Befall mit GEMA-Trojaner 2.02 - abgesicherter Modus funktioniert nicht
 

Liebes Trojaner-Board-Team,

mein PC mit Vista Ultimate 64 ist seit gerade eben durch den GEMA-Trojaner 2.02 gesperrt.

Leider kann ich den abgesicherten Modus nicht wie von Euch empfohlen aufrufen, weil das Laden der Treiber bei "crcdisk.sys" hängt.

Wie kann ich vorgehen, um den Trojaner zu entfernen und meine relevanten Daten zu sichern, bevor ich das System neu aufsetze (was ich definitiv machen werde)?


Danke für schnelle Hilfe.

Besten Gruß

Molto

hi
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.


Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.

• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD


Bebilderte Anleitung: OTLpe-Scan

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

Hi Markus,

Danke für deine schnelle Hilfe!

Gehe gerade nach deinen Vorgaben vor ...

bitte verzichte auf solche zwischenposts, denn weitere antworten werden an den angehangen und ich muss sonst immer hier reingucken

Dein Script ist einfügbar, führt aber zum Stillstand von OTLPE.
OTLPE bleibt stehen bei "Manual File Scan - Getting folder structure ..."

Und zeigt dann an: "Out of memory."

Was nun?

Sorry, möchte nochmal ganz freundlich um Unterstützung bitten ...

Da der OTL-Scan mit Script nicht funktionierte, habe ich einmal einen Standard-Scan durchgeführt.
Das resultierende Logfile ist im Anhang dieses Posts (auf zwei Dateien gesplittet, weil sonst zu groß für den Upload).

Ich hoffe, wir kommen damit schonmal weiter?

auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:


dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

OK, es hat "zum Teil" geklappt ....

Beim automatischen Öffnen der fix-Datei erschien die Fehlermeldung
"Access violation at address 7CA0C936 in module 'shell32.dll'. Read of address 00000006."

Beim händischen Paste der fix-Befehle lief der Fix durch, aber OTL startete den Rechner nicht nur nicht neu, sondern das REATOGO ließ sich auch nicht mehr manuell runterfahren.

[Pause]

Gerade bin ich zeitlich dazu gekommen, den Rechner wie von dir beschrieben neu raufzufahren.
Das Seltsame:
Während des Herauffahrens sagt mir Windows, dass der Datenträger C: eine Konsistenzprüfung benötige ...
Ich habe per beliebigem Tastendruck "Ignorieren" gewählt.

Der Windows-Startvorgang ging dann weiter, der Bildschirm blieb jedoch komplett schwarz.
Klammergriff probiert und siehe da: Der Task Manager lässt sich öffnen.
Über diesen konnte auch bspw. der Explorer geöffnet werden.
Einen herkömmlichen Desktop oder eine Taskleiste gibt es jedoch nicht.

Auch der OTL-Text wurde nicht automatisch geöffnet.
Über den Explorer habe ich dann den Ordner "OTL_" in C: gesehen.
Die gefundenen OTL-Files befinden sich im Anhang dieses Posts.


Danke schonmal bis hierhin. :daumenhoc
Wie kann ich nun weiter vorgehen?

Hätte ich im abgesicherten Modus starten sollen ...?!?

versuch mal folgendes:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Der Einsatz von Combo-Fix hat geklappt.

Allerdings ist noch immer kein Desktop zu sehen (wie gehabt nur Mauszeiger und schwarzer Bildschirm [was allerdings auch meine voreingestellte Desktop-Hintergundfarbe ist ...]).

Probleme gab es mit der Security-Software, da ich nicht über den Infobereich der Taskleiste (wird nicht angezeigt) auf automatisch gestartete Anwendungen zugreifen konnte. Habe versucht, das Problem mittels Aufrufen der GUIs (AntiVir) zu lösen. Bei OnlineArmor und SpyBot war das leider nicht möglich ...

Anbei die Einträge des Logfiles von Combofix:

Wie kann ich weiter vorgehen?

Soll ich die beim Herauffahren von Windows empfohlene Konsistenzprüfung der Hauptpartition durchführen lassen und ggf. fehlende/defekte Windows-Dateien per Windows-DVD (z.B. mittels Reparaturkonsole) wieder herstellen lassen bevor es mit der Arbeit gegen den Schädling weitergeht?

Entschuldige bitte das Pushen:
Würde mich über weitere Hilfe zur Lösung des Problems sehr freuen. :-)

hi
das combofix log ist nicht vollständig
falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden
lasse die überprüfung von windows laufen.

Danke, dass Du den Faden weiter aufnimmst.
Ein Rechtsklick ist leider nicht möglich. Es erscheint kein Kontextmenü ...

Hi, Markus - habe nun wieder einen Desktop, auf den man zugreifen kann.

Ich hatte mich daran erinnert, dass das AVZ Toolkit eine System-Repair-Diagnose und -Reparatur bietet. Das hat es dann gebracht.

Der Troubleshooting Wizard von AVZ zeigte mir an: "Windows Explorer Startup Key is modified".
Nach "Fix selected issues" war dann nach einem Neustart alles bestens.

Just nach dem Neustart lief dann auch ComboFix bis zuende durch. :-)
Das zugehörige Logfile findest Du im Anhang.


Wie gehe ich weiter gegen den Schädling vor?