Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   gema.exe Virus sperrt Desktop - Windows XP SP3 (https://www.trojaner-board.de/111124-gema-exe-virus-sperrt-desktop-windows-xp-sp3.html)

splendens 08.03.2012 13:22
gema.exe Virus sperrt Desktop - Windows XP SP3
 
Liste der Anhänge anzeigen (Anzahl: 1)
Hallo,
ich hab mir ein tolles Ding eingefangen das sich gema.exe nennt, und letztendlich immer meinen kompletten Desktop sperrt mit der Aufforderung ich solle doch 100 € per Paysafecard bezahlen um den Rechner wieder zu entsperren.

Ich habe nun schon selber versucht die Dateien zu löschen, da Antivir nichts finden konnte (Suche per Rescue System von USB Stick), aber die Dateien kommen immer wieder. Ich entferne sie aus dem Autostart, lösche sie manuell, aber es hilft einfach nichts.

Zuerst poppt immer eine Meldung auf, die unten angehängt habe. Im normalen Desktop kommt dann kurze Zeit später der Sperrbildschirm mit der Zahlungsaufforderung. Im abgesicherten Modus kommt die Meldung ebenfalls, allerdings nicht der gesperrte Bildschirm insofern ich die Meldung nicht versuche wegzuklicken.

Hoffe ihr könnt mir bei der Beseitung des Problems helfen.

cosinus 08.03.2012 13:27
Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?



Abgesicherter Modus zur Bereinigung
  • Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
  • Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:

    Windows im abgesicherten Modusstarten

splendens 08.03.2012 13:30
Hallo cosinus,
ja der abgesicherte Modus funktioniert, sowohl mit als auch ohne Netzwerktreibern.

cosinus 08.03.2012 14:28
Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
hier steht das Log

splendens 09.03.2012 13:28
Hier das Log von Malware Bytes:


Code:
Malwarebytes Anti-Malware (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.08.05

Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.6001.18702
### :: EXTENSA5235 [Administrator]

Schutz: Deaktiviert

08.03.2012 15:00:59
mbam-log-2012-03-08 (15-31-10).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 296391
Laufzeit: 29 Minute(n), 11 Sekunde(n)

Infizierte Speicherprozesse: 1
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe (Spyware.Zbot.ES) -> 1296 -> Keine Aktion durchgeführt.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 4
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|gema. (Spyware.Zbot.ES) -> Daten: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|gema (Spyware.Zbot.ES) -> Daten: C:\WINDOWS\system32\gema.exe -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|gema (Spyware.Zbot.ES) -> Daten: C:\Dokumente und Einstellungen\###\Anwendungsdaten\gema\gema.exe -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|shell (Trojan.Ransom.ICL) -> Daten: C:\Dokumente und Einstellungen\###\Anwendungsdaten\gema\gema.exe,Explorer.exe, -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Spyware.Zbot.ES) -> Bösartig: (C:\WINDOWS\system32\gema.exe) Gut: () -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Bösartig: (C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe,C:\WINDOWS\system32\gema.exe,C:\WINDOWS\system32\userinit.exe,) Gut: (userinit.exe) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 9
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe (Spyware.Zbot.ES) -> Keine Aktion durchgeführt.
C:\WINDOWS\system32\gema.exe (Spyware.Zbot.ES) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\###\Anwendungsdaten\gema\gema.exe (Spyware.Zbot.ES) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\###\Lokale Einstellungen\Temp\0.8058716880193586.exe (Spyware.Zbot.ES) -> Keine Aktion durchgeführt.
C:\RECYCLER\S-1-5-21-839522115-706699826-1417001333-1003\Dc1.exe (Spyware.Zbot.ES) -> Keine Aktion durchgeführt.
C:\RECYCLER\S-1-5-21-839522115-706699826-1417001333-1003\Dc2.exe (Spyware.Zbot.ES) -> Keine Aktion durchgeführt.
C:\RECYCLER\S-1-5-21-839522115-706699826-1417001333-1003\Dc3.exe (Spyware.Zbot.ES) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{D433BA3B-44B7-4594-B91B-7DA59A44E1C2}\RP172\A0056085.exe (Spyware.Zbot.ES) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{D433BA3B-44B7-4594-B91B-7DA59A44E1C2}\RP172\A0057095.exe (Spyware.Zbot.ES) -> Keine Aktion durchgeführt.

(Ende)
Die Dateien wurden dann auch soweit gelöscht von MB.

Hier das Log von ESET:

Code:
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=e081096543ec0a4c919fa04c72a3fe97
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-03-08 04:24:25
# local_time=2012-03-08 05:24:25 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1797 16775126 100 93 242590 67760977 153491 0
# compatibility_mode=8192 67108863 100 0 3724 3724 0 0
# scanned=125005
# found=6
# cleaned=0
# scan_time=3348
C:\Dokumente und Einstellungen\###\Lokale Einstellungen\Anwendungsdaten\Skype\Skype.exe        Win32/LockScreen.AIG trojan (unable to clean)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\###\Lokale Einstellungen\Temp\bbitixeovubih.exe        Win32/LockScreen.AIG trojan (unable to clean)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\###\Lokale Einstellungen\Temp\cnibnjinmf.exe        Win32/LockScreen.AIG trojan (unable to clean)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\###\Lokale Einstellungen\Temp\gbptyodxpyiglsfaogiv.exe        Win32/LockScreen.AIG trojan (unable to clean)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\###\Lokale Einstellungen\Temp\pkfypmmnsaizlx.exe        Win32/LockScreen.AIG trojan (unable to clean)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\###\Lokale Einstellungen\Temp\ypvahgjbxitemhbi.exe        Win32/LockScreen.AIG trojan (unable to clean)        00000000000000000000000000000000        I

cosinus 09.03.2012 13:59
Zitat:
Keine Aktion durchgeführt.
-> No action taken.
Die Funde müssen mit Malwarebytes entfernt waren! Bitte nachholen falls noch nicht getan!

splendens 09.03.2012 14:01
Zitat:
Zitat von cosinus (Beitrag 789163)
Die Funde müssen mit Malwarebytes entfernt waren! Bitte nachholen falls noch nicht getan!
Wurden schon gelöscht, nachdem der Scan abgeschlossen wurde.

cosinus 09.03.2012 14:03
Dann poste auch das richtige Log!
Die Dateien die ESET gefunden hat bitte auch löschen. Kannst du auch manuell machen


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:56 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131