Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Gema Trojaner paysafe card (https://www.trojaner-board.de/117202-gema-trojaner-paysafe-card.html)

Martin_H 12.06.2012 21:51

Gema Trojaner paysafe card
 
Liste der Anhänge anzeigen (Anzahl: 1)
Hallo,
ich habe,wie der titel schon sagt, ein problem mit dem bekannten GEMA Virus, oder besser gesagt nicht ich habe das problem, sondern es ist das Notebook von einem Kumpel, das betroffen ist. Er hat es heute zu mir gebracht und gefragt ob ich ihm helfen kann, das teil wieder loszuwerden, seine passwörter für die windows anmeldung habe ich auch bekommen. Er glaubt, dass er den Trojaner wahrscheinlich beim Herunterladen von Dateien von Adf.ly aufgeschnappt hat.
Die GEMA-Meldung Erscheint, wenn man den PC mit Internetverbindung hochfährt,
wenn man ohne internetverbindung Startet bekommt man einen Weissen screen, im abgesicherten Modus starten bringt das gleiche resultat.
Ein Bild der Fehlermeldung ist im Anhang.
ich würde mich freuen, wenn mir jemand weiterhelfen könnte,
danke schonmal im Vorraus,
gruss Martin

Ach ja, ich habe bereits versucht mit der reatogo xpe disc zu booten, habe aber einen bluescreen bekommen, daher hatte ich auch keine möglichkeit einen scan mit otl durchzuführen.

cosinus 15.06.2012 18:03

Zitat:

Ach ja, ich habe bereits versucht mit der reatogo xpe disc zu booten, habe aber einen bluescreen bekommen, daher hatte ich auch keine möglichkeit einen scan mit otl durchzuführen.
Geh mal ins BIOS des Computers und stell den Plattencontroller von AHCI auf IDE bzw. Compatible um. Genauere Anleitungen kann man nicht posten, da fast jedes BIOS anders aussieht. Schau notfalls ins Handbuch.

Um das installierte Windows wieder booten zu können musst du natürlich auf AHCI wieder umstellen.

Martin_H 15.06.2012 22:03

Das notebook ist ein sony Vaio, beim bios finde ich irgendwie keine einstellmöglichkeit für AHCI, überhaupt sieht das Bios ganz anders aus als ich es bisher gesehen habe, man kann fast garnichts machen.

cosinus 15.06.2012 23:26

Dann hat man ziemlich schlechte Karten.
OTLPE reagiert leider allergisch auf AHCI.
Ein anderer hat die Festplatte ausgebaut und in einem Rechner gepflanzt wo man das umstellen konnte. Dann bootete OTLPE auch. Ich glaube davon will ich dir aber lieber abraten, da ist es ja einfacher Daten über eine Linux-Live-CD zu sichern und dann komplett neu aufzusetzen. Linux (mit einigermaßem aktuellen Kernel) hat keine Probleme mit AHCI.

Martin_H 16.06.2012 11:35

hm... ich weiss nicht ob er eine Windows CD zum Notebook dazubekommen hat, ich sichere jetzt die Daten einfach mal auf meine Externe. Gibts echt keine andere Möglichkeit den Virus zu entfernen?

gruss Martin

cosinus 17.06.2012 20:42

Wie soll das denn sonst funktionieren wenn Windows nicht mal mehr normal booten kann :(

Martin_H 22.06.2012 16:58

Ok, ich hab mich nach einigem hin und her auch dafür entschieden, die Festplatte in meinen rechner zu bauen, dann hat das booten von der cd auch funktioniert. im anhang sind die OTL-logfiles.

cosinus 24.06.2012 15:32

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Code:

:OTL
O4 - HKU\LocalService_ON_H..\RunOnce: [mctadmin]  File not found
O4 - HKU\NetworkService_ON_H..\RunOnce: [mctadmin]  File not found
O4 - Startup: H:\Users\Elfir\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pkg_0ll.exe.lnk ()
O4 - Startup: H:\Users\Frederik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pkg_0ll.exe.lnk ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoViewContextMenu = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O7 - HKU\Frederik_ON_H\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O31 - SafeBoot: AlternateShell - C:\Users\Frederik\AppData\Local\Temp\pkg_0ll.exe
O32 - HKLM CDRom: AutoRun - 1
:Files
H:\Users\Elfir\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pkg_0ll.exe.lnk
H:\Users\Frederik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pkg_0ll.exe.lnk
:Commands
[purity]
[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten!

4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Martin_H 24.06.2012 15:56

Hier das Logfile, die Zip datei kommt gleich, ich muss nur erst die Festplatte wieder einbauen.

Code:

========== OTL ==========
Registry key HKEY_USERS\LocalService_ON_H\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce not found.
Registry key HKEY_USERS\NetworkService_ON_H\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce not found.
File H:\Users\Elfir\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pkg_0ll.exe.lnk not found.
File H:\Users\Frederik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pkg_0ll.exe.lnk not found.
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoViewContextMenu deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\EnableLUA deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\PromptOnSecureDesktop deleted successfully.
Registry key HKEY_USERS\Frederik_ON_H\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\\AlternateShell deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
========== FILES ==========
File\Folder H:\Users\Elfir\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pkg_0ll.exe.lnk not found.
File\Folder H:\Users\Frederik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pkg_0ll.exe.lnk not found.
========== COMMANDS ==========
J:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 06242012_205046

gruß Martin

hmm, ich habe versucht normal zu Booten, aber nachdem ich mich mit dem Benutzerkonto Angemeldet habe, bekomme ich nur einen schwarzen Bildschirm mit Zeiger, man kann nichts machen, ausser die Maus zu bewegen.

ich glaube ich weiss was ich verkehrt gemacht habe, Mein Usb-stick und meine externe waren noch angesteckt, deswegen haben sich die Laufwerksbuchstaben geändert.
deshalb steht beim fix-log wahrscheinlich auch not found. kann es daran liegen?

cosinus 24.06.2012 16:55

Beim Fix muss natürlich der Laufwerksbuchstabe auch passen
Wenn in der neuen OTLPE-Session die Windows-Systempartition nicht mehr H: ist, musst du das dementsprechend ändern

Martin_H 24.06.2012 17:52

so, ich habe einen neuen Fix gemacht, diesmal mit richtigem Laufwerksbuchstaben, habe allerdings immernoch das selbe Problem mit dem schwarzen Bildschirm. hier ist das log:
Code:

========== OTL ==========
Registry key HKEY_USERS\LocalService_ON_H\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce not found.
Registry key HKEY_USERS\NetworkService_ON_H\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce not found.
H:\Users\Elfir\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pkg_0ll.exe.lnk moved successfully.
H:\Users\Frederik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pkg_0ll.exe.lnk moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoViewContextMenu not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\EnableLUA not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\PromptOnSecureDesktop not found.
Registry value HKEY_USERS\Frederik_ON_H\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\\AlternateShell not found.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
========== FILES ==========
File\Folder H:\Users\Elfir\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pkg_0ll.exe.lnk not found.
File\Folder H:\Users\Frederik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pkg_0ll.exe.lnk not found.
========== COMMANDS ==========
H:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 06252012_002442


cosinus 24.06.2012 18:16

Erstell bitte dann ein neues Log mit OTLPE

Martin_H 24.06.2012 19:20

ok, die neuen logfiles sind im Anhang

cosinus 25.06.2012 09:04

Ok, neuer Fix über OTLPE:

Code:

:OTL
O20:64bit: - HKLM Winlogon: Shell - (C:\Users\Frederik\AppData\Local\Temp\pkg_0ll.exe) -  File not found
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\Frederik_ON_I\..\Toolbar\WebBrowser: (no name) - {40C3CC16-7269-4B32-9531-17F2950FB06F} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKU\Frederik_ON_I..\Run: [Facebook Update] I:\Users\Frederik\AppData\Local\Facebook\Update\FacebookUpdate.exe (Facebook Inc.)
O4 - HKU\LocalService_ON_I..\RunOnce: [mctadmin]  File not found
O4 - HKU\NetworkService_ON_I..\RunOnce: [mctadmin]  File not found
:Files
C:\Users\Frederik\AppData\Local\Temp\pkg_0ll.exe
I:\Users\Frederik\AppData\Local\Temp\pkg_0ll.exe


Martin_H 25.06.2012 15:25

Super, Windows startet wieder normal!! :dankeschoen:
Ich werde die Zip datei wie beschrieben hochladen. Was soll ich jetzt noch machen?

gruß Martin


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:06 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129