Gema Virus: Handlungen nachdem wieder volle Zugriffsrechte
 

Hallo Liebes Team von Trojaner-Board!


Er geht gerade rum und hatte mich auch erwischt: Der Gema Virus.

Ich hatte nachdem er aktiv wurde keinerlei Kontrolle mehr über den Rechner im Windows, selbst im abgesicherten Modus war der Virus aktiv.

Ich konnte dann mithilfe der Kaspersky Live CD ( Verfahren nach dieser Anleitung: hxxp://support.kaspersky.com/de/viruses/solutions?qid=208641247)
wieder Zugriff auf die Eingabeaufforderung im Abgesicherten Modus bekommen. Von dort aus startete ich die Systemwiederherstellung und habe seitdem wieder vollen und absoluten Zugriff.

Ich spüre keinerlei Einschränkungen mehr, alles war "wie vorher".
Ich kann mir allerdings vorstellen das dies ein falscher Frieden ist weswegen ich hier nochmal final mich absichern wollte.

Ich vertraue da voll auf eure Fachkenntis und hoffe ihr könnt mir helfen.


Vielen Dank schonmal im Vorraus und beste Grüße

Lulz

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Hi!

Erstmal schulde ich euch eine Entschuldigung, mein Startpost sah nicht aus wie er es eigentlich tuen sollte. Es fehlten die 3 Logs um welche ihr ausdrücklich in der Checkliste bittet. Diese möchte ich nun eben nachliefern und habe sie deswegen angehangen.
____

Vielen Dank natürlich auch für die schnelle Antwort. Ich versuche mich bestmöglichst dran zu halten, aber es dauerte alles sehr seeeeehr lange weswegen ich erst jetzt poste.
Macht nichts, ich bin ja für die Hilfe dankbar :)

Ein Malwarebytesscan habe ich durchgeführt. Hier das Log dazu:

Und hier der Scan mit ESET. ( Frage nebenbei: Dieser dauerte fast 7 Stunden. Ist das normal?)

Was soll das sein und wo hast du das her?

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Ich habe in der Vergangenheit noch nicht mit Malwarebytes gearbeitet, daher habe ich auch keine Logs, Tut mir Leid :(


Woher die .zip Datei kommt weiß ich wirklich nicht mehr. In den Ordner landet alles was ich irgendwann irgendwie mal auf meinem Rechner gefunden habe und ich keine Verwendung für habe. Da ich ein Daten-Messi bin liegt es da wohl schon seit einiger Zeit. Kann wohl im zweifelsfall einfach gelöscht werden.

/edit: Nach ein bisschen Nachforschen habe ich es herausgefunden: Die Datei ist eine Update-Datei für das Spieltipps und Lösungsprogramm " Dirty Little Helper" downloadbar unter "hxxp://dlh.net/new/disp.php?dl_g_pc.dat"
Das ist schon einiges her und erst recht nicht mehr in Benutzung.



Die .exe ist ein Programm welches verwendet wird um (legale!) kostenfreie Spiele und Software von unabhängigen Programmierern auf ein Dateisystem zu münzen welches von der Nintendo Wii gelesen werden kann.
Ich habe bis jetzt keine negativen Erfahrungen damit gemacht, kann aber -da ich wie schon gesagt auf dem Gebiet der Computersicherheit ein Laie bin- meine Hand dafür nicht ins Feuer legen.

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

So, es hat etwas gedauert, weil ich das Wochenende über nicht da war, aber hier sind das Log :)

Im Anhang - ich weiß nicht ob du sie brauchst- auch nochmal inkl. der extras.txt

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hatte keine Probleme, nach dem reboot öffnete sich das Log.

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg

Sagmal, wann und WARUM hast du einfach so Combofix ausgeführt?

Vor ...ööh, bestimmt 2 Jahren oder so hatte ich schon mal Probleme.

Ich wendete mich damals an ein anderes Virus-Forum (wenn ich mich richtig erinnere war es Protectus.de), einer der dortigen Fachmänner leitete mich durch eine Routine in der wohl auch ComboFix eingesetzt wurde.
Am Ende hieß es ich seie wieder " clean".

Ok, wenn das schon so lange her ist ist das ok. Ich wollte nur wissen wann und warum

Dann bitte jetzt CF ausführen, combofix.exe natürlich neu runterladen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

So, es lief alles gut. Hier ist das Log :)