Trojaner-Board - Gema Virus kommt immer wieder...

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Gema Virus kommt immer wieder... (https://www.trojaner-board.de/110449-gema-virus-kommt-immer.html)

Gema Virus kommt immer wieder...

Hallo ich habe mir vor ca. 1 Monat auf meinem Win7 PC den Gema Virus (oder Trojaner; wie auch immer) eingefangen doch schnell wieder entfernt bekommen(nach: hxxp://blog.botfrei.de/2011/12/gema-trojaner-unter-windows-vista7-entfernen/ ). Doch egal was ich mache, der Virus kommt immer wieder.
Also nicht sofort aber nach einpaar tagen ja manchmal auch erst nach einer woche, wenn ich gerade mitten am surfen/spielen bin, taucht wieder der virus auf...
Ich habe nun auch schon ein PC auf einen früheren Zeitpunkt zurückgesetzt (beim hochfahren über F8 und dann Computer reparieren) doch er kam trotzdem wieder... Ich habe ehrlich gesagt keinen Bock mein Betriebsystem neuzuinstallieren, deshalb dachte ich mir, ich poste mein Problem einfach mal hier, und schau mal ob mir einer weiterhelben kann.
Ich habe:
- Betriebsystem: Windows 7 64 Bit
- Anti-Virus Programm: Avira (FREE)

Ich hoffe auf HILFREICHE Antworten...
MFG Nils

PS. Wer Rechtschreibfehler findet darf sie behalten....

Zitat:

Doch egal was ich mache, der Virus kommt immer wieder.

Einfach entfernen reicht auch nicht, man muss die Schwachstellen beseititen, durch die dieser Schäling immer wieder reinkommt! Oftmals sind die Schwachstellen alte Versionen vom Browser, PDF-Reader, Java und/oder Flashplayer!

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?

Abgesicherter Modus zur Bereinigung

Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:

Ja er geht auch dort noch allerdings musste ich vorher in den Abgesicherten Modus mit Eingabeaufforderung und dort dann ein neues Benutzerkonto mit Administrator-Rechten anlegen, dann pc neustarten und dann kam ich über das Konto auch im abgesicherten Modus mit Netzwerktreibern rein (und ins Internet )
So nur weiter weis ich nicht..... Ich entferne ihn einfach nochmal und bringe die Regedit (Registrierung-Editor) in Ordnung aber dann ist er in ein paar Tagen eh wieder da. Also bitte um möglichst schnelle Antworten.
Achso und ich glaube ich habe den Gema Virus 2.1 oder 2.01 oder wie der heißt zumindest die etwas neuere Version da ich nicht mit Ukash sondern Paysafe bezahlen soll.

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

OK dann hier der Code:

Code:

 Malwarebytes Anti-Malware (Test) 1.60.1.1000

www.malwarebytes.org
 

Datenbank Version: v2012.02.26.04
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

Nils :: NILS-PC [Administrator]
 

Schutz: Aktiviert
 

26.02.2012 18:56:18

mbam-log-2012-02-26 (18-56-18).txt
 

Art des Suchlaufs: Quick-Scan

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 174004

Laufzeit: 5 Minute(n), 42 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 2

HKCU\Software\((Mutex)) (Backdoor.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCU\Software\DC3_FEXEC (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 11

C:\Users\Nils\AppData\Local\Temp\0.01678083314148082267f76.exe (Trojan.Agent.CBCGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Users\Nils\AppData\Local\Temp\0.2351751663945971267f76.exe (Trojan.Agent.CBCGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Users\Nils\AppData\Local\Temp\Temp1_plants_vs_zombies_plus_5_trainer.zip\Plants vs Zombies +5 Trainer 1.0.0.1051.exe (HackTool.GamesCheat) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Users\Nils\Downloads\FlvPlayerSetup.exe (Adware.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Users\Nils\AppData\Local\Temp\dclogs\2012-01-08-1.dc (Stolen.Data) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Users\Nils\AppData\Local\Temp\dclogs\2012-01-09-2.dc (Stolen.Data) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Users\Nils\AppData\Local\Temp\dclogs\2012-01-10-3.dc (Stolen.Data) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Users\Nils\AppData\Local\Temp\dclogs\2012-01-11-4.dc (Stolen.Data) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Users\Nils\AppData\Local\Temp\dclogs\2012-01-12-5.dc (Stolen.Data) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Users\Nils\AppData\Roaming\Microsoft\Windows\((Mutex)).cfg (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Users\Nils\AppData\Roaming\Microsoft\Windows\((Mutex)).dat (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

aso und einiges kommt warschinlich von iwelchen hacks die ich mir mal runtergeladen hatte...

Zitat:

Art des Suchlaufs: Quick-Scan

Sry aber ich wollte einen Vollscan sehen...bitte nachholen und Log posten!
Denk dran vorher die Signaturen von Malwarebytes zu aktualisieren, da gibt es sehr häufig neue Updates!

Sorry bin neu also hier nochmal vollscan:

Code:

Malwarebytes Anti-Malware (Test) 1.60.1.1000

www.malwarebytes.org
 

Datenbank Version: v2012.02.26.04
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

Nils :: NILS-PC [Administrator]
 

Schutz: Aktiviert
 

26.02.2012 21:42:54

mbam-log-2012-02-26 (21-42-54).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 419942

Laufzeit: 58 Minute(n), 34 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 1

C:\Users\Nils\Desktop\Levelhack Paddy.aka.Black\Levelhack Paddy.aka.Black.exe (RiskWare.Tool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

und dann noch was er beim anderen gefunden hatte (das meiste kam von meinen hacks und ist nicht gefährlich. Habe trotzdem alles gelöscht...)

Code:

C:\Program Files\alles um s4 League----\bypass\PerX.exe        Variante von Win32/HackTool.Inject.D Anwendung        Gesäubert durch Löschen - in Quarantäne kopiert

C:\Program Files\Cheat Engine 6.1\cheatengine-i386.exe        Variante von Win32/HackTool.CheatEngine.AB Anwendung        Gesäubert durch Löschen - in Quarantäne kopiert

C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarApp.dll        Variante von Win32/Toolbar.Babylon Anwendung        Gesäubert durch Löschen - in Quarantäne kopiert

C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarEng.dll        Win32/Toolbar.Babylon Anwendung        Gesäubert durch Löschen - in Quarantäne kopiert

C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarsrv.exe        möglicherweise Variante von Win32/Toolbar.Babylon Anwendung        Gesäubert durch Löschen - in Quarantäne kopiert

C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll        Win32/Toolbar.Babylon Anwendung        Gesäubert durch Löschen - in Quarantäne kopiert

C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll        Win32/Toolbar.Babylon Anwendung        Gesäubert durch Löschen - in Quarantäne kopiert

C:\Program Files (x86)\FoxTabFLVPlayer\FLVPlayer.exe        Variante von Win32/InstallCore.A Anwendung        Gesäubert durch Löschen - in Quarantäne kopiert

C:\Program Files (x86)\FoxTabFLVPlayer\Uninstall\Uninstall.exe        Variante von Win32/InstallCore.H Anwendung        gelöscht - in Quarantäne kopiert

C:\Program Files (x86)\Z8Games\CrossFire\Pr0 Injector v1.exe        möglicherweise Variante von Win32/Agent.MJUFIKH Trojaner        Gesäubert durch Löschen - in Quarantäne kopiert

C:\Users\Nils\AppData\Local\Temptrainer3.xt        Win32/Packed.Autoit.H Anwendung        gelöscht - in Quarantäne kopiert

C:\Users\Nils\AppData\Local\Temp\toolbar9328017.exe        Win32/Toolbar.Babylon Anwendung        Gesäubert durch Löschen - in Quarantäne kopiert

C:\Users\Nils\AppData\Local\Temp\0EF2EA00-BAB0-7891-AAAC-8693C4525323\MyBabylonTB.exe        Win32/Toolbar.Babylon Anwendung        gelöscht - in Quarantäne kopiert

C:\Users\Nils\AppData\Local\Temp\212B8820-BAB0-7891-B962-1BA7D6C3E271\MyBabylonTB.exe        Win32/Toolbar.Babylon Anwendung        gelöscht - in Quarantäne kopiert

C:\Users\Nils\AppData\Local\Temp\55E18552-BAB0-7891-9432-AD1D81172334\MyBabylonTB.exe        Win32/Toolbar.Babylon Anwendung        gelöscht - in Quarantäne kopiert

C:\Users\Nils\AppData\Local\Temp\55E18552-BAB0-7891-9432-AD1D81172334\Setup.exe        Win32/Toolbar.Babylon Anwendung        Gesäubert durch Löschen - in Quarantäne kopiert

C:\Users\Nils\AppData\Local\Temp\B07FCE10-BAB0-7891-9406-8CF160C94D70\MyBabylonTB.exe        Win32/Toolbar.Babylon Anwendung        gelöscht - in Quarantäne kopiert

C:\Users\Nils\AppData\Local\Temp\B07FCE10-BAB0-7891-9406-8CF160C94D70\Setup.exe        Win32/Toolbar.Babylon Anwendung        Gesäubert durch Löschen - in Quarantäne kopiert

C:\Users\Nils\AppData\Local\Temp\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbar4ie.exe        Win32/Toolbar.Babylon Anwendung        gelöscht - in Quarantäne kopiert

C:\Users\Nils\AppData\Local\Temp\is-JJ04T.tmp\OCSetupHlp.dll        Win32/OpenCandy Anwendung        Gesäubert durch Löschen - in Quarantäne kopiert

C:\Users\Nils\AppData\Local\Temp\is2063840535\MyBabylonTB.exe        Win32/Toolbar.Babylon Anwendung        Gesäubert durch Löschen - in Quarantäne kopiert

C:\Users\Nils\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\11\6cbeee0b-419aa4fd        Win32/LockScreen.AJB Trojaner        Gesäubert durch Löschen - in Quarantäne kopiert

C:\Users\Nils\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17\30c08a91-5495d8aa        Variante von Java/TrojanDownloader.Agent.AD Trojaner        gelöscht - in Quarantäne kopiert

C:\Users\Nils\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2\388f6802-3da03ebf        Variante von Java/Exploit.CVE-2011-3544.AF Trojaner        gelöscht - in Quarantäne kopiert

C:\Users\Nils\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\26\79b38c5a-7e8d40fc        Java/Exploit.CVE-2011-3544.AC Trojaner        gelöscht - in Quarantäne kopiert

C:\Users\Nils\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\38\8e775e6-3a5abc7a        Variante von Java/TrojanDownloader.Agent.AD Trojaner        gelöscht - in Quarantäne kopiert

C:\Users\Nils\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41\56970969-38545aa7        Variante von Java/TrojanDownloader.Agent.AD Trojaner        gelöscht - in Quarantäne kopiert

C:\Users\Nils\AppData\Roaming\twainserv\usertab.exe        Variante von Win32/Obfuscated.NEO Trojaner        gelöscht - in Quarantäne kopiert

C:\Users\Nils\Desktop\alles um s4 League----\Pr0 Injector v1.rar        möglicherweise Variante von Win32/Agent.MJUFIKH Trojaner        gelöscht - in Quarantäne kopiert

C:\Users\Nils\Downloads\Release 2.8.rar        Variante von Win32/Packed.VMProtect.AAH Trojaner        gelöscht - in Quarantäne kopiert

C:\Users\Nils\Downloads\plants_vs_zombies_plus_5_trainer\Plants vs Zombies +5 Trainer 1.0.0.1051.exe        Variante von Win32/HackTool.CheatEngine.AB Anwendung        Gesäubert durch Löschen - in Quarantäne kopiert

C:\Windows\ASD.HS4L        Win32/Packed.Autoit.H Anwendung        gelöscht - in Quarantäne kopiert

Allerdings kommt die Datei vom Anti-Malware von einen Hack und hat nix mit dem Virus zu tun. (habe sie trotzdem entfernt)

Sry aber wenn du dermaßen mit Hacks und Trainern rumpsielst, musst du dich echt nicht wundern, dass das System seine Macken hat :balla:

Ich würde dir eine Neuinstallation empfehlen und lass in Zukunft unbedingt die Finger von Hacks und Trainern! Natürlich auch von anderer illegaler Software wie Cracks/Keygens!