| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Gema-TrojanerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
19.03.2012, 10:38
| #1 |
 |  Gema-Trojaner Starte ich den Defogger über den OTLPEN-Desktop? Auf meinen Windows-XP Desktop kann ich ja nicht zugreifen... |
|
19.03.2012, 10:55
| #2 | |
| /// Malwareteam    | Gema-TrojanerZitat:
 Starte den Rechner im abgesicherten Modus mit Netzwerktreibern - dazu beim Systemstart VOR dem Windowsbildschirm die F8-Taste drücken! 
__________________ |
|
19.03.2012, 10:59
| #3 |
| | Gema-Trojaner Ja. Das funktioniert aber leider nicht.
__________________Da erscheint auch der Gema-Trojaner |
|
19.03.2012, 11:32
| #4 |
| /// Malwareteam | Gema-Trojaner Schritt 1: Fix mit OTLPEN Auf einem anderen PC, drücke die Windows- und die R-Taste gleichzeitig, schreibe notepad in das Fesnter, drücke OK. Kopiere den Text aus folgender Codebox in das Fenster und speichere die Datei unter Fix.TXT auf einem USB-Stick. Code:
ATTFilter :OTL
IE - HKU\Administrator_ON_C\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll (Yahoo! Inc.)
FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0
FF - prefs.js..keyword.URL: "hxxp://start.facemoods.com/results.php?f=5&a=ddr&q="
[2011/03/08 16:02:13 | 000,000,000 | ---D | M] (vShare) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mozilla\Firefox\Profiles\6livzf2o.default\extensions\vsh are@toolbar
[2010/12/13 08:36:54 | 000,002,035 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\fcmdSrchddr.xml
O2 - BHO: (&Yahoo! Toolbar Helper) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll (Yahoo! Inc.)
O3 - HKLM\..\Toolbar: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll (Yahoo! Inc.)
O4 - HKLM..\Run: [gema] C:\WINDOWS\system32\gema.exe ()
O4 - HKLM..\Run: [gema.] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe ()
O4 - HKU\Administrator_ON_C..\Run: [] File not found
O4 - HKU\Administrator_ON_C..\Run: [gema] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\gema\gema.exe ()
O20 - HKLM Winlogon: UserInit - (C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe) - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe ()
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\gema.exe) - C:\WINDOWS\system32\gema.exe ()
O20 - HKU\Administrator_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\gema\gema.exe) - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\gema\gema.exe ()
[2012/03/16 11:52:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema
[2012/03/16 11:52:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\gema
[2012/03/16 11:52:28 | 000,249,929 | ---- | M] () -- C:\WINDOWS\System32\gema.exe
[2012/03/16 11:52:34 | 000,249,929 | ---- | C] () -- C:\WINDOWS\System32\gema.exe
:COMMANDS
[EMPTYTEMP]
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes. Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes. Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK Drücke den "Fix"-Butto, lade die fix.txt von deinem USB-Stick. Klicke erneut auf "Fix". Wiondows sollte nun normal starten und otl.txt öffnen - poste deren Inhalt bitte hier in dein Thema!
__________________ Kein Asylrecht für Trojaner!  Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
19.03.2012, 11:48
| #5 |
| | Gema-Trojaner ========== OTL ========== Registry value HKEY_USERS\Administrator_ON_C\Software\Microsoft\Internet Explorer\URLSearchHooks\\{EF99BD32-C1FB-11D2-892F-0090271D4F88} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}\ deleted successfully. C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll moved successfully. Prefs.js: vshare@toolbar:1.0.0 removed from extensions.enabledItems Prefs.js: "hxxp://start.facemoods.com/results.php?f=5&a=ddr&q=" removed from keyword.URL Folder C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mozilla\Firefox\Profiles\6livzf2o.default\extensions\vsh are@toolbar\ not found. C:\Programme\Mozilla Firefox\searchplugins\fcmdSrchddr.xml moved successfully. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02478D38-C3F9-4efb-9B51-7695ECA05670}\ deleted successfully. File C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll not found. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{EF99BD32-C1FB-11D2-892F-0090271D4F88} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}\ not found. File C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll not found. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\gema deleted successfully. C:\WINDOWS\system32\gema.exe moved successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\gema. deleted successfully. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe moved successfully. Registry value HKEY_USERS\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully. Registry value HKEY_USERS\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\gema deleted successfully. C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\gema\gema.exe moved successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe deleted successfully. File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe not found. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\gema.exe deleted successfully. File C:\WINDOWS\system32\gema.exe not found. Registry value HKEY_USERS\Administrator_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\gema\gema.exe deleted successfully. File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\gema\gema.exe not found. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema folder moved successfully. C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\gema folder moved successfully. File C:\WINDOWS\System32\gema.exe not found. File C:\WINDOWS\System32\gema.exe not found. ========== COMMANDS ========== [EMPTYTEMP] User: Administrator ->Temp folder emptied: 2454 bytes ->Temporary Internet Files folder emptied: 305600 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 0 bytes ->Opera cache emptied: 0 bytes ->Flash cache emptied: 0 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 505 bytes Total Files Cleaned = 0.00 mb OTLPE by OldTimer - Version 3.1.48.0 log created on 03192012_134655 |
|
19.03.2012, 12:04
| #6 |
| /// Malwareteam | Gema-Trojaner Der Rechner sollte wieder bedienbar sein: Dann weiter mit Schritt 1-3 
__________________ --> Gema-Trojaner |
|
19.03.2012, 13:23
| #7 |
| | Gema-Trojaner Wenn der tdssKiller nichts findet ist alles wieder in Ordnung? Oder trotzdem den Report hier posten? |
|
| Themen zu Gema-Trojaner |
| .com, .dll, 0x00000001, antivir, avira, bho, bonjour, cdburnerxp, converter, desktop, einstellungen, explorer, firefox, format, google earth, helper, kaspersky, logfile, mp3, object, plug-in, realtek, registry, rundll, safer networking, scan, software, windows, windows xp, winlogon.exe |
Hybrid-Darstellung
