Hallo,

ich habe am 11.06. um 22:46 Erfahrungen mit dem GEMA Virus gemacht. Er sieht dem Screenshot für Version 2.01 auf hxxp://www.bka-trojaner.de/ sehr ähnlich. Allerdings fehlen die Zahlen zu Eingabe der Nummer der Paysafecard, die man mit der Maus anklicken kann (oben rechts im Screenshot).

Nun ja.

Nach anfänglicher Skepsis habe ich mich mit Bordmitteln (Strg-L --> Durchsuchen --> Dann Task-Manager aufrufen [Esc-Shift-Strg]) zum Taskmanager begeben. Das hat mir aber nicht wahnsinnig viel Erhellung gebracht.

Die auf bka-trojaner angegeben Löschungsvariante (für v2.01) hatte bei mir keinen Erfolg. Die Wiederherstellungsoption war nicht verfügbar und unter users --> [username] --> AppData --> Roaming waren keine Dateien.

Immerhin der Administrator Account (net user administrator /active) half mir zumindest erstmal wieder Zugriff zu bekommen.

Ich bin also eigenständig auf die Suche und konnte nach kurzer Zeit die Datei pkg_0ll.exe (das ist eine Null und zwei kleine L) ausfindig machen (Uhrzeit!) und sofort zu löschen. Ich glaub sie hatte das AutoIt-Symbol. Das, den Acrobat und den Internetexplorer in Kombination mache ich in meinem Laienverständnis als mittelbar schuldig aus. Eine Kombination dieser Programme scheint diese Blockade auszulösen.

Naja, sodann habe ich alle dubiosen Überreste der Temporary Internet Files hemmungslos gelöscht. Insbesondere des IE, den ich ohnehin nicht nutze.

Zwei Einträge in der Registry hab ich auch gefunden (nach pkg_ suchen) und gnadenlos entfernt.

Jetzt habe ich gerade folgenden Beitrag gelesen: http://www.trojaner-board.de/117096-...g_0ll-exe.html

Der scheint mir ähnlich zu meinem zu sein. Jedenfalls haben wir ungefähr dasselbe gemacht.

Ich bin aktuell das Ding wieder los. Neu aufsetzten werde ich den PC ohnehin.
Interessehalber würde ich aber gerne sicherstellen, dass ich erstmal alles entfernt habe.

Malwarebytes fand folgende dubiose Einträge:
Sollte ich die auch mal löschen?

PHP-Code:

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowCpl|1 (Malware.Trace) -> Daten: @biocpl.dll,-1 -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{DC36469D-DB72-D78B-D9ED-028A4D634E0D} (Trojan.ZbotR.Gen) -> Daten: C:\Users\{username}\AppData\Roaming\Dyazy\ezade.exe -> Keine Aktion durchgeführt. 


Vielen Dank für Eure Hilfe!

Andrew

PS: Auch gepostet auf hxxp://forum.botfrei.de/, da ich den Eindruck habe, dass es sich um eine neue Variante handelt und ich so dazu beitragen möchte, dass der Virus dort auch gelistet und bekämpft wird . Ich hoffe, das geht in Ordnung so.

Zitat:

Malwarebytes fand folgende dubiose Einträge:
Sollte ich die auch mal löschen?

Nein, erstmal postest du alle Logs komplett.
Unvollständige Logs sind Pfusch!