Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: GEMA Scareware auch im Abgesicherten Modus

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 18.02.2012, 15:39   #1
thetrolobobo
 
GEMA Scareware auch im Abgesicherten Modus - Standard

GEMA Scareware auch im Abgesicherten Modus



Hallo erstmal
Auch mich hat einer dieser GEMA-Scarewares erwischt... Hatte schonmal den spass mit dem BKA-Ding, damals hab ichs über den Abgesichterten modus locker wegbekommen. Das Problem ist das das dieses mal leider nicht wiklich erfolgversprechend aussieht, da der weisse screen (Paysafe) auch hier auftaucht. Kann mir jemand helfen? Pc wird nicht zum Onlinebanking genutzt, allerdings für einkäufe auf amazon etc.
Danke im Voraus

Alt 18.02.2012, 15:41   #2
markusg
/// Malware-holic
 
GEMA Scareware auch im Abgesicherten Modus - Standard

GEMA Scareware auch im Abgesicherten Modus



hi,
deswegen ist das weg machen nicht genug, denn die lücken durch die die teile kommen sind trotzdem noch da :-)
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.


Lade OTLpe Download OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.
Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD


Bebilderte Anleitung: OTLpe-Scan
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.
__________________

__________________

Alt 18.02.2012, 15:44   #3
thetrolobobo
 
GEMA Scareware auch im Abgesicherten Modus - Standard

GEMA Scareware auch im Abgesicherten Modus



Danke für die schnelle Antwort! Leider hat der betroffene PC probleme mit dem Laufwerk. Ist booten über irgendein Usb-Device auch möglich?
__________________

Alt 18.02.2012, 15:46   #4
markusg
/// Malware-holic
 
GEMA Scareware auch im Abgesicherten Modus - Standard

GEMA Scareware auch im Abgesicherten Modus



wir sind ja flexibel.
Erstellen wir einen bootbaren USB Stick für OTLPE

Wichtig:
Der USB Stick muss mindestens 512 MB oder mehr haben. Sichere gegebenfalls alle Dateien von dem USB Stick, diese werden nach den folgenden Schritten nicht
mehr vorhanden sein.
  • Downloade dir OTLPEstd.exe und speichere die Datei auf dem Desktop.
  • Solltest
    Du kein 7-zip oder Winrar auf deinem System haben, lade dir 7-zip herunter und installiere
    es.
  • Nach der Installation von 7-zip, extrahiere OTLPEstd mit einem Rechtsklick auf OTLPE.iso und wähle Entpacken nach "OTLPEstd\".





    Nun öffne bitte den Ordner OTLPEStd und mache einen Rechtklick auf die OTLPE_New_Std.iso und wähle in 7zip Dateien entpacken



    Entpacke die Dateien in einen Ordner ( OTLPE ) auf dem Desktop. Nehme bitte ebenfalls die Einstellung wie im Bild vor.

Downloade dir eeepcfr.zip und entpacke die Datei nach Systemroot (meistens
C:\).
  • Leere den USB Stick auf den Du OTLPE erstellen willst.
  • Navigiere nach C:\eeecpfr und starte usb_prep8.cmd.
  • Drücke
    im DOS Fenster eine beliebige Taste.
  • Gehe nun sicher das der richtige Laufwerksbuchstabe deines USB Sticks ganz oben steht.
    Für Drive Label: gib ein OTLPE.
    Unter Source Path to built BartPE/WinPE Files klicke ... und wähle den vorher erstellten OTLPE Ordner .
    Setze ein Häckchen bei Enable File Copy.
  • Klicke Start, akzeptiere die Nutzungsbestimmungen.
Nun kannst Du mit dem USB Stick dein System starten!

Nun boote von mit der OTLPE USB Stick.
Hinweis: Wie boote ich von CD (einfach statt ner CD USB Device
auswählen)
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Wenn Du gefragt
    wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s)
    for scanning"
    , dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.

  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt
    und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste
    den Inhalt von C:\OTL.Txt und Extras.Txt.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 18.02.2012, 15:58   #5
thetrolobobo
 
GEMA Scareware auch im Abgesicherten Modus - Standard

GEMA Scareware auch im Abgesicherten Modus



Ok danke nochmal... ich hab ein kleines Problem: eeecpfr sagt mir ständig"No Usb Disks found"...


Alt 18.02.2012, 15:59   #6
markusg
/// Malware-holic
 
GEMA Scareware auch im Abgesicherten Modus - Standard

GEMA Scareware auch im Abgesicherten Modus



versuch nen andern stick.
__________________
--> GEMA Scareware auch im Abgesicherten Modus

Alt 18.02.2012, 16:20   #7
thetrolobobo
 
GEMA Scareware auch im Abgesicherten Modus - Standard

GEMA Scareware auch im Abgesicherten Modus



Habe jetzt 3 Sticks ausprobiert und es geht bei keinem...

Alt 18.02.2012, 16:23   #8
markusg
/// Malware-holic
 
GEMA Scareware auch im Abgesicherten Modus - Standard

GEMA Scareware auch im Abgesicherten Modus



dann versuche halt folgendes.
das nächste programm auf nen stick:
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
  • Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
    Tool

    Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Hinweis:
    Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  • Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.
kopiere combofix auf den stick
starte neu, drücke f8 abgesicherter modus mit eingabeaufforderung.
stick rein
tippe:
d:\combofix.exe
enter
wenn das nicht geht:
e:\combofix.exe
enter
bis du das richtige laufwerk hast.
falls aktives antimalware programm angezeigt wird, bitte mit ok überspringen und scannen.
danach in den normalen modus und combofix.txt posten
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 18.02.2012, 16:50   #9
thetrolobobo
 
GEMA Scareware auch im Abgesicherten Modus - Standard

GEMA Scareware auch im Abgesicherten Modus



Ok der betroffene Pc läuft schonmal wieder! Danke! Poste die File sofort... Anmeldung dauert ein bisschen...

Alt 18.02.2012, 16:59   #10
thetrolobobo
 
GEMA Scareware auch im Abgesicherten Modus - Standard

GEMA Scareware auch im Abgesicherten Modus



Zitat:
AddRemove-{2E1C262F-B7FC-4046-B1F8-F49648BFC10E} - d:\programme\KoFuMa\uninstall.exe
AddRemove-{32E2F180-247C-4077-B06A-20F9868568E0}_is1 - d:\programme\UltraMixer\unins000.exe
AddRemove-{A67205C5-C0ED-43B5-860F-ECC8C47BDD4A}_is1 - d:\programme\13th Century - Death or Glory\unins000.exe
AddRemove-{cb8abcef-9183-4de7-9b90-3443479441f2}_is1 - d:\programme\SampleDecks\unins000.exe
AddRemove-Dr. DivX 2.0 OSS - c:\users\Fabi\Remove.exe
AddRemove-QIP 2010 - d:\programme\QIP 2010\unins000.exe
AddRemove-QIP Infium - d:\programme\QIP Infium\unins000.exe
AddRemove-RadioSure - d:\programme\RadioSure\uninstall.exe
AddRemove-sc10-DE_SEVENONE_MAIN - d:\programme\Ski Challenge 2010\uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2012-02-18 16:45
Windows 6.0.6001 Service Pack 1 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1282272346-2959830853-388280825-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:fe,06,0a,7f,32,83,2c,a0,62,9f,d6,6a,0b,7b,56,78,b0,3d,99,12,0f,ec,c3,
6e,52,39,88,06,82,43,a7,7c,1d,41,87,d6,43,43,29,de,ba,ee,db,75,a9,8b,fb,70,\
"??"=hex:36,e7,13,82,4f,c8,2e,39,54,82,e8,99,ca,95,8c,4e
.
[HKEY_USERS\S-1-5-21-1282272346-2959830853-388280825-1000\Software\SecuROM\License information*]
"datasecu"=hex:48,52,2b,a6,33,ab,90,42,4f,c5,33,97,f8,c6,4c,04,f0,f5,d4,34,1e,
f6,21,7f,e5,0d,1f,21,4c,6d,f7,4f,55,54,9c,04,1b,f0,36,b7,0f,99,dd,5b,f1,5b,\
"rkeysecu"=hex:6e,60,cd,6a,d6,f8,d1,3b,0a,aa,0f,c4,e5,f7,d5,ab
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Zeit der Fertigstellung: 2012-02-18 16:47:35
ComboFix-quarantined-files.txt 2012-02-18 15:47
.
Vor Suchlauf: 814.780.416 Bytes frei
Nach Suchlauf: 667.164.672 Bytes frei
.
- - End Of File - - 6F52AAF19C98508A8F2263613E2E62BB
So das wär die log-file....

Alt 18.02.2012, 17:01   #11
markusg
/// Malware-holic
 
GEMA Scareware auch im Abgesicherten Modus - Standard

GEMA Scareware auch im Abgesicherten Modus



ne, das ist nicht das ganze log.
häng die datei mal hier an.
öffne dann computer, c: qoobox, rechtsklick quarantain, mit winrar zip oder anderem programm packen und hochladen:
Trojaner-Board Upload Channel
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu GEMA Scareware auch im Abgesicherten Modus
abgesicherte, abgesicherten, abgesicherten modus, abgesichterten, amazon, ebanking, genutzt, locker, modus, onlinebanking, paysafe, problem, scareware, schonmal, screen, spass, wegbekomme, weisse




Ähnliche Themen: GEMA Scareware auch im Abgesicherten Modus


  1. GVU Trojaner auf Windows XP SP3 auch im abgesicherten Modus
    Log-Analyse und Auswertung - 30.05.2013 (15)
  2. GVU Trojaner sperrt auch im abgesicherten Modus
    Log-Analyse und Auswertung - 28.04.2013 (2)
  3. GVU Bundespolizei auch im abgesicherten Modus
    Plagegeister aller Art und deren Bekämpfung - 08.04.2013 (13)
  4. GVU-Trojaner auch im abgesicherten Modus / WinXP
    Log-Analyse und Auswertung - 05.03.2013 (31)
  5. GVU-Trojaner auch im abgesicherten Modus
    Log-Analyse und Auswertung - 31.01.2013 (34)
  6. GVU Trojaner in Windows 7 - auch im abgesicherten Modus
    Plagegeister aller Art und deren Bekämpfung - 23.01.2013 (18)
  7. GVU Virus auch im abgesicherten Modus
    Plagegeister aller Art und deren Bekämpfung - 18.01.2013 (5)
  8. GVU-Trojaner auch im abgesicherten Modus - Windows XP
    Plagegeister aller Art und deren Bekämpfung - 04.01.2013 (8)
  9. Gema-Trojaner, PC auch im Abgesicherten Modus gesperrt
    Plagegeister aller Art und deren Bekämpfung - 13.11.2012 (8)
  10. Bundestrojaner Auch im Abgesicherten modus
    Plagegeister aller Art und deren Bekämpfung - 10.11.2012 (16)
  11. (2x) Verschlüsselungstrojaner auch im abgesicherten modus
    Mülltonne - 14.08.2012 (1)
  12. Gema Virus blockiert mein Netbook auch den abgesicherten Bereich
    Plagegeister aller Art und deren Bekämpfung - 20.06.2012 (15)
  13. Gema - Virus komme nicht in den abgesicherten Modus
    Plagegeister aller Art und deren Bekämpfung - 06.04.2012 (7)
  14. Gema-Trojaner mit Befall des abgesicherten Modus
    Plagegeister aller Art und deren Bekämpfung - 27.03.2012 (1)
  15. GEMA verursacht POPUP, auch im abgesicherten Modus
    Plagegeister aller Art und deren Bekämpfung - 29.02.2012 (20)
  16. GEMA Virus: Wie in abgesicherten Modus kommen?
    Plagegeister aller Art und deren Bekämpfung - 16.11.2011 (1)
  17. Scareware "windows oversight center" startet im abgesicherten modus
    Plagegeister aller Art und deren Bekämpfung - 12.05.2011 (6)

Zum Thema GEMA Scareware auch im Abgesicherten Modus - Hallo erstmal Auch mich hat einer dieser GEMA-Scarewares erwischt... Hatte schonmal den spass mit dem BKA-Ding, damals hab ichs über den Abgesichterten modus locker wegbekommen. Das Problem ist das das - GEMA Scareware auch im Abgesicherten Modus...
Archiv
Du betrachtest: GEMA Scareware auch im Abgesicherten Modus auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.