann doch nicht sein, dass so ein popeliger Trojaner mein komplettes Netbook schrottet. Anfang nächsten Monats gehts mitder Prüfungszeit los und da brauch ich meinen Rechner

Ich würd vor allem erstmal wissen was denn mit meinem Rechner nicht in Ordnung ist. Das hat mir immernoch keiner erklärt, obwohl ich schonmal drum gebeten habe. Ich sitz hier und soll ein Programm nach dem anderen voll ahnungslos über meinen Rechner jagen und kann mir kein Stück selber helfen, wenn mal die kleinste Kleinigkeit nicht so funktioniert wie sie soll.
Was bedeutet dieses
Zitat:
Datenträger entfernen.
Neustart: Taste drücken
?
Was genau hab ich eigentlich auf meinen USB-stick gespeichert oder erstellt?

Versteht mich um Himmels willen nicht falsch. Ich bin echt froh, dass es ein Forum wie dieses hier gibt wo einem so schnell geholfen wird. Aber ich fühl mich hier wie als 12 jähriger behandelt.

mfg

Geändert von Tamrin (30.12.2011 um 03:31 Uhr)

Antwort

Themen zu GEMA - Trojaner ...shell.text bereits erstellt
adobe, antivir, appdata, avg, avgnt, avira, benutzerkonto, c:\windows, desktop, file, ics, infected, laden, launch, link, maleware, moved, not, probleme, ratlos, roaming, scan, shell.txt, suche, system, system32, trojaner, windows, winlogon



Ähnliche Themen: GEMA - Trojaner ...shell.text bereits erstellt


  1. GVU Trojaner Logfile bereits mit frst erstellt
    Log-Analyse und Auswertung - 30.07.2013 (1)
  2. GVU Trojaner, OTL Logfiles bereits erstellt
    Plagegeister aller Art und deren Bekämpfung - 12.06.2013 (1)
  3. WinVista: GVU-Trojaner, Version 2.10, kein Abgesicherter Modus möglich gewesen, Logfiles bereits erstellt
    Log-Analyse und Auswertung - 29.12.2012 (35)
  4. GEMA-Trojaner 2.08, bereits OTLPE-Logfile erstellt
    Log-Analyse und Auswertung - 26.10.2012 (2)
  5. alter Trojaner schädlich? Habe ein paar Logfiles bereits erstellt
    Log-Analyse und Auswertung - 06.10.2012 (53)
  6. Oldtimer erstellt bloß OTL.text - nicht Extra.txt
    Antiviren-, Firewall- und andere Schutzprogramme - 03.06.2012 (3)
  7. gema-trojaner auf laptop, otl-scan bereits durchgeführt
    Log-Analyse und Auswertung - 29.05.2012 (8)
  8. GEMA Trojaner - OTL.txt erstellt - brauche Hilfe!
    Log-Analyse und Auswertung - 02.04.2012 (7)
  9. GEMA-Trojaner - OTL.txt erstellt
    Log-Analyse und Auswertung - 01.04.2012 (3)
  10. 50 Euro Virus, OTL Log´s bereits erstellt
    Plagegeister aller Art und deren Bekämpfung - 28.03.2012 (2)
  11. GEMA Trojaner - OTLPE Logs erstellt - wie geht es weiter?
    Plagegeister aller Art und deren Bekämpfung - 28.03.2012 (11)
  12. Win 7 - Gema-Trojaner 2.01 - diverse Schritte bereits umgesetzt - Desktop noch schwarz ohne Icons
    Plagegeister aller Art und deren Bekämpfung - 08.03.2012 (11)
  13. Trojaner "Windows blockiert aus Sicherheitsgründen, 50€ zahlen" Logfile bereits erstellt
    Plagegeister aller Art und deren Bekämpfung - 06.01.2012 (15)
  14. Cosinus Bundespolizeivirus hilfe mit shell text !!!
    Log-Analyse und Auswertung - 03.11.2011 (1)
  15. Ukash BKA Trojaner: OTL file erstellt, jedoch keine extas.text und nun?
    Log-Analyse und Auswertung - 07.09.2011 (1)
  16. Trojaner TR/Kazy.mekml.1 - OTL txt.files bereits erstellt
    Plagegeister aller Art und deren Bekämpfung - 21.04.2011 (39)
  17. Zieldatei wird von BAT-Datei nicht erstellt und DOS Shell bleibt offen
    Alles rund um Windows - 27.08.2010 (2)

Zum Thema GEMA - Trojaner ...shell.text bereits erstellt - Hallo zusammen. Ich hab mir heute irgendwie diesen GEMA-Trojaner eingefangen und schonmal die ersten wichtigen Schritte, wie hier beschrieben (EDIT: ich kann wohl keine Links erstellen, darum hier das Thema - GEMA - Trojaner ...shell.text bereits erstellt...
Archiv
Du betrachtest: GEMA - Trojaner ...shell.text bereits erstellt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.