Trojaner-Board - GEMA Trojaner, bisher keine Lösung gefunden, OTPLE Log

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - GEMA Trojaner, bisher keine Lösung gefunden, OTPLE Log (https://www.trojaner-board.de/105013-gema-trojaner-bisher-keine-loesung-gefunden-otple-log.html)

GEMA Trojaner, bisher keine Lösung gefunden, OTPLE Log

Hallo,

ich habe mir den GEMA Trojaner eingefangen und bekomme ihn nicht weg, habe es bereits mit Systemwiederherstellung probiert, also habe das System auf nen früheren Zeitpunkt zurückgesetzt, was aber nichts geändert hat.

Als Info vielleicht noch ich habe 2 Win XP Versionen auf der Festplatte installiert, hoffe das hat nichts durch einander gebracht beim SCAN. Eingestellt war die Voreinstellung "File Age" 30 tage, hoffe das war richtig.
Weitere Sache die mir gerade einfällt ist, das mein PC seit kurzem die PC Zeit immer wieder zum Falschen ändert, möglicherweise könnte ja das auch zu einem Fehler beim Scan geführt haben. OTLPE hat jedenfalls 05.11.08 angezeigt.
Die Windows.0 Dateien sind übrigens das von dem neuen Windows System(und nicht vom Trojaner befallen ist) was ich ausversehen installiert habe, wollte eigentlich defekte Dateien damit reparieren, habe aber nicht richtig aufgepasst.

Naja hier nun mein Logfile des Scans mit der OTLPE CD, wenn ich was falsch gemacht haben sollte reißt mir bitte nicht den Kopf ab ;-)

Zitat:

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS.0 | %ProgramFiles% = C:\Programme

hast du ganz sicher die richtige Windows-Installation ausgewählt?
Du hast den Ordner Windows.0 mit OTLPE scannen lassen. Normalerweise heißt der Windows-Ordner einfach nur Windows http://cheesebuerger.de/images/midi/froehlich/a048.gif

hm das habe ich befürchtet :headbang:

wie kann ich auswählen welche Windows Installation gescannt wird?
Hatte dann extra nochmal geguckt, ob ich vor dem Scan irgendwas auswählen kann. ach wie doof ^^

Edit: Habs selbst rausbekommen, Scan läuft, Datei folgt in neuem Post.

Hier nun also der korrekte Scan-Log. Ich bitte um entschuldigung.

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:

:OTL

O4 - HKLM..\Run: [Ats81dFW1TA5VRA] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\54uhjseiu6rtjut.exe ()

O4 - HKLM..\Run: [wyWFqiPoNAGy.exe]  File not found

O4 - HKU\.DEFAULT..\Run: [45huys55hy5rts]  File not found

O4 - HKU\.DEFAULT..\Run: [Ats81dFW1TA5VRA]  File not found

O4 - HKU\Administrator_ON_C..\Run: [45huys55hy5rts] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\4aygerhye4.exe ()

O4 - HKU\Administrator_ON_C..\Run: [4Y3Y0C3AXF7XXDWEACGI]  File not found

O4 - HKU\Administrator_ON_C..\Run: [Ats81dFW1TA5VRA] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\54uhjseiu6rtjut.exe ()

O4 - HKU\Administrator_ON_C..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe (Nero AG)

O4 - HKU\Administrator_ON_C..\Run: [LG LinkAir]  File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000001 -  File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000002 -  File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000003 -  File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000004 -  File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000005 -  File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000011 -  File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000012 -  File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000013 -  File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000014 -  File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000015 -  File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000016 -  File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000017 -  File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000018 -  File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000019 -  File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000020 -  File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000021 -  File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000022 -  File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000023 -  File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000024 -  File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000025 -  File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000026 -  File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000027 -  File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000028 -  File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000029 -  File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000030 -  File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000031 -  File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000032 -  File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000033 -  File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000034 -  File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000035 -  File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000036 -  File not found

O20 - HKU\Administrator_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\54uhjseiu6rtjut.exe) - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\54uhjseiu6rtjut.exe ()

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2007/10/04 10:31:18 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O32 - AutoRun File - [2006/03/24 06:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]

O33 - MountPoints2\{1a02c282-0a8c-11de-8bdb-001f3f011449}\Shell\AutoRun\command - "" = I:\Toshiba\more4you.exe

O33 - MountPoints2\{a5ebbee1-e0cb-11dd-8b80-830309030768}\Shell - "" = AutoRun

O33 - MountPoints2\{a5ebbee1-e0cb-11dd-8b80-830309030768}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{a5ebbee1-e0cb-11dd-8b80-830309030768}\Shell\AutoRun\command - "" = L:\pushinst.exe

O33 - MountPoints2\{ee8f211a-9910-11dc-b64c-bcf42f887b68}\Shell\Auto\command - "" = zdmombfqt.exe

O33 - MountPoints2\{ee8f211a-9910-11dc-b64c-bcf42f887b68}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{ee8f211a-9910-11dc-b64c-bcf42f887b68}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL zdmombfqt.exe

[2069/11/05 00:40:28 | 000,095,744 | ---- | C] (Kassl GmbH) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\dwlGina3.dll

[2011/11/04 10:40:41 | 000,095,744 | ---- | C] (Kassl GmbH) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\dwlGina3.dll.vir

[2011/11/04 10:30:36 | 000,095,744 | ---- | C] (Kassl GmbH) -- C:\dwlGina3.dll.vir

[2011/11/04 10:40:41 | 000,408,064 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\54uhjseiu6rtjut.exe

[2011/11/04 10:30:36 | 000,408,064 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\4aygerhye4.exe

[2011/11/04 10:30:36 | 000,089,088 | ---- | C] () -- C:\mbr.exe

[2011/11/04 10:24:46 | 000,089,088 | ---- | C] () -- C:\WINDOWS\System32\mbr.exe

[2011/11/04 10:17:42 | 000,089,088 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\mbr.exe

:Commands

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

so schon mal danke für die bisherige Hilfe. Immerhin startet Windows nun wieder, bzw. der "GEMA" Bildschirm ist weg. Allerdings öffnet sich nur noch der Explorer, wodurch ich schon mal auf meine Dateien per Windows zugreifen kann, aber ansonsten ist nichts wie vorher. Die Symptome entsprechen denen aus diesem Thread (sorry irgendwie hat das Link posten nich anders hingehauen): http://www.trojaner-board.de/104094-...-gesperrt.html

Soll ich nochmal nen aktuellen OTL.log posten?

Wir sind ja auchnocht nicht durch oder glaubst du eine Bereinigung sei so einfach?
Lad bitte wie o.g. die movedfiles in unseren UpChannel!

so habe Anleitung nun befolgt und den Ordner nun abgeschickt.

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hey,
ich komme nicht ins Internet mit meinem derzeit verfügbaren Funktionen (es wird eingeschränkte Konnektivität angezeigt). Das letzte Update von Malwarebytes datiert vom 04.11., sollte das genügen für den Scan oder gibts ne Möglichkeit dies von nem anderen PC zu machen um es dann übern Stick oder so zu starten?

Zitat:

ich komme nicht ins Internet mit meinem derzeit verfügbaren Funktionen (es wird eingeschränkte Konnektivität angezeigt)

Und warum ist das so? Kannst du keine Internetverbindug herstellen oder ist da ne andere generelle Sache noch im Weg?

Bitte mal prüfen => http://www.trojaner-board.de/94344-p...n-pruefen.html

es ist eine andere Sache im Weg. Ich habe nach der möglichen Fehleinstellung geschaut und habe diese bei Firefox, meinem Standardbrowser, auch gefunden (bei Verbindungseinstellungen war manuelle Proxy Einstellungen ausgewählt und dann unten als einziger Eintrag bei "Kein Prox für" localhost, 127.0.0.1). Danach habe ich dort kein Proxy und Proxy Einstellungen automatisch erkennen ausgewählt beides half aber nicht. Beim Internet Explorer waren solche Einstellungen nicht auffindbar.

Dieses Problem könnte eventuell aus einem vorherigem Trojaner Befall kommen, denn ich hatte kurz vorm Gema Trojaner den "System Recovery Trojaner" den ich weitesgehend entfernen konnte worauf kurz darauf der Gema Trojaner attackierte. In dieser Zwischenzeit wollte ich gerade mein System wieder auf Vordermann bringen, wofür ich auch Internet benötigte. Auch da hat es schon nicht funktioniert, die Lösung war zunächst das Deaktivieren meiner Firewall (ZoneAlarm), was im Endeffekt sicherlich einer der Gründe für den GEMA Trojaner sein könnte. Also ohne Firewall kam ich ins Netz, allerdings wurde damals nicht "eingeschränkte Konnektivität" bei der Inet-verbindung angegeben. ZoneAlarm habe ich nun auch deinstalliert, was aber nicht zu einer erfolgreichen Internetverbindung führte. Seltsamerweise wird die Aktivierung der internen Windows Firewall, welche ich ersatzweise starten wollte, von irgendetwas geblockt.

Vielleicht hilft das ja für die Ursachenforschung etwas.

Immerhin habe ich es mittlerweile geschafft wieder über ne Taskleiste zu verfügen.

Dann mach das Update über dieses Signaturupdate => http://data.mbamupdates.com/tools/mbam-rules.exe