Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   GEMA Virus mit pkg_0ll.exe - Alles wieder OK? (https://www.trojaner-board.de/117209-gema-virus-pkg_0ll-exe-alles-ok.html)

andrew1305 12.06.2012 23:39
GEMA Virus mit pkg_0ll.exe - Alles wieder OK?
 
Hallo,

ich habe am 11.06. um 22:46 Erfahrungen mit dem GEMA Virus gemacht. Er sieht dem Screenshot für Version 2.01 auf hxxp://www.bka-trojaner.de/ sehr ähnlich. Allerdings fehlen die Zahlen zu Eingabe der Nummer der Paysafecard, die man mit der Maus anklicken kann (oben rechts im Screenshot).

Nun ja.

Nach anfänglicher Skepsis habe ich mich mit Bordmitteln (Strg-L --> Durchsuchen --> Dann Task-Manager aufrufen [Esc-Shift-Strg]) zum Taskmanager begeben. Das hat mir aber nicht wahnsinnig viel Erhellung gebracht.

Die auf bka-trojaner angegeben Löschungsvariante (für v2.01) hatte bei mir keinen Erfolg. Die Wiederherstellungsoption war nicht verfügbar und unter users --> [username] --> AppData --> Roaming waren keine Dateien.

Immerhin der Administrator Account (net user administrator /active) half mir zumindest erstmal wieder Zugriff zu bekommen.

Ich bin also eigenständig auf die Suche und konnte nach kurzer Zeit die Datei pkg_0ll.exe (das ist eine Null und zwei kleine L) ausfindig machen (Uhrzeit!) und sofort zu löschen. Ich glaub sie hatte das AutoIt-Symbol. Das, den Acrobat und den Internetexplorer in Kombination mache ich in meinem Laienverständnis als mittelbar schuldig aus. Eine Kombination dieser Programme scheint diese Blockade auszulösen. :glaskugel:

Naja, sodann habe ich alle dubiosen Überreste der Temporary Internet Files hemmungslos gelöscht. Insbesondere des IE, den ich ohnehin nicht nutze.

Zwei Einträge in der Registry hab ich auch gefunden (nach pkg_ suchen) und gnadenlos entfernt.

Jetzt habe ich gerade folgenden Beitrag gelesen: http://www.trojaner-board.de/117096-...g_0ll-exe.html

Der scheint mir ähnlich zu meinem zu sein. Jedenfalls haben wir ungefähr dasselbe gemacht.

Ich bin aktuell das Ding wieder los. Neu aufsetzten werde ich den PC ohnehin.
Interessehalber würde ich aber gerne sicherstellen, dass ich erstmal alles entfernt habe.

Malwarebytes fand folgende dubiose Einträge:
Sollte ich die auch mal löschen?

PHP-Code:
Infizierte Registrierungswerte2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowCpl|(Malware.Trace) -> Daten: @biocpl.dll,--> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{DC36469D-DB72-D78B-D9ED-028A4D634E0D} (Trojan.ZbotR.Gen) -> DatenC:\Users\{username}\AppData\Roaming\Dyazy\ezade.exe -> Keine Aktion durchgeführt
Vielen Dank für Eure Hilfe! :dankeschoen:

Andrew

PS: Auch gepostet auf hxxp://forum.botfrei.de/, da ich den Eindruck habe, dass es sich um eine neue Variante handelt und ich so dazu beitragen möchte, dass der Virus dort auch gelistet und bekämpft wird :sword2:. Ich hoffe, das geht in Ordnung so.

cosinus 15.06.2012 18:04
Zitat:
Malwarebytes fand folgende dubiose Einträge:
Sollte ich die auch mal löschen?
Nein, erstmal postest du alle Logs komplett.
Unvollständige Logs sind Pfusch!


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:34 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131