|
Plagegeister aller Art und deren Bekämpfung: GEMA-Virus - nochmalsWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
11.04.2012, 11:22 | #1 |
| GEMA-Virus - nochmals Der Laptop einer meiner "Schäfchen" (ich bin sowas wie der First-Level-Support unseres Teams) ist vom "GEMA-Virus" betroffen. Obwohl jetzt (siehe unten) wahrscheinlich nur noch Neuaufsetzen in Frage kommt (was einige alte Hasen hier auch in "harmloseren" Fällen empfehlen, wie ich schon oft gelesen habe), wollte ich den Fall doch noch reinstellen. Vielleicht hat jemand eine "schräge" Idee oder jemand anderes lernt was draus... Was habe ich versucht: Meine erste Massnahme war gewesen: Systemwiederherstellung und, wenn das funktioniert hätte, Virenentfernung usw. An die Systemwiederherstellung kam ich aber gar nicht ran, weil diese GEMA-Virus-Variation nicht nur im normalen, sondern auch im abgesicherten Modus alles blockiert. Ich wandte mich an Kaspersky bzw. ich suchte dort und fand den WindowsUnblocker, den Kaspersky für solche Fälle anbietet. Ich installierte den Unblocker auf einen USB-Stick (CD wäre auch möglich), änderte die Reihenfolge der Bootlaufwerke und startete den Laptop ab dem Stick. Der Unblocker wurde gestartet, man wählt Bildschirmart (Grafik oder nicht) und Sprache. Beim nächsten Bildschirm müsste man wieder was auswählen, was aber nicht mehr ging, weder mit Maus (obwohl sich die bewegen liess), noch über die Tastatur. Also startete ich nochmals von vorne mit demselben Resultat. Dann erstellte ich den Stick neu, was auch nichts brachte. Beim x-ten Versuch stellte ich fest, dass der Laptop plötzlich nicht mehr ab dem Stick starten wollte, sondern immer von der Harddisk startete. Neuer Versuch: ich brannte den Unblocker auf eine CD. Aber jetzt zeigte es sich, dass das Problem woanders lag. Die Einstellung der Bootlaufwerk-Reihenfolge wurde ignoriert! Nach ein paar Versuchen gab ich es auf und kontaktierte meinen Second-Level-Supporter, der sich die Sache dann ansehen wird. Wie gesagt, läuft es wohl auf Neuinstallation hinaus. Übrigens habe ich auch versucht, im normalen Modus den Taskmanager zu starten. Diese Variante hatte ich bei t-online-Support gelesen. Zweck wäre gewesen, ein paar vom Virus benutzte Prozesse abzuwürgen und dann an die Virenentfernung zu gehen. Aber der Taskmanager wurde als "vom Administrator blockiert" angegeben. Variante war also nicht brauchbar. Ich bin frustriert. Ich weiss nicht, ob es funktioniert hätte, wenn ich gleich die hier beschriebene Abhilfe versucht hätte. Wenn es der Virus schafft, die Bootlaufwerk-Auswahl zu blockieren, hätte das ja wahrscheinlich auch nicht geklappt. Herzlich, Johanna |
12.04.2012, 10:51 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | GEMA-Virus - nochmals Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?
__________________Abgesicherter Modus zur Bereinigung
__________________ |
13.04.2012, 16:26 | #3 |
| GEMA-Virus - nochmals Hallo Arne
__________________Danke, dass du reinschaust Nein, auf dem Laptop meines Bekannten ging der abgesicherte Modus auch nicht mehr bzw. wurde auch von der GEMA-Meldung blockiert. Und ich konnte ja dann auch nicht mehr ab USB-Stick oder CD-LW booten, weil diese Einstellungen einfach ignoriert wurden. Inzwischen hat sich die Situation jedoch geändert: Nachdem ich den Laptop mal frustriert ein paar Stunden hatte stehen lassen (ein anderer Bekannter mit etwas mehr Kenntnissen wollte ihn am nächsten Tag mal anschauen), wollte ich doch noch versuchen, ein OTL-Logfile zu produzieren (mit dem Gedanken, dass vielleicht nur blockiert wird, wenn WindowsUnblocker drauf ist....). Ich brannte OTLPENet.exe mit isoBurner auf eine CD und legte sie ein. Die CD wurde wieder trotz entsprechender Änderung der BootLW-Reihenfolge ignoriert und stattdessen Windows gestartet. Aber nachdem ich 2-3 erfolglose Versuche jeweils auf der Windows-Passwort-Eingabe-Ebene mit Herunterfahren oder Neustart beendet hatte, meldete sich plötzlich fsecure, der installierte Virenschutz, der bis jetzt überhaupt nicht reagiert hatte. fsecure meldete, dass es in Datei soundso etwas bösartiges festgestellt hatte (die übliche Meldung, ich erinnere mich nicht mehr an die genaue Formulierung). Nach etwa 30 Sek. machte der Laptop ohne meinen Eingriff einen Neustart. Windows (Vista übrigens) startete ohne GEMA-Meldung, aber mit leerer Desktop-Oberfläche, d.h. die Ikonen wurden dort nicht angezeigt. Start-Symbol und alles was dort dann sichtbar wird, war aber vorhanden. Ich startete neu, im abgesicherten Modus, und versuchte jetzt eine Systemwiederherstellung, etwa 10 Tage zurück. Das ging zwar eine 3fache Ewigkeit, aber schliesslich klappte es. Dann startete ich Malwarebyte (aktualisiert). Es fand etwas bösartiges und ich liess es entfernen. Startete den Laptop neu und liess Malwarebyte nochmals durchlaufen. Jetzt ohne Fund. Danach lief alles wieder normal. Dann installierte ich noch Firefox, damit mein Bekannter künftig mit Firefox suft statt mit iExplorer, Heute habe ich zudem den Virenschutz auf dem Laptop gewechselt, weil er ein ähnliches Problem schon mal gehabt hat (ohne dass mein Bekannter auf potentiell gefährlichen Webseiten surft oder einfach alles anklickt...). Statt fsecure ist jetzt Kaspersky (KAV 2012) drauf. Der anschliessende Scan mit KAV hat dann auch kein Problem gezeigt. Beiliegend die letzten Malwarebyte-Logfiles und die beiden OTL-Files. Vielleicht siehst du ja noch was, was ich noch machen sollte. Vielen Dank schon Mal und ein schönes Wochenende |
15.04.2012, 14:36 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | GEMA-Virus - nochmals Also die letzen Scans waren "nur" Quickscans. Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen! Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden. Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! ESET Online Scanner
Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code:
ATTFilter hier steht das Log
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu GEMA-Virus - nochmals |
abgesicherten, administrator, anderes, blocker, einstellung, empfehlen, entfernung, folge, frage, funktioniert, harddisk, kaspersky, laptop, laufwerke, maus, modus, neuinstallation, nicht mehr, nichts, plötzlich, problem, prozesse, starten, systemwiederherstellung, taskmanager, teams |