Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Gema Trojaner paysafe card

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 12.06.2012, 22:51   #1
Martin_H
 
Gema Trojaner paysafe card - Standard

Gema Trojaner paysafe card



Hallo,
ich habe,wie der titel schon sagt, ein problem mit dem bekannten GEMA Virus, oder besser gesagt nicht ich habe das problem, sondern es ist das Notebook von einem Kumpel, das betroffen ist. Er hat es heute zu mir gebracht und gefragt ob ich ihm helfen kann, das teil wieder loszuwerden, seine passwörter für die windows anmeldung habe ich auch bekommen. Er glaubt, dass er den Trojaner wahrscheinlich beim Herunterladen von Dateien von Adf.ly aufgeschnappt hat.
Die GEMA-Meldung Erscheint, wenn man den PC mit Internetverbindung hochfährt,
wenn man ohne internetverbindung Startet bekommt man einen Weissen screen, im abgesicherten Modus starten bringt das gleiche resultat.
Ein Bild der Fehlermeldung ist im Anhang.
ich würde mich freuen, wenn mir jemand weiterhelfen könnte,
danke schonmal im Vorraus,
gruss Martin

Ach ja, ich habe bereits versucht mit der reatogo xpe disc zu booten, habe aber einen bluescreen bekommen, daher hatte ich auch keine möglichkeit einen scan mit otl durchzuführen.
Miniaturansicht angehängter Grafiken
Gema Trojaner paysafe card-gema_virus.jpg  

Alt 15.06.2012, 19:03   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Gema Trojaner paysafe card - Standard

Gema Trojaner paysafe card



Zitat:
Ach ja, ich habe bereits versucht mit der reatogo xpe disc zu booten, habe aber einen bluescreen bekommen, daher hatte ich auch keine möglichkeit einen scan mit otl durchzuführen.
Geh mal ins BIOS des Computers und stell den Plattencontroller von AHCI auf IDE bzw. Compatible um. Genauere Anleitungen kann man nicht posten, da fast jedes BIOS anders aussieht. Schau notfalls ins Handbuch.

Um das installierte Windows wieder booten zu können musst du natürlich auf AHCI wieder umstellen.
__________________

__________________

Alt 15.06.2012, 23:03   #3
Martin_H
 
Gema Trojaner paysafe card - Standard

Gema Trojaner paysafe card



Das notebook ist ein sony Vaio, beim bios finde ich irgendwie keine einstellmöglichkeit für AHCI, überhaupt sieht das Bios ganz anders aus als ich es bisher gesehen habe, man kann fast garnichts machen.
__________________

Alt 16.06.2012, 00:26   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Gema Trojaner paysafe card - Standard

Gema Trojaner paysafe card



Dann hat man ziemlich schlechte Karten.
OTLPE reagiert leider allergisch auf AHCI.
Ein anderer hat die Festplatte ausgebaut und in einem Rechner gepflanzt wo man das umstellen konnte. Dann bootete OTLPE auch. Ich glaube davon will ich dir aber lieber abraten, da ist es ja einfacher Daten über eine Linux-Live-CD zu sichern und dann komplett neu aufzusetzen. Linux (mit einigermaßem aktuellen Kernel) hat keine Probleme mit AHCI.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 16.06.2012, 12:35   #5
Martin_H
 
Gema Trojaner paysafe card - Standard

Gema Trojaner paysafe card



hm... ich weiss nicht ob er eine Windows CD zum Notebook dazubekommen hat, ich sichere jetzt die Daten einfach mal auf meine Externe. Gibts echt keine andere Möglichkeit den Virus zu entfernen?

gruss Martin


Alt 17.06.2012, 21:42   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Gema Trojaner paysafe card - Standard

Gema Trojaner paysafe card



Wie soll das denn sonst funktionieren wenn Windows nicht mal mehr normal booten kann
__________________
--> Gema Trojaner paysafe card

Alt 22.06.2012, 17:58   #7
Martin_H
 
Gema Trojaner paysafe card - Standard

Gema Trojaner paysafe card



Ok, ich hab mich nach einigem hin und her auch dafür entschieden, die Festplatte in meinen rechner zu bauen, dann hat das booten von der cd auch funktioniert. im anhang sind die OTL-logfiles.
Angehängte Dateien
Dateityp: txt OTL.Txt (77,1 KB, 179x aufgerufen)
Dateityp: txt Extras.Txt (26,0 KB, 171x aufgerufen)

Alt 24.06.2012, 16:32   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Gema Trojaner paysafe card - Standard

Gema Trojaner paysafe card



Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Code:
ATTFilter
:OTL
O4 - HKU\LocalService_ON_H..\RunOnce: [mctadmin]  File not found
O4 - HKU\NetworkService_ON_H..\RunOnce: [mctadmin]  File not found
O4 - Startup: H:\Users\Elfir\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pkg_0ll.exe.lnk ()
O4 - Startup: H:\Users\Frederik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pkg_0ll.exe.lnk ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoViewContextMenu = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O7 - HKU\Frederik_ON_H\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O31 - SafeBoot: AlternateShell - C:\Users\Frederik\AppData\Local\Temp\pkg_0ll.exe
O32 - HKLM CDRom: AutoRun - 1
:Files
H:\Users\Elfir\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pkg_0ll.exe.lnk
H:\Users\Frederik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pkg_0ll.exe.lnk
:Commands
[purity]
[resethosts]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten!

4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 24.06.2012, 16:56   #9
Martin_H
 
Gema Trojaner paysafe card - Standard

Gema Trojaner paysafe card



Hier das Logfile, die Zip datei kommt gleich, ich muss nur erst die Festplatte wieder einbauen.

Code:
ATTFilter
========== OTL ==========
Registry key HKEY_USERS\LocalService_ON_H\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce not found.
Registry key HKEY_USERS\NetworkService_ON_H\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce not found.
File H:\Users\Elfir\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pkg_0ll.exe.lnk not found.
File H:\Users\Frederik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pkg_0ll.exe.lnk not found.
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoViewContextMenu deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\EnableLUA deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\PromptOnSecureDesktop deleted successfully.
Registry key HKEY_USERS\Frederik_ON_H\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\\AlternateShell deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
========== FILES ==========
File\Folder H:\Users\Elfir\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pkg_0ll.exe.lnk not found.
File\Folder H:\Users\Frederik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pkg_0ll.exe.lnk not found.
========== COMMANDS ==========
J:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 06242012_205046
         
gruß Martin

hmm, ich habe versucht normal zu Booten, aber nachdem ich mich mit dem Benutzerkonto Angemeldet habe, bekomme ich nur einen schwarzen Bildschirm mit Zeiger, man kann nichts machen, ausser die Maus zu bewegen.

ich glaube ich weiss was ich verkehrt gemacht habe, Mein Usb-stick und meine externe waren noch angesteckt, deswegen haben sich die Laufwerksbuchstaben geändert.
deshalb steht beim fix-log wahrscheinlich auch not found. kann es daran liegen?

Alt 24.06.2012, 17:55   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Gema Trojaner paysafe card - Standard

Gema Trojaner paysafe card



Beim Fix muss natürlich der Laufwerksbuchstabe auch passen
Wenn in der neuen OTLPE-Session die Windows-Systempartition nicht mehr H: ist, musst du das dementsprechend ändern
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 24.06.2012, 18:52   #11
Martin_H
 
Gema Trojaner paysafe card - Standard

Gema Trojaner paysafe card



so, ich habe einen neuen Fix gemacht, diesmal mit richtigem Laufwerksbuchstaben, habe allerdings immernoch das selbe Problem mit dem schwarzen Bildschirm. hier ist das log:
Code:
ATTFilter
========== OTL ==========
Registry key HKEY_USERS\LocalService_ON_H\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce not found.
Registry key HKEY_USERS\NetworkService_ON_H\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce not found.
H:\Users\Elfir\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pkg_0ll.exe.lnk moved successfully.
H:\Users\Frederik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pkg_0ll.exe.lnk moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoViewContextMenu not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\EnableLUA not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\PromptOnSecureDesktop not found.
Registry value HKEY_USERS\Frederik_ON_H\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\\AlternateShell not found.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
========== FILES ==========
File\Folder H:\Users\Elfir\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pkg_0ll.exe.lnk not found.
File\Folder H:\Users\Frederik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pkg_0ll.exe.lnk not found.
========== COMMANDS ==========
H:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 06252012_002442
         

Alt 24.06.2012, 19:16   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Gema Trojaner paysafe card - Standard

Gema Trojaner paysafe card



Erstell bitte dann ein neues Log mit OTLPE
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 24.06.2012, 20:20   #13
Martin_H
 
Gema Trojaner paysafe card - Standard

Gema Trojaner paysafe card



ok, die neuen logfiles sind im Anhang
Angehängte Dateien
Dateityp: txt OTL.Txt (73,9 KB, 152x aufgerufen)
Dateityp: txt Extras.txt (26,2 KB, 147x aufgerufen)

Alt 25.06.2012, 10:04   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Gema Trojaner paysafe card - Standard

Gema Trojaner paysafe card



Ok, neuer Fix über OTLPE:

Code:
ATTFilter
:OTL
O20:64bit: - HKLM Winlogon: Shell - (C:\Users\Frederik\AppData\Local\Temp\pkg_0ll.exe) -  File not found
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\Frederik_ON_I\..\Toolbar\WebBrowser: (no name) - {40C3CC16-7269-4B32-9531-17F2950FB06F} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKU\Frederik_ON_I..\Run: [Facebook Update] I:\Users\Frederik\AppData\Local\Facebook\Update\FacebookUpdate.exe (Facebook Inc.)
O4 - HKU\LocalService_ON_I..\RunOnce: [mctadmin]  File not found
O4 - HKU\NetworkService_ON_I..\RunOnce: [mctadmin]  File not found
:Files
C:\Users\Frederik\AppData\Local\Temp\pkg_0ll.exe
I:\Users\Frederik\AppData\Local\Temp\pkg_0ll.exe
         
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 25.06.2012, 16:25   #15
Martin_H
 
Gema Trojaner paysafe card - Standard

Gema Trojaner paysafe card



Super, Windows startet wieder normal!!
Ich werde die Zip datei wie beschrieben hochladen. Was soll ich jetzt noch machen?

gruß Martin

Antwort

Themen zu Gema Trojaner paysafe card
abgesicherten, adf.ly, anmeldung, besser, bild, dateien, fehlermeldung, heute, interne, internetverbindung, kumpel, meldung, modus, notebook, passwörter, problem, schonmal, screen, starte, starten, startet, trojaner, verbindung, virus, wahrscheinlich, windows



Ähnliche Themen: Gema Trojaner paysafe card


  1. Trojaner/Virus, Firefoxfenster lässt sich nicht Schliessen "Ihr Browser hat gesperrt", Bundespolizei, Paysafe Card
    Log-Analyse und Auswertung - 07.01.2014 (10)
  2. Computer wieder zu entsperren - Trojaner homegroupuser barclay card
    Log-Analyse und Auswertung - 13.10.2013 (11)
  3. ZBot / ZeuS Trojaner Telekombrief; VISA-card Hack
    Log-Analyse und Auswertung - 03.10.2013 (40)
  4. Computer gesperrt - Paysafe-Card Virus - keine Aktion möglich
    Plagegeister aller Art und deren Bekämpfung - 26.02.2013 (29)
  5. Virus/Trojaner, GVU, 100 Euro, Paysafe Card, Strafe, Kinox To
    Log-Analyse und Auswertung - 23.02.2013 (12)
  6. GVU Trojaner (Paysafe)
    Plagegeister aller Art und deren Bekämpfung - 16.01.2013 (20)
  7. AKM 50€ PaySafe Trojaner
    Log-Analyse und Auswertung - 13.11.2012 (10)
  8. Trojaner BMI AKM Paysafe
    Plagegeister aller Art und deren Bekämpfung - 19.08.2012 (26)
  9. 100 eure paysafe card wegen terroristische sachen ???
    Plagegeister aller Art und deren Bekämpfung - 28.06.2012 (1)
  10. Ukash/Paysafe-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 23.05.2012 (9)
  11. GEMA-Trojaner: paysafe 50€, System lässt sich nicht abgesichert starten, keine Wiederherstellung
    Plagegeister aller Art und deren Bekämpfung - 28.03.2012 (1)
  12. gema - paysafe trojaner...
    Plagegeister aller Art und deren Bekämpfung - 02.03.2012 (15)
  13. Gema Paysafe Trojaner 50 Euro
    Log-Analyse und Auswertung - 21.02.2012 (11)
  14. Trojaner // Virus Paysafe card aufforderung - antivir abgelaufen
    Plagegeister aller Art und deren Bekämpfung - 12.02.2012 (1)
  15. Windows Sequrity Liezens Paysafe card 100€
    Log-Analyse und Auswertung - 04.02.2012 (1)
  16. Gema-Trojaner bzw. Gema Meldung mit blockiertem Rechner
    Log-Analyse und Auswertung - 09.01.2012 (13)
  17. Gema-Trojaner bzw. Gema Meldung mit blockiertem Rechner
    Plagegeister aller Art und deren Bekämpfung - 04.12.2011 (9)

Zum Thema Gema Trojaner paysafe card - Hallo, ich habe,wie der titel schon sagt, ein problem mit dem bekannten GEMA Virus, oder besser gesagt nicht ich habe das problem, sondern es ist das Notebook von einem Kumpel, - Gema Trojaner paysafe card...
Archiv
Du betrachtest: Gema Trojaner paysafe card auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.