Hallo,
ich habe,wie der titel schon sagt, ein problem mit dem bekannten GEMA Virus, oder besser gesagt nicht ich habe das problem, sondern es ist das Notebook von einem Kumpel, das betroffen ist. Er hat es heute zu mir gebracht und gefragt ob ich ihm helfen kann, das teil wieder loszuwerden, seine passwörter für die windows anmeldung habe ich auch bekommen. Er glaubt, dass er den Trojaner wahrscheinlich beim Herunterladen von Dateien von Adf.ly aufgeschnappt hat.
Die GEMA-Meldung Erscheint, wenn man den PC mit Internetverbindung hochfährt,
wenn man ohne internetverbindung Startet bekommt man einen Weissen screen, im abgesicherten Modus starten bringt das gleiche resultat.
Ein Bild der Fehlermeldung ist im Anhang.
ich würde mich freuen, wenn mir jemand weiterhelfen könnte,
danke schonmal im Vorraus,
gruss Martin

Ach ja, ich habe bereits versucht mit der reatogo xpe disc zu booten, habe aber einen bluescreen bekommen, daher hatte ich auch keine möglichkeit einen scan mit otl durchzuführen.

Zitat:

Ach ja, ich habe bereits versucht mit der reatogo xpe disc zu booten, habe aber einen bluescreen bekommen, daher hatte ich auch keine möglichkeit einen scan mit otl durchzuführen.

Geh mal ins BIOS des Computers und stell den Plattencontroller von AHCI auf IDE bzw. Compatible um. Genauere Anleitungen kann man nicht posten, da fast jedes BIOS anders aussieht. Schau notfalls ins Handbuch.

Um das installierte Windows wieder booten zu können musst du natürlich auf AHCI wieder umstellen.

Das notebook ist ein sony Vaio, beim bios finde ich irgendwie keine einstellmöglichkeit für AHCI, überhaupt sieht das Bios ganz anders aus als ich es bisher gesehen habe, man kann fast garnichts machen.

Dann hat man ziemlich schlechte Karten.
OTLPE reagiert leider allergisch auf AHCI.
Ein anderer hat die Festplatte ausgebaut und in einem Rechner gepflanzt wo man das umstellen konnte. Dann bootete OTLPE auch. Ich glaube davon will ich dir aber lieber abraten, da ist es ja einfacher Daten über eine Linux-Live-CD zu sichern und dann komplett neu aufzusetzen. Linux (mit einigermaßem aktuellen Kernel) hat keine Probleme mit AHCI.

hm... ich weiss nicht ob er eine Windows CD zum Notebook dazubekommen hat, ich sichere jetzt die Daten einfach mal auf meine Externe. Gibts echt keine andere Möglichkeit den Virus zu entfernen?

gruss Martin

Wie soll das denn sonst funktionieren wenn Windows nicht mal mehr normal booten kann

Ok, ich hab mich nach einigem hin und her auch dafür entschieden, die Festplatte in meinen rechner zu bauen, dann hat das booten von der cd auch funktioniert. im anhang sind die OTL-logfiles.

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKU\LocalService_ON_H..\RunOnce: [mctadmin]  File not found
O4 - HKU\NetworkService_ON_H..\RunOnce: [mctadmin]  File not found
O4 - Startup: H:\Users\Elfir\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pkg_0ll.exe.lnk ()
O4 - Startup: H:\Users\Frederik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pkg_0ll.exe.lnk ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoViewContextMenu = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O7 - HKU\Frederik_ON_H\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O31 - SafeBoot: AlternateShell - C:\Users\Frederik\AppData\Local\Temp\pkg_0ll.exe
O32 - HKLM CDRom: AutoRun - 1
:Files
H:\Users\Elfir\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pkg_0ll.exe.lnk
H:\Users\Frederik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pkg_0ll.exe.lnk
:Commands
[purity]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten!

4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Hier das Logfile, die Zip datei kommt gleich, ich muss nur erst die Festplatte wieder einbauen.

Code: Alles auswählenAufklappen

ATTFilter

========== OTL ==========
Registry key HKEY_USERS\LocalService_ON_H\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce not found.
Registry key HKEY_USERS\NetworkService_ON_H\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce not found.
File H:\Users\Elfir\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pkg_0ll.exe.lnk not found.
File H:\Users\Frederik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pkg_0ll.exe.lnk not found.
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoViewContextMenu deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\EnableLUA deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\PromptOnSecureDesktop deleted successfully.
Registry key HKEY_USERS\Frederik_ON_H\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\\AlternateShell deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
========== FILES ==========
File\Folder H:\Users\Elfir\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pkg_0ll.exe.lnk not found.
File\Folder H:\Users\Frederik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pkg_0ll.exe.lnk not found.
========== COMMANDS ==========
J:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 06242012_205046
         

gruß Martin

hmm, ich habe versucht normal zu Booten, aber nachdem ich mich mit dem Benutzerkonto Angemeldet habe, bekomme ich nur einen schwarzen Bildschirm mit Zeiger, man kann nichts machen, ausser die Maus zu bewegen.

ich glaube ich weiss was ich verkehrt gemacht habe, Mein Usb-stick und meine externe waren noch angesteckt, deswegen haben sich die Laufwerksbuchstaben geändert.
deshalb steht beim fix-log wahrscheinlich auch not found. kann es daran liegen?

Beim Fix muss natürlich der Laufwerksbuchstabe auch passen
Wenn in der neuen OTLPE-Session die Windows-Systempartition nicht mehr H: ist, musst du das dementsprechend ändern

so, ich habe einen neuen Fix gemacht, diesmal mit richtigem Laufwerksbuchstaben, habe allerdings immernoch das selbe Problem mit dem schwarzen Bildschirm. hier ist das log:

Code: Alles auswählenAufklappen

ATTFilter

========== OTL ==========
Registry key HKEY_USERS\LocalService_ON_H\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce not found.
Registry key HKEY_USERS\NetworkService_ON_H\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce not found.
H:\Users\Elfir\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pkg_0ll.exe.lnk moved successfully.
H:\Users\Frederik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pkg_0ll.exe.lnk moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoViewContextMenu not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\EnableLUA not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\PromptOnSecureDesktop not found.
Registry value HKEY_USERS\Frederik_ON_H\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\\AlternateShell not found.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
========== FILES ==========
File\Folder H:\Users\Elfir\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pkg_0ll.exe.lnk not found.
File\Folder H:\Users\Frederik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pkg_0ll.exe.lnk not found.
========== COMMANDS ==========
H:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 06252012_002442
         

Erstell bitte dann ein neues Log mit OTLPE

ok, die neuen logfiles sind im Anhang

Ok, neuer Fix über OTLPE:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O20:64bit: - HKLM Winlogon: Shell - (C:\Users\Frederik\AppData\Local\Temp\pkg_0ll.exe) -  File not found
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\Frederik_ON_I\..\Toolbar\WebBrowser: (no name) - {40C3CC16-7269-4B32-9531-17F2950FB06F} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKU\Frederik_ON_I..\Run: [Facebook Update] I:\Users\Frederik\AppData\Local\Facebook\Update\FacebookUpdate.exe (Facebook Inc.)
O4 - HKU\LocalService_ON_I..\RunOnce: [mctadmin]  File not found
O4 - HKU\NetworkService_ON_I..\RunOnce: [mctadmin]  File not found
:Files
C:\Users\Frederik\AppData\Local\Temp\pkg_0ll.exe
I:\Users\Frederik\AppData\Local\Temp\pkg_0ll.exe
         

Super, Windows startet wieder normal!!
Ich werde die Zip datei wie beschrieben hochladen. Was soll ich jetzt noch machen?

gruß Martin