GEMA - Trojaner über facebook-Link www.chinamartusa.com
 

Liebe Trojaner Board Helfer,

ich habe mir über einen Link in einer erhaltenen facebook-Nachricht einen GEMA-Trojaner eingefangen, der nun nach drei Tagen dazu geführt hat, dass direkt nach der Anmeldung ein schwarzer Bildschirm mit einer Zahlungsaufforderung per U-kash erscheint und ich mein Notebook (HP EliteBook 2540p) nur noch im abgesicherten Modus starten kann.
Nun habe ich mich bereits durch Beiträge durchgearbeitet und gelernt, dass es für eine solche Art von Malware kein Standard-Rezept gibt und wende mich nun mit meinem speziellen Problem an Sie, um mein Notebook und meine Daten retten zu können.
Ich habe bereits die OTL.txt und die Extras.txt erstellt und füge sie als Anhang an, da sie zu lang für den Post hier sind. Die Gmer.txt konnte ich nicht erstellen, da ein Fehler beim Ausführen des Programms aufgetaucht ist und es automatisch geschlossen wurde.

Ich hoffe auf Ihre Hilfe und bedanke mich bereits im Voraus
Julian

Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
Falls du doch für die Systemreinigung entscheidest - Ein System zu bereinigen kann ein paar Tage dauern (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst::

Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen!

1.
Fixen mit OTL

• Starte die OTL.exe.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Kopiere folgendes Skript:

• und füge es hier ein: http://image.hijackthis.eu/upload/hjt1-021.jpg
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Code-Tags in Deinen Thread.

2.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org

• Installieren und per Doppelklick starten.
• Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
• "Komplett Scan durchführen" wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• Alle Funde - falls MBAM meldet in C:\System Volume Information - den Haken bitte entfernen - markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Anleitung

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
→ Download
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ Sprache → Deutsch auswählen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

4.
erneut einen Scan mit OTL:

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

gruß
kira

Hallo Kira,

vielen Dank für deine prompte Hilfe!
Hier das Ergebnis des ersten Schritts (Fixen mit OTL):

Ich mache jetzt erst mal weiter mit deinen weiteren Anweisungen und warte dann auf neue Tipps von dir.

Viele Grüße
Julian

Hallo Kira,
hier das Ergebnis von Schritt 2:
Es wurden 6 infizierte Dateien gefunden und erfolgreich entfernt. Mit der Folge das ich meinen PC nun wieder im normalen Status starten kann, ohne dass diese Trojaner-Meldung kommt, dass ich etwas zahlen solle, um den Virus zu entfernen.

Hier das logfile von MBMA:
Ich führe nun auch noch die weiteren beiden Schritte durch. Vielen, vielen Dank schon mal, es ist super, dass ich meinen PC nun schon mal wieder im normalen Modus starten kann.

Viele Grüße
Julian

Hier nun das Ergebnis von Schritt 3 (Anzeige der installierten Programme):
Viele Grüße
Julian

Hier das Ergebnis zu von Schritt 4:
OTL.txt

Und hier noch Extras.txt:

Bislang läuft der PC wieder ohne Probleme auch mein Antivirenprogramm (Avira) hat keine weiteren Fehlermeldungen mehr gebracht.
Meinst du ich bin diesen Trojaner schon los?

Auf jeden Fall schon mal vielen, vielen Dank!
Viele Grüße
Julian

Mittlerweile läuft es leider nicht mehr so gut. Eben hat er sich beim Benutzen des Mozilla Firefox der PC spontan von alleine heruntergefahren. Und beim Wiederhochfahren hat mein Antivirenprogramm (Avira) mir die Fehlermeldung ausgegeben, dass eine Hosts-Datei blockiert wurde.
Wäre super, wenn du dir das Ganze noch mal anschauen könntest.
Vielen Dank und viele Grüße
Julian

1.
Wenn nicht bewusst installiert hast bzw nicht benötigst, kannst deinstallieren (unter Software):
Immer mehr Programme bringen eine Toolbar mit.(wie z.B. Google, Yaho,Messenger, Winamp, ICQ usw). Manche Zustimmung der User installiert, manche wieder ohne Wissen des Benutzers;) Viele davon sehr fehleranfällig und fressen eine Menge an Systemressourcen. Zur funktionstüchtigen Installation der jeweiligen Software ist Toolbar aber nicht notwendig, zudem die meisten modernen Browser mit vielen zusätzlichen Funktionen ausgestattet sind. Ausserdem die dazugehörigen Programme, funktionieren auch ohne...
- meiste Toolbars bzw Browserhelper wollen sich doch nur wichtig machen;)

2.
deinstalliere falls unter `Systemsteuerung -->Software -->Ändern/Entfernen...` existieren:
Bestandteile der Standardinstallation vieler Freeware-Programme und teilweise sogar von kostenpflichtigen Programmen. Daher:
Immer die benutzerdefinierte Installation wählen, nicht die Standardinstallation, weil dann oft Sachen mitinstalliert werden, die man nicht braucht oder nicht möchte.
Bei Installation bitte die Lizenzbestimmungen immer lesen, und nicht sofort überall den Haken setzen bzw gesetzten Haken belassen, weil damit stimmt man nämlich zu, dass andere "Fremdprogramm", oder sogar Adware (Werbe-Pop-ups) durch Partnerprogrammen, Sponsoren etc - mitinstalliert wird, weil sich Freeware damit finanziert.
in diese Kategorie gehören noch einige, wie z.B: -> Unerwünschte Toolbars deinstallieren

3.
Nochmal bitte im normalen Modus ausführen!!

** Update Malwarebytes Anti-Malware, lass es nochmal anhand der folgenden Anleitung laufen:

• per Doppelklick starten.
• gleich mal die Datenbanken zu aktualisieren - online updaten
• Vollständiger Suchlauf wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• alle Funde bis auf - falls MBAM meldet in C:\System Volume Information - den Haken bitte entfernen - markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Anleitung

4.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Achtung!:
WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten!
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird Gmer beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
Anleitung:-> GMER - Rootkit Scanner

5.
Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit)

Mit dem folgenden Tool prüfen wir, ob sich etwas Schädliches im Master Boot Record eingenistet hat.

• Downloade die MBR.exe von Gmer und
  kopiere die Datei mbr.exe in den Ordner C:\Windows\system32.
  Falls Du den Ordner nicht sehen kannst, diese Einstellungen in den Ordneroptionen vornehmen.
  
• Start => ausführen => cmd (da reinschreiben) => OK
  es öffnet sich eine Eingabeaufforderung.
  
  Vista- und Windows 7-User: Start => Alle Programme => Zubehör => Rechtsklick auf Eingabeaufforderung und wähle Als Administrator ausführen.
  
• Nach dem Prompt (>_) folgenden
  
  aus der Codebox manuell eingeben oder alternativ den mit STRG + C ins Clipboard kopieren und einfügen.
  Einfügen in der Eingabeaufforderung: in der Titelleiste einen Rechtsklick machen => Bearbeiten => einfügen.
  
  
  Code:

  ---

  mbr.exe -t > C:\mbr.log & C:\mbr.log

  ---

  (Enter drücken)
  
• Nach kurzer Zeit wird sich Dein Editor öffnen und die Datei C:\mbr.log beinhalten.
  Bitte kopiere den Inhalt hier in Deinen Thread.

Hallo Kira,
ich lasse gerade noch mal einen Suchlauf im normalen Modus des Programms MBAW durchführen. Währenddessen habe ich mal Punkt 5. abgearbeitet.
Hier das Ergebnis. Schaut nicht so gut aus.
Sobald ich den Bericht von MBAW habe, werde ich ihn auch posten.
Viele Grüße
Julian

Hallo Kira,
MBWA hat nichts mehr gefunden. Hier das logfile:

zur Info:
das bösartige MBR-Rootkit hat sich im MBR festgesetzt...
Der Master Boot Record (MBR) der ersten Festplatte wird beim Start des Rechners geladen, noch vor dem Betriebssystem. Code, der Dort residiert, kann im Prinzip das Betriebssystem kontrollieren.

wenn Du statt Format C:\ für Systemreinigung entscheidest, dann so geht`s weiter:
TDSSKiller von Kaspersky

• Lade den TDSSKiller und entpacke das Archiv auf Deinen Desktop.
• Vergewissere Dich, dass die TDSSKiller.exe direkt auf dem Desktop liegt (nicht in einem Ordner auf dem Desktop).
• deaktiviere vorübergehend dein AntiVirus-Programm
• Starte die TDSSKiller.exe durch Doppelklick.
• Nach Beendigung der Arbeit schlägt das Tool vor, das System neu zu starten.
  Bestätige das ggfs. mit Y(es).
  Beim Hochfahren des Systems führt der Treiber alle geplanten Operationen aus löscht sich danach.
• Poste mir den Inhalt von C:\TDSSKiller<random>.txt hier in den Thread.

Hier findest Du eine ausführlichere Anleitung.

Hi Kira,
ich glaube ich habe Mist gebaut. Ich habe den TDSSKiller laufen lassen und das Element was er mir al infiziert angezeigt hat gelöscht. Nun kann Windows nicht mehr hochfahren und ich kann auch keine Systemwiederherstellung machen. Scheinbar habe ich da etwas gelöscht, was ich besser nicht gelöscht hätte.
Es kommt folgende Fehlermeldung wenn ich versuche Windows mit Starthilfe hochzufahren:

"StartRep.exe - Fehler in Anwendung
Die Anweisung in 0x74848f18 verweist auf Speicher 0x00000004.
Der Vorgang read konnte nicht im Speicher durchgeführt werden. Klicken Sie auf "OK", um das Programm zu beenden."

Kann ich das irgendwie wieder retten, oder muss ich Windows jetzt erst mal wieder von CD aus starten. Die CD habe ich nämlich grad nicht zur Hand. Erst Anfang nächster Woche wieder.

Vielen Dank für deine Hilfe und viele Grüße
Julian

im abgesicherten Modus auch nicht?
♦ PC neu starten
♦ Drücke die F8-Taste. Am besten mehrmals und schnell nacheinander drücken.
♦ Wähle in der Liste, die nun erscheint, den abgesicherten Modus aus.