Gema Paysafe Trojaner 50 Euro
 

Hallo, mein Name ist Marcus und mich hat leider auch der Gema Trojaner erwischt.

Der PC lässt sich auch nicht mehr im abgesicherten Modus bzw. mit Netzwerk booten ohne dass der Gema Bildschirm erscheint.

Ich habe mir die Boot CD von Oldtimer gebrannt, damit komme ich auf den Reatogo Desktop.

Ich habe nun mit OTLPE einen Quickscan gemacht mittels Custom Scan

------------------------------
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT

---------------------------------

Die Ergebnisse OTL.TXT un d Extras.TXT hängen als TXT Datei an.

Die OTL.TXT ist gezippt, da sie sonst zu gross (ca. 300 kb) ist.

Ich habe ein Netbook mit dem ich jetzt ins Internet gehe, beim befallenen Rechner habe ich die Internetverbindung gekappt.

hi
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:
dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.


Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.

• Öffne dein Systemlaufwerk ( meistens C: )
• Suche nun
  folgenden Ordner: _OTL und öffne diesen.
• Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
• 
  Dies wird eine Movedfiles.zip Datei in _OTL erstellen
• Lade diese bitte in unseren Uploadchannel
  hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

Upload der gezippten Moved Files hat geklappt.

Nach Neustart kommt der Rechner wieder auf den normalen Desktop, alle Symbole sind da.

Aber es kommt eine Fehlermeldung dass winlogon.exe nicht gefunden wurde, zudem ist der aktive Desktop abgeschaltet.
Die OTL.txt öffnet sich nicht, mittels Suchfunktion finde ich eine in c:

Ist das die Richtige?

Der PC ist noch vom Internet getrennt. Zeit und Datum des PC sind total verstellt.

hi, kein problem, mit dem pc nur auf von mir genannten seiten surfen, bis wir durch sind

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

• Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
  Tool
  
  Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  
• Hinweis:
  Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  
• Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

Wenn ComboFix startet hat es zuerst das verstellte Datum bemängelt, das habe ich dann am PC neu eingestellt.

Dann kommt die Meldung dass der Zugriff auf Windows Script deaktiviert wurde.

Jetzt fragt Combofix ob es die Wiederherstellungskonsole herunterladen und installieren darf

Soll ich das mit Ja bestätigen ?

(der PC ist wieder ans Internet mit seinem Lankabel zum Router angeschlossen)

Sorry lese gerade in der Anleitung dass Ja ok ist. Ich mache weiter.

Hat soweit alles geklappt,

der Desktop ist auch wiederhergestellt,

hier nun die Datei Combofix.txt

sehr gut.
malwarebytes:
Downloade Dir bitte Malwarebytes

• Installiere
  das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche
  nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet
  ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste
  das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Hier die Log Datei von Malware nach Aktualisierung und vollständigem Scan

hi,
lade den CCleaner standard:
CCleaner Download - CCleaner 3.15.1643
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Hier die Liste von CC-Cleaner

deinstaliere:
AportisDoc
AviSynth
DivX
Free YouTube : alle
Free Mp3
MediaInfo
Spybot
WinMerge
XP Codec
XviD
öffne otl, bereinigen, neustart.
öffne ccleaner analysieren, bereinigen, neustart
testen ob alles nach wunsch läuft

So, alles exakt ausgeführt, ohne Probleme, pdf Dateien sind im Moment keiner Anwendung mehr zugeordnet, ansonsten alles io.