Hallo,

leider ist mein Laptop auch von dem Trojaner Gema.exe befallen.
Die Forderung eine Zahlung zu tätigen sind wir natürlich nicht nachgegangen.
Folgendes haben wir schon erreichen können, durch löschen der Dateien( 4x) kommen wir schon mal in Windows rein. In der Registry sind noch Einträge vorhanden und bei der MSconfig auch.
Mit OTL wurde der Laptop gescannt, wie geht es nun weiter?
Es tritt noch ein Problem mit der Tastatur auf. Die Tasten wo eine Auswahl mit der "alt Gr" erfolgen kann, funktionieren nicht einwandfrei. Z.B. kann ich kein "E" mehr schreiben, sondern nur noch €, das betrifft viele Tasten. Wenn ich die Taste "ALT GR" betätige passiert nichts, kann das was mit dem Trojaner zusammenhängen?

Gruß

hi,
1. hat hier schon mal wer an dem pc was bereinigt?
2.
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O20 - HKLM Winlogon: UserInit - (C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe) -  File not found
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\gema.exe) -  File not found
O20 - HKU\S-1-5-21-1206959260-4032927505-2689516387-1007 Winlogon: Shell - (C:\Dokumente und Einstellungen\Habighorst01\Anwendungsdaten\gema\gema.exe) -  File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSetActiveDesktop = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 0
O7 - HKU\S-1-5-21-1206959260-4032927505-2689516387-1007\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSetActiveDesktop = 0
O7 - HKU\S-1-5-21-1206959260-4032927505-2689516387-1007\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 0
O7 - HKU\S-1-5-21-1206959260-4032927505-2689516387-1007\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 0
O7 - HKU\S-1-5-21-1206959260-4032927505-2689516387-1007\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 0
:Files
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema
C:\WINDOWS\system32\gema.ex
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.
falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die + E Taste.

• Öffne dein Systemlaufwerk ( meistens C: )
• Suche nun
  folgenden Ordner: _OTL und öffne diesen.
• Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
• 
  Dies wird eine Movedfiles.zip Datei in _OTL erstellen
• Lade diese bitte in unseren Uploadchannel
  hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus

Hallo,

zu 1. Wir haben einige gema.exe manuell entfernt.

Die Fix.txt haben wir geladen und er hat auch die Punkte im OTl angezeigt. OTL haben wir dann durch das X Beendet und den Rechner manuell Neugestartet. Die Neue Datei ist weder auf dem Desktop noch auch Laufwerk c: zu finden. Was passiert nun ? oder ist soweit schon alles erledigt?

ist auf d:
lad von dort aus moved files wie beschrieben hhoch
und hör auf irgendwas zu entfernen, außer natürlich du willst gefahr laufen deinem system noch mehr schaden zuzufügen.

Hallo,

auf Laufwerk C und D ist nichts zu finden. Vielleicht mache ich ja schon bei dem ablauf was falsch. Ich lade die fix.txt in das Programm, er zeigt mir den Inhalt untem im Fenster. Jetzt passiert aber nichts mehr. Ich kann das Programm nur durch x beenden. Andere Funkionen im Programm wie scrollen, erneutes auswählen der Datei ect sind blockiert.

und, was steht da, evtl. musst du die manuell, also per hand eintragen...

wenn ich die fix.txt lade erscheint der text von der Datei. Dann kommt aber nichts mehr vom Programm aus. Keine Nachricht ob es erfolgreich war oder nicht. Es passiert einach nichts

ja und deswegen sollst du den fix per hand eintragen.