Problem mit Gema Trojaner - Wie entfernen?
 

Hallo liebe Leute,

wie ihr wohl an meinem Nutzernamen erkennen könnt, habe ich überhaupt keine Ahnung von Technik und bitte euch mir zu helfen.
Ich habe schon das Internet durchforstet, aber ich weiß einfach nichts.

Mein PC wurde plötzlich von der angeblichen GEMA gesperrt, weil ich angeblich illegal Musik heruntergeladen habe und nun muss ich per ukash oder Paysafecard Code 50 Euro überweisen.
Im Internet habe ich gelesen, dass man irgendwelche Dateien runterladen kann und dann den PC im abgesicherten Modus mit Eingabeforderung starten soll. Ich weiß nicht einmal wie das geht.

Bitte bitte helft mir, ich wäre euch sooo dankbar, denn ich bin echt am verzweifeln.

PS: Sitze nebenbei am Laptop

Danke im voraus und viele Grüße

Was soll dieser Scheiß?! :mad:
Ich hab dich in deinem anderen Beitrag bereits aufgeklärt, dass wir Crosspostings nicht dulden! => http://www.trojaner-board.de/123919-...tml#post913765

Das tut mir leid! Nachdem ich gesehen habe, dass hier keine Crosspostings erlaubt sind, habe ich extra den Thread editiert um zu sagen, dass ich die Frage noch woanders gestellt habe. Das ist ja wohl immerhin besser, als wenn ich nichts sage oder? Ich fände es echt nett, wenn mir jemand bei meinem Problem helfen könnte. Ich warte darauf, weil ich das nicht mit einer allgemeinen Anleitung machen will, da es mir so sicherer ist. Okay, ich habe einen Fehler gemacht. Ich habe es verstanden. Wie viele Threads soll ich denn dann bitte hier eröffnen, wenn du mir dann jedes Mal sagst, dass das nicht erlaubt ist? Ich hätte einfach gerne Hilfe und wäre dir oder wem auch immer wirklich sehr dankbar. Wenn ich beim nächsten Mal eine Frage haben werde, stelle ich sie nur noch in diesem Forum.
So nochmal: Es tut mir leid, dass ich die gleiche Frage noch in einem anderen Forum eröffnet habe. Aber wenn man noch nie mit so einem Problem etwas zu tun hatte, und sich nicht gut mit Computern auskennt, dann wird man halt leicht panisch und ich wollte einfach nur schnelle Hilfe.

Ich habe gerade echt gehofft, dass mir jemand hilft. Schade, dass das nicht der Fall ist :(

Ist ja ok du bist einsichtig. Eine Bitte hätte ich aber noch: Sag in dem anderen Forum Bescheid, dass du dir hier helfen lassen willst, damit andere nicht unnötig Zeit und Energie in dein Thema stecken. Danke.

Danke, dass du das verstehst. Ich habe es im anderen Forum gesagt.

Sehr gut, dann ist das ganze auch überhaupt kein Problem mehr! Sollte ja verständlich sein, denn es wurde ja erklärt welche negativen Konsequenzen ein Crossposting hat!

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?



Abgesicherter Modus zur Bereinigung

• Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
• Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:
  
  

Also ich habe auf den Anschaltknopf gedrückt und dann beim starten auf F8 und jetzt ist dort ein blaues Bild zu sehen und dort steht:
,,Please select boot device:''

und dann kann ich aussuchen: SM-HL-DT-ST DVD-RW GWA-4040B
1st FLOPPY DRIVE
PM-ST3160021A

Ich habe es gerade nochmal versucht und da kommt trotzdem der blaue Kasten zum Vorschein.

Du hast leider ein Mainboard erwischt, wo F8 auch die Auswahl des Bootdevice ist :(
Du musst PM-ST3160021A wählen - das ist die Festplatte - und SOFORT nochmal F8 drücken - also nach Enter direkt F8 - halte einen linken Finger also nach Auswahl auf PM-ST3160021A auf F8 (nicht drücken) drücke dann die Eingabetaste und dann direkt F8

Hmm.. das ist ja merkwürdig. Also ich hatte (nachdem ich dir das mit dem blauen Kasten geschrieben habe), den PC ausgemacht. Jetzt wollte ich deine neue Anweisung befolgen und plötzlich ist der Rechner hochgefahren (nachdem ich den On-Knopf gedrückt habe) und ich befinde mich jetzt auf meinem Desktop. (ich habe nur noch nichts angeklickt.. hab Angst O.o)


So, jetzt nach einigen Minuten zeigt der mir wieder das Bild an, was ganz am Anfang da war. Also das mit der Gema usw

Würdest du auch mal zur Abwechslung meine Beiträge lesen?! :wtf:
Auf den abgesichertem Modus hab ich jetzt nicht nur 1x hingewiesen, geht der nun oder nicht oder hat's dem User in die Murmel gehustet? :balla:

Das habe ich doch. Ich hatte vorgehabt, das zu machen, was du mir bezüglich des blauen Kastens gesagt hast. Und dann ist der PC aber sofort hochgefahren. Ich versuche das spät nachmittags nochmal, wenn ich von der Schule zurückkomme. Mal schauen ob der blaue Kasten wieder kommt oder nicht, wenn ja dann mache ich das was du mir in Beitrag Nr. 8 geraten hast.

Wie auch immer, wenn der Rechner hochgefahren ist probier Malwarebytes und ESET aus
Notfalls falls du keine Internetverbindung hast nur Malwarebytes => Setup von Malwarebytes und das Signaturenupdate dann per Stick auf den Problemrechner übertragen, Setup zur Offlineaktualisierung der Signaturen von Malwarebytes findest du hier => http://data.mbamupdates.com/tools/mbam-rules.exe

Entschuldige.
Jetzt kam wieder der blaue Kasten zum Vorschein und ich habe das gemacht, was du gesagt hast. Nachdem ich auf F8 gedrückt habe, kam dies zum Vorschein:

,,Der Systemneustart wurde angehalte:
-Systemneustart fortsetzen
-Wiederherstellungsdaten löschen und zum Startmenü wechseln.''

Entschuldige, dein Beitrag Nr. 12 wurde eben nicht angezeigt. Deshalb habe ich das mit dem Neustart nochmal versucht (wie in Nr. 13 beschrieben)

Soll ich dann einfach auf Systemneustart gehen und das dann mit Malwarebytes machen?

JA! Ich hab doch geschrieben probier jetzt Malwarebytes aus!

So, entschuldige bitte, dass ich so oft nachfrage, aber da ich mich damit wirklich 0 auskenne, frage ich lieber nochmal nach.
Ich habe jetzt Malwarebytes auf meinem Laptop installiert, wie es auch hier im Forum beschrieben wurde, und habe den Quick Scan durchgeführt. Jetzt wurde der Report angezeigt und den sollte ich kopieren. Allerdings habe ich nicht ganz verstanden, was ich nach dem ich den kopiert habe machen soll. (wo ich den einfügen soll usw..)

hxxp://data.mbamupdates.com/tools/mbam-rules.exe habe ich zur Sicherheit auch schon mal runtergeladen.

Steht doch alles in der Anleitung von Malwarebytes - und ich bin mir sicher, dass du Texte kopieren und einfügen kannst, sowas braucht man nicht nur in Foren :D

http://saved.im/mtc5mtlkbm42/log_kopieren.png

Jaja :D Ich meinte nur, wo soll ich dann den Text einfügen?

Hier in deinen nächsten Beitrag vllt? :lach:
Denk bitte an die CODE-Tags

ist das richtig so?

Ja von der Form her ist es richtig

Bitte jetzt routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

So, ich habe eben den Vollscan durchgeführt (wusste nicht, dass das über 1,5 h Stunden dauert):
und gleiche führe ich ESET aus

So ESET habe ich jetzt auch durchgeführt.

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Suche.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Rx].txt. (x=fortlaufende Nummer)

So, das habe ich jetzt auch gemacht.

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Sx].txt. (x=fortlaufende Nummer)

Hätte da mal zwei Fragen bevor es weiter geht (wir sind noch nicht fertig!)

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Also es kam wieder das blaue Bild wo ich dann bei der ersten Zeile Enter drücken sollte und dann sofort F8. Nachdem der PC dann hochgefahren ist, kam sofort die ,,Gema Meldung'', d.h. dass ich auf nichts am PC zugreifen kann... keine Programme..nichts

Funktioniert der abgesicherte Modus mit Netzwerktreibern uneingeschränkt? Wenn ja mach da bitte weiter:

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Entschuldige bitte, dass ich nochmal frage, aber ich will einfach nur sichergehen.
Ist das denn der abgesicherte Modus, wenn ich den PC nur hochfahren kann indem ich nachdem ich nach dem blauen Kasten F8 gedrückt habe und dann auf ,,Systemneustart fortsetzen'' geklickt habe, sofort die ,,Gema Anzeige'' bekomme? Denn da steht bei mir ja auf dem PC nichts vom abgesicherten Modus.
Soll ich dann einfach trotzdem das OTL-Log an meinem Laptop hier machen?

Das hier meine ich:


Abgesicherter Modus zur Bereinigung

• Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
• Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:
  
  

Ne das geht ja nicht :( Das war ja das, was ich noch relativ am Anfang festgestellt habe

Also ich habe auf den Anschaltknopf gedrückt und dann beim starten auf F8 und jetzt ist dort ein blaues Bild zu sehen und dort steht:
,,Please select boot device:''

und dann kann ich aussuchen: SM-HL-DT-ST DVD-RW GWA-4040B
1st FLOPPY DRIVE
PM-ST3160021A

Und dann meintest du ja, dass ich auf das letzte gehen, sofort danach F8 drücken soll und dann auf Systemneustart fortsetzen.. Da steht bei mir ja nirgendwo etwas über den abgesicherten Modus

Hab ich das nicht schon klar gestellt?! :(
Da musst du PM-ST3160021A auswählen, dann direkt nochmal F8!!

Ich weiß ja, dass du das schon gesagt hast.
Und ich habe das auch verstanden und auch gemacht, aber wie ich hier schon mehrmals versucht habe zu erklären, kam direkt nach dieser Meldung und nachdem ich sofort F8 gedrückt habe das:
,,Der Systemneustart wurde angehalten:
-Systemneustart fortsetzen
-Wiederherstellungsdaten löschen und zum Startmenü wechseln.''

Dann habe ich auf Systemneustart fortsetzen geklickt (wie du mir das davor schon mal gesagt hattest) und ich befinde mich für einige Sekunden auf dem Desktop und dann kommt die Gema Meldung.

Eine Frage habe ich noch: Kannst du die Nachrichten auf S. 4 sehen? Ich komme nicht auf S. 4. Immer wenn ich da draufklicke, bleibe ich auf der 3. Seite. Kann deine Nachrichten also nur noch per Mailnachricht sehen.

Fährt Windows denn jetzt überhaupt noch in irgendeinem Modus hoch :confused: :balla:

Eben nur auf die Art und Weise, wie ich es dir erklärt habe.

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

ich habe es leider erst jetzt geschafft. also ich habe eben das brennprogramm runtergeladen sowie OTLPE und das auf eine CD gebrannt und wollte jetzt den PC starten mit Hilfe dieser Anleitung: http://www.trojaner-board.de/81857-c...cd-booten.html
Allerdings komme ich jetzt immer sofort auf die Startseite obwohl ich die DEL-Taste drücke. Das habe ich jetzt mehrmal versucht, aber ich komme nicht zum Setup Menu

hallo, bist du denn noch da? :(

Ich warte immer noch auf das Log
Und wenn du nicht von CD booten kannst kann ich dir nicht helfen