Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: gema.exe Virus sperrt Desktop - Windows XP SP3

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 08.03.2012, 13:22   #1
splendens
 
gema.exe Virus  sperrt Desktop -  Windows XP SP3 - Standard

gema.exe Virus sperrt Desktop - Windows XP SP3



Hallo,
ich hab mir ein tolles Ding eingefangen das sich gema.exe nennt, und letztendlich immer meinen kompletten Desktop sperrt mit der Aufforderung ich solle doch 100 € per Paysafecard bezahlen um den Rechner wieder zu entsperren.

Ich habe nun schon selber versucht die Dateien zu löschen, da Antivir nichts finden konnte (Suche per Rescue System von USB Stick), aber die Dateien kommen immer wieder. Ich entferne sie aus dem Autostart, lösche sie manuell, aber es hilft einfach nichts.

Zuerst poppt immer eine Meldung auf, die unten angehängt habe. Im normalen Desktop kommt dann kurze Zeit später der Sperrbildschirm mit der Zahlungsaufforderung. Im abgesicherten Modus kommt die Meldung ebenfalls, allerdings nicht der gesperrte Bildschirm insofern ich die Meldung nicht versuche wegzuklicken.

Hoffe ihr könnt mir bei der Beseitung des Problems helfen.
Miniaturansicht angehängter Grafiken
gema.exe Virus  sperrt Desktop -  Windows XP SP3-meldung.jpg  

Alt 08.03.2012, 13:27   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
gema.exe Virus  sperrt Desktop -  Windows XP SP3 - Standard

gema.exe Virus sperrt Desktop - Windows XP SP3



Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?



Abgesicherter Modus zur Bereinigung
  • Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
  • Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:

    Windows im abgesicherten Modusstarten
__________________

__________________

Alt 08.03.2012, 13:30   #3
splendens
 
gema.exe Virus  sperrt Desktop -  Windows XP SP3 - Standard

gema.exe Virus sperrt Desktop - Windows XP SP3



Hallo cosinus,
ja der abgesicherte Modus funktioniert, sowohl mit als auch ohne Netzwerktreibern.
__________________

Alt 08.03.2012, 14:28   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
gema.exe Virus  sperrt Desktop -  Windows XP SP3 - Standard

gema.exe Virus sperrt Desktop - Windows XP SP3



Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
ATTFilter
 hier steht das Log
         
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 09.03.2012, 13:28   #5
splendens
 
gema.exe Virus  sperrt Desktop -  Windows XP SP3 - Standard

gema.exe Virus sperrt Desktop - Windows XP SP3



Hier das Log von Malware Bytes:


Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.08.05

Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.6001.18702
### :: EXTENSA5235 [Administrator]

Schutz: Deaktiviert

08.03.2012 15:00:59
mbam-log-2012-03-08 (15-31-10).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 296391
Laufzeit: 29 Minute(n), 11 Sekunde(n)

Infizierte Speicherprozesse: 1
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe (Spyware.Zbot.ES) -> 1296 -> Keine Aktion durchgeführt.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 4
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|gema. (Spyware.Zbot.ES) -> Daten: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|gema (Spyware.Zbot.ES) -> Daten: C:\WINDOWS\system32\gema.exe -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|gema (Spyware.Zbot.ES) -> Daten: C:\Dokumente und Einstellungen\###\Anwendungsdaten\gema\gema.exe -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|shell (Trojan.Ransom.ICL) -> Daten: C:\Dokumente und Einstellungen\###\Anwendungsdaten\gema\gema.exe,Explorer.exe, -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Spyware.Zbot.ES) -> Bösartig: (C:\WINDOWS\system32\gema.exe) Gut: () -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Bösartig: (C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe,C:\WINDOWS\system32\gema.exe,C:\WINDOWS\system32\userinit.exe,) Gut: (userinit.exe) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 9
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe (Spyware.Zbot.ES) -> Keine Aktion durchgeführt.
C:\WINDOWS\system32\gema.exe (Spyware.Zbot.ES) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\###\Anwendungsdaten\gema\gema.exe (Spyware.Zbot.ES) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\###\Lokale Einstellungen\Temp\0.8058716880193586.exe (Spyware.Zbot.ES) -> Keine Aktion durchgeführt.
C:\RECYCLER\S-1-5-21-839522115-706699826-1417001333-1003\Dc1.exe (Spyware.Zbot.ES) -> Keine Aktion durchgeführt.
C:\RECYCLER\S-1-5-21-839522115-706699826-1417001333-1003\Dc2.exe (Spyware.Zbot.ES) -> Keine Aktion durchgeführt.
C:\RECYCLER\S-1-5-21-839522115-706699826-1417001333-1003\Dc3.exe (Spyware.Zbot.ES) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{D433BA3B-44B7-4594-B91B-7DA59A44E1C2}\RP172\A0056085.exe (Spyware.Zbot.ES) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{D433BA3B-44B7-4594-B91B-7DA59A44E1C2}\RP172\A0057095.exe (Spyware.Zbot.ES) -> Keine Aktion durchgeführt.

(Ende)
         
Die Dateien wurden dann auch soweit gelöscht von MB.

Hier das Log von ESET:

Code:
ATTFilter
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=e081096543ec0a4c919fa04c72a3fe97
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-03-08 04:24:25
# local_time=2012-03-08 05:24:25 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1797 16775126 100 93 242590 67760977 153491 0
# compatibility_mode=8192 67108863 100 0 3724 3724 0 0
# scanned=125005
# found=6
# cleaned=0
# scan_time=3348
C:\Dokumente und Einstellungen\###\Lokale Einstellungen\Anwendungsdaten\Skype\Skype.exe	Win32/LockScreen.AIG trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\###\Lokale Einstellungen\Temp\bbitixeovubih.exe	Win32/LockScreen.AIG trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\###\Lokale Einstellungen\Temp\cnibnjinmf.exe	Win32/LockScreen.AIG trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\###\Lokale Einstellungen\Temp\gbptyodxpyiglsfaogiv.exe	Win32/LockScreen.AIG trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\###\Lokale Einstellungen\Temp\pkfypmmnsaizlx.exe	Win32/LockScreen.AIG trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\###\Lokale Einstellungen\Temp\ypvahgjbxitemhbi.exe	Win32/LockScreen.AIG trojan (unable to clean)	00000000000000000000000000000000	I
         


Alt 09.03.2012, 13:59   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
gema.exe Virus  sperrt Desktop -  Windows XP SP3 - Standard

gema.exe Virus sperrt Desktop - Windows XP SP3



Zitat:
Keine Aktion durchgeführt.
-> No action taken.
Die Funde müssen mit Malwarebytes entfernt waren! Bitte nachholen falls noch nicht getan!
__________________
--> gema.exe Virus sperrt Desktop - Windows XP SP3

Alt 09.03.2012, 14:01   #7
splendens
 
gema.exe Virus  sperrt Desktop -  Windows XP SP3 - Standard

gema.exe Virus sperrt Desktop - Windows XP SP3



Zitat:
Zitat von cosinus Beitrag anzeigen
Die Funde müssen mit Malwarebytes entfernt waren! Bitte nachholen falls noch nicht getan!
Wurden schon gelöscht, nachdem der Scan abgeschlossen wurde.

Alt 09.03.2012, 14:03   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
gema.exe Virus  sperrt Desktop -  Windows XP SP3 - Standard

gema.exe Virus sperrt Desktop - Windows XP SP3



Dann poste auch das richtige Log!
Die Dateien die ESET gefunden hat bitte auch löschen. Kannst du auch manuell machen
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu gema.exe Virus sperrt Desktop - Windows XP SP3
abgesicherten, antivir, autostart, dateien, desktop, ebenfalls, einfach, eingefangen, gema.exe, gen, kurze, löschen, meldung, modus, nichts, paysafecard, rechner, sp3, sperrbildschirm, sperrt, stick, suche, system, usb, usb stick, virus, windows, windows xp



Ähnliche Themen: gema.exe Virus sperrt Desktop - Windows XP SP3


  1. Windows Vista: BKA Virus sperrt Bildschirm
    Log-Analyse und Auswertung - 13.04.2014 (17)
  2. Windows XP - Interpol GVU Virus sperrt PC nach dem Booten
    Log-Analyse und Auswertung - 16.02.2014 (3)
  3. Windows XP - Interpol sperrt Desktop - TR/Crypt.XPACK.Gen
    Log-Analyse und Auswertung - 19.10.2013 (13)
  4. GVU sperrt Desktop
    Log-Analyse und Auswertung - 08.02.2013 (22)
  5. GEMA-Virus / Desktop leer
    Plagegeister aller Art und deren Bekämpfung - 17.10.2012 (24)
  6. nach gema trojaner der den pc sperrt fehler beim systemstart
    Log-Analyse und Auswertung - 06.07.2012 (13)
  7. Verschlüsselungs-Trojaner Ukash sperrt meinen Desktop
    Plagegeister aller Art und deren Bekämpfung - 11.06.2012 (3)
  8. Kein Desktop nach Gema Virus
    Log-Analyse und Auswertung - 05.06.2012 (1)
  9. Trojaner/ Virus sperrt Windows
    Plagegeister aller Art und deren Bekämpfung - 24.05.2012 (3)
  10. Desktop gesperrt, ähnlich wie GEMA-Virus, Hilfe! nix geht mehr
    Plagegeister aller Art und deren Bekämpfung - 30.03.2012 (10)
  11. Gema-Virus (hoffentlich) entfernt, aber kein Desktop zu sehen
    Plagegeister aller Art und deren Bekämpfung - 22.03.2012 (12)
  12. Gema Trojaner sperrt mein Windows
    Log-Analyse und Auswertung - 18.03.2012 (1)
  13. GEMA Virus - wohl gekillt, aber Desktop und Taskleiste fehlen
    Log-Analyse und Auswertung - 22.02.2012 (2)
  14. "GEMA-Virus" entfernt, nun aber Desktop leer
    Log-Analyse und Auswertung - 14.01.2012 (1)
  15. GEMA-Trojaner: zwar wohl entfernt (c't Desinfect), aber desktop.ini fehlerhaft: leerer Desktop...
    Plagegeister aller Art und deren Bekämpfung - 14.01.2012 (2)
  16. Pc sperrt mir Desktop und Internetverbindung wegen eines Backdoortrojaners
    Log-Analyse und Auswertung - 02.01.2012 (1)
  17. immer leerer Desktop nach dem 'Gema-Virus'
    Log-Analyse und Auswertung - 08.12.2011 (28)

Zum Thema gema.exe Virus sperrt Desktop - Windows XP SP3 - Hallo, ich hab mir ein tolles Ding eingefangen das sich gema.exe nennt, und letztendlich immer meinen kompletten Desktop sperrt mit der Aufforderung ich solle doch 100 € per Paysafecard bezahlen - gema.exe Virus sperrt Desktop - Windows XP SP3...
Archiv
Du betrachtest: gema.exe Virus sperrt Desktop - Windows XP SP3 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.