Hallo zusammen!

Auch mich hat der GEMA-Virus gesucht, gefunden und getroffen. Da ich nicht in den abgesicherten Modus kam, habe ich über die OTLPE.exe folgenden Log "erstellen lassen".

Ich hoffe ihr könnt mir weiter helfen!


Gruß, Chris

Sorry, wenn ich auf die "Eile-Taste" drücke - kann mir keiner helfen?

auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKLM..\Run: [videoLAN Media Lab] C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\18c7bf0.exe ()
O4 - HKU\Chris_ON_C..\Run: [{FBDAA63D-72B1-77D3-4C03-F7B6833C73FE}] C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Afopus\luonque.exe ()
O4 - HKU\Chris_ON_C..\Run: [videoLAN Media Lab] C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\18c7bf0.exe ()
O7 - HKU\Chris_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\Chris_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWinKeys = 0
O7 - HKU\Chris_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Chris_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O20 - HKLM Winlogon: Shell - ("C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\18c7bf0.exe") - C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\18c7bf0.exe ()
O20 - HKU\Chris_ON_C Winlogon: Shell - ("C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\18c7bf0.exe") - C:\Dokumente und Einstellungen\Chris
:Files
C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\18c7bf0.exe
C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Afopus
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.


falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die + E Taste.

• Öffne dein Systemlaufwerk ( meistens C: )
• Suche nun
  folgenden Ordner: _OTL und öffne diesen.
• Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
• 
  Dies wird eine Movedfiles.zip Datei in _OTL erstellen
• Lade diese bitte in unseren Uploadchannel
  hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus

Hey, danke für die Hilfe!

Habe den Fix nun so laufen lassen, wie du es geschrieben hast. Er wird beendet und der PC startet auch neu.

Ich sehe dann meinen "alten" Desktop-Hintergrund. Allerdings keine Symbole, sie lassen sich auch nicht einblenden. Auch beim Versuch den Taskmanager aufzurufen kommt noch immer "Der Task-Manager wurde durch den Administrator deaktiviert". Die Textdatei bzw. der Log lässt sich somit leider nicht öffnen

hi, dann poste bitte noch mal ein frisches otl log

So, hier dann ein aktueller Log. Ich habe ihn nach dieser Anleitung erstellt:
http://www.trojaner-board.de/110250-gema-trojaner.html


Danke schonmal für die Antworten!

auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O20 - HKLM Winlogon: Shell - ("C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\18c7bf0.exe") -  File not found
O20 - HKU\Chris_ON_C Winlogon: Shell - ("C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\18c7bf0.exe") -  File not found
O7 - HKU\Chris_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Chris_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\Chris_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWinKeys = 0
O7 - HKU\Chris_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O4 - HKU\Chris_ON_C..\Run: [{FBDAA63D-72B1-77D3-4C03-F7B6833C73FE}]  File not found
:Files
:Commands
[Reboot]
         

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

So, hier nun der Log nach dem Fix. Bis jetzt sieht alles gut aus!

Hochgeladen habe ich die MovedFiles aus. Das hat meinerseits problemlos geklappt, ich hoffe allerdings, dass ihr/du die Datei so gebrauchen kannst/könnt.

ich brauch mal folgendes:
C:\benutzer\benutzername\AppData\LocalLow\Sun\Java\Deployment
dort rechtsklick auf cache, den ordner packen, bei
File-Upload.net - Ihr kostenloser File Hoster!
hochladen, link an mich als private nachicht

Leider kann ich den von dir angegeben Pfad nicht finden. Auch in der Suche taucht bei Schlagwörtern wie "LocalLow" oder "AppData" nichts auf.

sorry, ich war bei windows 7
C:\Dokumente und Einstellungen\<Benutzername>\Anwendungsdaten\Sun\Java\Deployment\schau mal dort

Du hast Post

hi,
du solltest dein surf verhalten überdenken, du scheinst oft mit seiten in berürung zu kommen, die dir schadcode unterjubeln wollen.
keine angst, ich hatte keinen verlauf deiner besuchten seiten, ich konnte anhand der files nur sehen das du häufig mit exploits in berührung kommst.
dies kann von seiten mit pornografischem inhalt kommen, oder von seiten die illegal kino, serien und sport streams anbieten.

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

So, hier der Combofixlog.
Kannst du denn sehen, ob ich irgendwo eine breite "Angriffsfläche" für Viren, Malware und co. biete?


Vielen Dank nochmal!

guck ich mir noch an, keine angst :-)
malwarebytes:
Downloade Dir bitte Malwarebytes

• Installiere
  das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche
  nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet
  ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste
  das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Anbei der Malwarebyteslog.

Ich kann schon jetzt sagen, dass mein PC enorm schnell bootet - allerdings habe ich nun ein Internet Explorer Icon auf dem Desktop. Wodurch kann das denn kommen? Abgesehen von den Anleitungen hier im Thread habe ich ihn nicht benutzt.

Danke nochmals für die Hilfe