Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Gema.exe verursacht Popup Windows Xp SP3 (https://www.trojaner-board.de/110586-gema-exe-verursacht-popup-windows-xp-sp3.html)

Strike 83 28.02.2012 16:34
Gema.exe verursacht Popup Windows Xp SP3
 
Hallo,

leider ist mein Laptop auch von dem Trojaner Gema.exe befallen.
Die Forderung eine Zahlung zu tätigen sind wir natürlich nicht nachgegangen.
Folgendes haben wir schon erreichen können, durch löschen der Dateien( 4x) kommen wir schon mal in Windows rein. In der Registry sind noch Einträge vorhanden und bei der MSconfig auch.
Mit OTL wurde der Laptop gescannt, wie geht es nun weiter?
Es tritt noch ein Problem mit der Tastatur auf. Die Tasten wo eine Auswahl mit der "alt Gr" erfolgen kann, funktionieren nicht einwandfrei. Z.B. kann ich kein "E" mehr schreiben, sondern nur noch €, das betrifft viele Tasten. Wenn ich die Taste "ALT GR" betätige passiert nichts, kann das was mit dem Trojaner zusammenhängen?

Gruß

markusg 28.02.2012 17:19
hi,
1. hat hier schon mal wer an dem pc was bereinigt?
2.
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:
Code:
:OTL
O20 - HKLM Winlogon: UserInit - (C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe) -  File not found
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\gema.exe) -  File not found
O20 - HKU\S-1-5-21-1206959260-4032927505-2689516387-1007 Winlogon: Shell - (C:\Dokumente und Einstellungen\Habighorst01\Anwendungsdaten\gema\gema.exe) -  File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSetActiveDesktop = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 0
O7 - HKU\S-1-5-21-1206959260-4032927505-2689516387-1007\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSetActiveDesktop = 0
O7 - HKU\S-1-5-21-1206959260-4032927505-2689516387-1007\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 0
O7 - HKU\S-1-5-21-1206959260-4032927505-2689516387-1007\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 0
O7 - HKU\S-1-5-21-1206959260-4032927505-2689516387-1007\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 0
:Files
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema
C:\WINDOWS\system32\gema.ex
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]
dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.
falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.
  • Öffne dein Systemlaufwerk ( meistens C: )
  • Suche nun
    folgenden Ordner: _OTL und öffne diesen.
  • Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner

  • Dies wird eine Movedfiles.zip Datei in _OTL erstellen
  • Lade diese bitte in unseren Uploadchannel
    hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )
Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

Strike 83 29.02.2012 12:58
Hallo,

zu 1. Wir haben einige gema.exe manuell entfernt.

Die Fix.txt haben wir geladen und er hat auch die Punkte im OTl angezeigt. OTL haben wir dann durch das X Beendet und den Rechner manuell Neugestartet. Die Neue Datei ist weder auf dem Desktop noch auch Laufwerk c: zu finden. Was passiert nun ? oder ist soweit schon alles erledigt?

markusg 29.02.2012 13:00
ist auf d:
lad von dort aus moved files wie beschrieben hhoch
und hör auf irgendwas zu entfernen, außer natürlich du willst gefahr laufen deinem system noch mehr schaden zuzufügen.

Strike 83 02.03.2012 14:11
Hallo,

auf Laufwerk C und D ist nichts zu finden. Vielleicht mache ich ja schon bei dem ablauf was falsch. Ich lade die fix.txt in das Programm, er zeigt mir den Inhalt untem im Fenster. Jetzt passiert aber nichts mehr. Ich kann das Programm nur durch x beenden. Andere Funkionen im Programm wie scrollen, erneutes auswählen der Datei ect sind blockiert.

markusg 02.03.2012 16:52
und, was steht da, evtl. musst du die manuell, also per hand eintragen...

Strike 83 02.03.2012 23:50
wenn ich die fix.txt lade erscheint der text von der Datei. Dann kommt aber nichts mehr vom Programm aus. Keine Nachricht ob es erfolgreich war oder nicht. Es passiert einach nichts

markusg 03.03.2012 15:02
ja und deswegen sollst du den fix per hand eintragen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:16 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131