Hallo ich habe mir vor ca. 1 Monat auf meinem Win7 PC den Gema Virus (oder Trojaner; wie auch immer) eingefangen doch schnell wieder entfernt bekommen(nach: hxxp://blog.botfrei.de/2011/12/gema-trojaner-unter-windows-vista7-entfernen/ ). Doch egal was ich mache, der Virus kommt immer wieder.
Also nicht sofort aber nach einpaar tagen ja manchmal auch erst nach einer woche, wenn ich gerade mitten am surfen/spielen bin, taucht wieder der virus auf...
Ich habe nun auch schon ein PC auf einen früheren Zeitpunkt zurückgesetzt (beim hochfahren über F8 und dann Computer reparieren) doch er kam trotzdem wieder... Ich habe ehrlich gesagt keinen Bock mein Betriebsystem neuzuinstallieren, deshalb dachte ich mir, ich poste mein Problem einfach mal hier, und schau mal ob mir einer weiterhelben kann.
Ich habe:
- Betriebsystem: Windows 7 64 Bit
- Anti-Virus Programm: Avira (FREE)

Ich hoffe auf HILFREICHE Antworten...
MFG Nils

PS. Wer Rechtschreibfehler findet darf sie behalten....

Zitat:

Doch egal was ich mache, der Virus kommt immer wieder.

Einfach entfernen reicht auch nicht, man muss die Schwachstellen beseititen, durch die dieser Schäling immer wieder reinkommt! Oftmals sind die Schwachstellen alte Versionen vom Browser, PDF-Reader, Java und/oder Flashplayer!

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?




Abgesicherter Modus zur Bereinigung

• Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
• Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:
  
  

Ja er geht auch dort noch allerdings musste ich vorher in den Abgesicherten Modus mit Eingabeaufforderung und dort dann ein neues Benutzerkonto mit Administrator-Rechten anlegen, dann pc neustarten und dann kam ich über das Konto auch im abgesicherten Modus mit Netzwerktreibern rein (und ins Internet )
So nur weiter weis ich nicht..... Ich entferne ihn einfach nochmal und bringe die Regedit (Registrierung-Editor) in Ordnung aber dann ist er in ein paar Tagen eh wieder da. Also bitte um möglichst schnelle Antworten.
Achso und ich glaube ich habe den Gema Virus 2.1 oder 2.01 oder wie der heißt zumindest die etwas neuere Version da ich nicht mit Ukash sondern Paysafe bezahlen soll.

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

OK dann hier der Code:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.26.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Nils :: NILS-PC [Administrator]

Schutz: Aktiviert

26.02.2012 18:56:18
mbam-log-2012-02-26 (18-56-18).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 174004
Laufzeit: 5 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKCU\Software\((Mutex)) (Backdoor.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\Software\DC3_FEXEC (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 11
C:\Users\Nils\AppData\Local\Temp\0.01678083314148082267f76.exe (Trojan.Agent.CBCGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Nils\AppData\Local\Temp\0.2351751663945971267f76.exe (Trojan.Agent.CBCGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Nils\AppData\Local\Temp\Temp1_plants_vs_zombies_plus_5_trainer.zip\Plants vs Zombies +5 Trainer 1.0.0.1051.exe (HackTool.GamesCheat) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Nils\Downloads\FlvPlayerSetup.exe (Adware.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Nils\AppData\Local\Temp\dclogs\2012-01-08-1.dc (Stolen.Data) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Nils\AppData\Local\Temp\dclogs\2012-01-09-2.dc (Stolen.Data) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Nils\AppData\Local\Temp\dclogs\2012-01-10-3.dc (Stolen.Data) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Nils\AppData\Local\Temp\dclogs\2012-01-11-4.dc (Stolen.Data) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Nils\AppData\Local\Temp\dclogs\2012-01-12-5.dc (Stolen.Data) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Nils\AppData\Roaming\Microsoft\Windows\((Mutex)).cfg (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Nils\AppData\Roaming\Microsoft\Windows\((Mutex)).dat (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

aso und einiges kommt warschinlich von iwelchen hacks die ich mir mal runtergeladen hatte...

Zitat:

Art des Suchlaufs: Quick-Scan

Sry aber ich wollte einen Vollscan sehen...bitte nachholen und Log posten!
Denk dran vorher die Signaturen von Malwarebytes zu aktualisieren, da gibt es sehr häufig neue Updates!

Sorry bin neu also hier nochmal vollscan:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.26.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Nils :: NILS-PC [Administrator]

Schutz: Aktiviert

26.02.2012 21:42:54
mbam-log-2012-02-26 (21-42-54).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 419942
Laufzeit: 58 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Nils\Desktop\Levelhack Paddy.aka.Black\Levelhack Paddy.aka.Black.exe (RiskWare.Tool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

und dann noch was er beim anderen gefunden hatte (das meiste kam von meinen hacks und ist nicht gefährlich. Habe trotzdem alles gelöscht...)

Code: Alles auswählenAufklappen

ATTFilter

C:\Program Files\alles um s4 League----\bypass\PerX.exe	Variante von Win32/HackTool.Inject.D Anwendung	Gesäubert durch Löschen - in Quarantäne kopiert
C:\Program Files\Cheat Engine 6.1\cheatengine-i386.exe	Variante von Win32/HackTool.CheatEngine.AB Anwendung	Gesäubert durch Löschen - in Quarantäne kopiert
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarApp.dll	Variante von Win32/Toolbar.Babylon Anwendung	Gesäubert durch Löschen - in Quarantäne kopiert
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarEng.dll	Win32/Toolbar.Babylon Anwendung	Gesäubert durch Löschen - in Quarantäne kopiert
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarsrv.exe	möglicherweise Variante von Win32/Toolbar.Babylon Anwendung	Gesäubert durch Löschen - in Quarantäne kopiert
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll	Win32/Toolbar.Babylon Anwendung	Gesäubert durch Löschen - in Quarantäne kopiert
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll	Win32/Toolbar.Babylon Anwendung	Gesäubert durch Löschen - in Quarantäne kopiert
C:\Program Files (x86)\FoxTabFLVPlayer\FLVPlayer.exe	Variante von Win32/InstallCore.A Anwendung	Gesäubert durch Löschen - in Quarantäne kopiert
C:\Program Files (x86)\FoxTabFLVPlayer\Uninstall\Uninstall.exe	Variante von Win32/InstallCore.H Anwendung	gelöscht - in Quarantäne kopiert
C:\Program Files (x86)\Z8Games\CrossFire\Pr0 Injector v1.exe	möglicherweise Variante von Win32/Agent.MJUFIKH Trojaner	Gesäubert durch Löschen - in Quarantäne kopiert
C:\Users\Nils\AppData\Local\Temptrainer3.xt	Win32/Packed.Autoit.H Anwendung	gelöscht - in Quarantäne kopiert
C:\Users\Nils\AppData\Local\Temp\toolbar9328017.exe	Win32/Toolbar.Babylon Anwendung	Gesäubert durch Löschen - in Quarantäne kopiert
C:\Users\Nils\AppData\Local\Temp\0EF2EA00-BAB0-7891-AAAC-8693C4525323\MyBabylonTB.exe	Win32/Toolbar.Babylon Anwendung	gelöscht - in Quarantäne kopiert
C:\Users\Nils\AppData\Local\Temp\212B8820-BAB0-7891-B962-1BA7D6C3E271\MyBabylonTB.exe	Win32/Toolbar.Babylon Anwendung	gelöscht - in Quarantäne kopiert
C:\Users\Nils\AppData\Local\Temp\55E18552-BAB0-7891-9432-AD1D81172334\MyBabylonTB.exe	Win32/Toolbar.Babylon Anwendung	gelöscht - in Quarantäne kopiert
C:\Users\Nils\AppData\Local\Temp\55E18552-BAB0-7891-9432-AD1D81172334\Setup.exe	Win32/Toolbar.Babylon Anwendung	Gesäubert durch Löschen - in Quarantäne kopiert
C:\Users\Nils\AppData\Local\Temp\B07FCE10-BAB0-7891-9406-8CF160C94D70\MyBabylonTB.exe	Win32/Toolbar.Babylon Anwendung	gelöscht - in Quarantäne kopiert
C:\Users\Nils\AppData\Local\Temp\B07FCE10-BAB0-7891-9406-8CF160C94D70\Setup.exe	Win32/Toolbar.Babylon Anwendung	Gesäubert durch Löschen - in Quarantäne kopiert
C:\Users\Nils\AppData\Local\Temp\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbar4ie.exe	Win32/Toolbar.Babylon Anwendung	gelöscht - in Quarantäne kopiert
C:\Users\Nils\AppData\Local\Temp\is-JJ04T.tmp\OCSetupHlp.dll	Win32/OpenCandy Anwendung	Gesäubert durch Löschen - in Quarantäne kopiert
C:\Users\Nils\AppData\Local\Temp\is2063840535\MyBabylonTB.exe	Win32/Toolbar.Babylon Anwendung	Gesäubert durch Löschen - in Quarantäne kopiert
C:\Users\Nils\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\11\6cbeee0b-419aa4fd	Win32/LockScreen.AJB Trojaner	Gesäubert durch Löschen - in Quarantäne kopiert
C:\Users\Nils\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17\30c08a91-5495d8aa	Variante von Java/TrojanDownloader.Agent.AD Trojaner	gelöscht - in Quarantäne kopiert
C:\Users\Nils\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2\388f6802-3da03ebf	Variante von Java/Exploit.CVE-2011-3544.AF Trojaner	gelöscht - in Quarantäne kopiert
C:\Users\Nils\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\26\79b38c5a-7e8d40fc	Java/Exploit.CVE-2011-3544.AC Trojaner	gelöscht - in Quarantäne kopiert
C:\Users\Nils\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\38\8e775e6-3a5abc7a	Variante von Java/TrojanDownloader.Agent.AD Trojaner	gelöscht - in Quarantäne kopiert
C:\Users\Nils\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41\56970969-38545aa7	Variante von Java/TrojanDownloader.Agent.AD Trojaner	gelöscht - in Quarantäne kopiert
C:\Users\Nils\AppData\Roaming\twainserv\usertab.exe	Variante von Win32/Obfuscated.NEO Trojaner	gelöscht - in Quarantäne kopiert
C:\Users\Nils\Desktop\alles um s4 League----\Pr0 Injector v1.rar	möglicherweise Variante von Win32/Agent.MJUFIKH Trojaner	gelöscht - in Quarantäne kopiert
C:\Users\Nils\Downloads\Release 2.8.rar	Variante von Win32/Packed.VMProtect.AAH Trojaner	gelöscht - in Quarantäne kopiert
C:\Users\Nils\Downloads\plants_vs_zombies_plus_5_trainer\Plants vs Zombies +5 Trainer 1.0.0.1051.exe	Variante von Win32/HackTool.CheatEngine.AB Anwendung	Gesäubert durch Löschen - in Quarantäne kopiert
C:\Windows\ASD.HS4L	Win32/Packed.Autoit.H Anwendung	gelöscht - in Quarantäne kopiert
         

Allerdings kommt die Datei vom Anti-Malware von einen Hack und hat nix mit dem Virus zu tun. (habe sie trotzdem entfernt)

Sry aber wenn du dermaßen mit Hacks und Trainern rumpsielst, musst du dich echt nicht wundern, dass das System seine Macken hat

Ich würde dir eine Neuinstallation empfehlen und lass in Zukunft unbedingt die Finger von Hacks und Trainern! Natürlich auch von anderer illegaler Software wie Cracks/Keygens!