Hallo TrojanerBoardTeam,

ich habe mir(gestern?) den bereits bekannten bzw. eine neue Variante des Gema Trojaners eingefangen, zumindest läßt die prägnante rot/weiße Zahlungsaufforderung darauf schließen.

System Win7 x64, MSE installiert, alle Updates eingespielt

Zur Infektion ist es IMO gekommen als ich mir mit Sardu eine BootCD zusammenstellen wollte und dafür einige CD Images downloaden wollte. Eines der Images war über einen Linkverkürzer verlinkt und öffnete sofort Java(war leider auf meinem PC nicht up to date), kurz darauf bekam ich zum ersten mal die allseits bekannte Zahlungsaufforderung zu sehen. Taskmanager brachte nix, Neustart nicht möglich, auch im abgesicherten Modus erschien als erstes die Bildschirmfüllende Trojanerseite.

Ich habe anschließend den Rechner abgeschaltet und von einem, einige Wochen alten, Antivirus Stick mit Gdata und Avira gescannt. Gdata konnte ich vorher übers Netzwerk aktualisieren, Avira kam leider mit meiner NWK nicht klar, beide Scanner fanden nichts.
Habe den Rechner jetzt mit einer älteren WinXP Parallelinst. laufen und scanne mit SuperAntiSpyware, 2 Funde, läuft noch. Ich werde mir die verdächtigen Dateien in ein Archiv sichern um sie von einem Online Scanner nochmal checken zu lassen, die Originale werden vorerst mit dem ESET Installer überschrieben, so das beim hochfahren des Win7 System der ESET Installer anstelle des Trojaner gestartet wird.
Trojan.Agent/Gen-MaIPE
E:\USERS\...\APPDATA\ROAMING\jj65sirug4.exe (Erstelldatum passt zur geschätzten Infektionszeit)
Trojan.Agent/Gen-Malintent
E:\USERS\...\AutoHotkey104805_compiler_source.exe (älterer Download, Fehlalarm?)

Dann kommt noch ein Schwung Fehlalarme wo der Scanner einen Backup Ordner meines WindowsMobile Phones gefunden hat und ein paar Portable Utilities die ich schon länger habe und die schon öfter durch Fehlalarme aufgefallen sind. Die werde ich sicherheitshalber nochmal gegenchecken.


Wenn SUPERAntiSpyware den Scan beendet hat werde ich die Kaspersky(KWU_1.0.3.upd2.iso) starten um die Starteinträge in der Registry zu bereinigen. Ich hoffe das dann beim nächsten Start des Win7 Systems erstmal alles weg ist, und falls nicht, das nur der ESET Installer gestartet wird.

Einen OTL Scan kann ich machen wenn ich das Win7 System wieder hochgefahren bekomme, auf meinem WinXP habe ich das schon gemacht, nur zeigt mir das ja nicht was auf dem Win7 abgeht.

Handelt es sich bei dem Trojan.Agent/Gen-MaIPE um den GEMA Trojaner oder habe ich hier einen weiteren ungebeten Gast aufgescheucht? Sollte ich noch andere Säuberungsmaßnahmen ergreifen?

EDIT
So. jetzt läuft der Rechner von der Kaspersky Rescue Disk und aktualisiert gerade die Kaspersky Datenbanken, was saulangsam geht Na Hauptsache der Windowsunlocker tut anschließend was er soll.

EDIT

Zitat:

...
Bearbeitet WOW64 "Winlogon"
"Shell" - verdächtige Veränderung: C:\Users\John Seven\AppData\Roaming\jj65sirug4.exe
Shell - wurde wiederhergestellt nach explorer.exe
"Userinit" - OK
...
Bearbeitet "Winlogon"
"Shell" - verdächtige Veränderung: C:\Users\...\AppData\Roaming\jj65sirug4.exe
Shell - wurde wiederhergestellt nach Explorer.exe
...

Na bitte Jetzt noch fertig updaten, dann den obligatorischen Plattenscan und ready zum Neustart in ein hoffentlich sauberes System.

Bitte die Logs von ESET, SASW usw alle vollständig in CODE-Tags posten!