![]() |
Gema Paysafe Trojaner 50 Euro Hallo, mein Name ist Marcus und mich hat leider auch der Gema Trojaner erwischt. Der PC lässt sich auch nicht mehr im abgesicherten Modus bzw. mit Netzwerk booten ohne dass der Gema Bildschirm erscheint. Ich habe mir die Boot CD von Oldtimer gebrannt, damit komme ich auf den Reatogo Desktop. Ich habe nun mit OTLPE einen Quickscan gemacht mittels Custom Scan ------------------------------ activex netsvcs msconfig %SYSTEMDRIVE%\*. %PROGRAMFILES%\*.exe %LOCALAPPDATA%\*.exe %systemroot%\*. /mp /s /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\system32\*.dll /lockedfiles %USERPROFILE%\*.* %USERPROFILE%\Local Settings\Temp\*.exe %USERPROFILE%\Local Settings\Temp\*.dll %USERPROFILE%\Application Data\*.exe HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs CREATERESTOREPOINT --------------------------------- Die Ergebnisse OTL.TXT un d Extras.TXT hängen als TXT Datei an. Die OTL.TXT ist gezippt, da sie sonst zu gross (ca. 300 kb) ist. Ich habe ein Netbook mit dem ich jetzt ins Internet gehe, beim befallenen Rechner habe ich die Internetverbindung gekappt. |
hi auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort rein: Code: :OTL nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist. • Klicke nun bitte auf den Fix Button. es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick. wenn dies nicht funktioniert, bitte den fix manuell eintragen. dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen, log posten bitte. Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten! Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.
|
Upload der gezippten Moved Files hat geklappt. Nach Neustart kommt der Rechner wieder auf den normalen Desktop, alle Symbole sind da. Aber es kommt eine Fehlermeldung dass winlogon.exe nicht gefunden wurde, zudem ist der aktive Desktop abgeschaltet. Die OTL.txt öffnet sich nicht, mittels Suchfunktion finde ich eine in c: Ist das die Richtige? Der PC ist noch vom Internet getrennt. Zeit und Datum des PC sind total verstellt. |
hi, kein problem, mit dem pc nur auf von mir genannten seiten surfen, bis wir durch sind Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde! Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
|
Wenn ComboFix startet hat es zuerst das verstellte Datum bemängelt, das habe ich dann am PC neu eingestellt. Dann kommt die Meldung dass der Zugriff auf Windows Script deaktiviert wurde. Jetzt fragt Combofix ob es die Wiederherstellungskonsole herunterladen und installieren darf Soll ich das mit Ja bestätigen ? (der PC ist wieder ans Internet mit seinem Lankabel zum Router angeschlossen) Sorry lese gerade in der Anleitung dass Ja ok ist. Ich mache weiter. |
Hat soweit alles geklappt, der Desktop ist auch wiederhergestellt, hier nun die Datei Combofix.txt |
sehr gut. malwarebytes: Downloade Dir bitte Malwarebytes
|
Hier die Log Datei von Malware nach Aktualisierung und vollständigem Scan |
hi, lade den CCleaner standard: CCleaner Download - CCleaner 3.15.1643 falls der CCleaner bereits instaliert, überspringen. instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen. hinter, jedes von dir benötigte programm, schreibe notwendig. hinter, jedes, von dir nicht benötigte, unnötig. hinter, dir unbekannte, unbekannt. liste posten. |
Hier die Liste von CC-Cleaner |
deinstaliere: AportisDoc AviSynth DivX Free YouTube : alle Free Mp3 MediaInfo Spybot WinMerge XP Codec XviD öffne otl, bereinigen, neustart. öffne ccleaner analysieren, bereinigen, neustart testen ob alles nach wunsch läuft |
So, alles exakt ausgeführt, ohne Probleme, pdf Dateien sind im Moment keiner Anwendung mehr zugeordnet, ansonsten alles io. |
Alle Zeitangaben in WEZ +1. Es ist jetzt 07:45 Uhr. |
Copyright ©2000-2025, Trojaner-Board