GEMA-Trojaner unter Windows Vista/7 entfernen

gemalogo

UPDATE vom 30. August 2012:

Bitte beachten Sie: Da es mittlerweile weitere Varianten dieses Schädlings gibt, möchten wir darauf hinweisen, dass diese Anleitung u.U. veraltet sein kann.

Wir raten daher dringend dazu, dass Sie sich zur Bereinigung an unsere Experten im Support-Forum unter http://forum.botfrei.de wenden. Diese werden Sie bei der Bereinigung Schritt-für-Schritt durch den Säuberungsprozess begleiten und im Bedarfsfalle neue, bisher unbekannte Varianten an unsere Partner aus der Anti-Viren-Industrie weiterleiten.

Der GEMA-Trojaner ist eine Abwandlung des bekannten BKA-Trojaners, allerdings einige Nummern härter als letzterer, weswegen auch die Bereinigung etwas länger ausfällt als unsere üblichen Anleitungen.

Hinweis: Versuchen Sie bitte als erstes die Systemwiederherstellung, da Ihnen dies viel Arbeit erspart, wenn sie ohne Probleme durchläuft!

1.) Starten Sie den Rechner neu und booten Sie mit Hilfe der F8-Taste in den “abgesicherten Modus mit Eingabeaufforderung”.

Die erweiterten Startoptionen von Windows 7

2.) Melden Sie sich mit Ihrem Benutzer an und geben Sie das Passwort ein.

Der Windows-Anmeldebildschirm

3.) Aktivieren Sie den Administrator unter Windows 7 mit dem Befehl:

net user administrator /active

Aktivierung des Administratoraccounts

4.) Loggen Sie sich wieder aus mit:

shutdown /l

5.) Jetzt sehen Sie wieder die Anmeldemaske mit dem “aktiviertem” Administrator-Account. Klicken Sie diesen nun an und melden sich am System an.

Die Anmeldeoberfläche mit aktivem Administrator-Account

6.) Jetzt befinden Sie sich im Ordner “c:\windows\system32“. Sie müssen nun in den Ordner “Roaming” unter Ihrem eigenen Benutzer wechseln. In unserem Beispiel heißt der Benutzer “analyst”. Jetzt geben Sie folgendes ein:

cd\
cd users
cd analyst (statt analyst schreiben Sie hier den Namen Ihres Benutzers!)
cd appdata
cd roaming
dir

Hinweis: Bitte achten Sie darauf, dass Sie an allen Punkten der Anleitung, in denen der User “analyst” auftaucht, diesen durch Ihren eigenen Anwender ersetzen!

7.) Sie sehen jetzt eine Auflistung der Dateien in diesem Ordner. Anhand des Datums und der Uhrzeit lassen sich jetzt drei Dateien herausfiltern. Bei unserer Version heißen die verdächtigen Dateien sx5u7frt55.exe, u5hr46sirtijyrt5.exe und dwlGina3.dll. Die letzte Datei ist erst später vom Schädling angelegt worden, deswegen hat sie eine Minute Unterschied.

8.) Schreiben Sie sich den Namen der beiden exe-Dateien auf, wenn diese von den hier genannten abweichen, und löschen Sie alle drei verdächtigen Dateien:

del sx5u7frt55.exe
del u5hr46sirtijyrt5.exe
del dwlGina3.dll

Die Dateien des Schädlings werden gelöscht

9.) Damit hätten Sie schon mal die schädlichen ausführbaren Dateien gelöscht. Jetzt müssen die fehlerhaften Einträge in der Registry beseitigt werden. Starten Sie dazu den Registry-Editor:

regedit

10.) Da sich auch schädliche Einträge unter dem eigenen Benutzer befinden, die wir aber als angemeldeter Administrator nicht sehen können, verwenden wir einen Trick um unseren Benutzer “analyst” mit zu editieren. Klicken Sie mit der linken Maustaste auf HKEY_USERS und markieren diesen Pfad.

Der Registry-Editor

11.) Starten Sie jetzt im Menü “Datei” den Menüpunkt “Struktur laden“. Wählen Sie nun die Datei “ntuser.dat” aus dem Benutzerverzeichnis des eigenen Users aus. In unserem Fall liegt diese in

c:\users\analyst\ntuser.dat“.

Achtung: Die Datei ist normalerweise versteckt und nicht sichtbar, wenn die Option “Alle versteckten Dateien anzeigen” im Explorer bei Ihnen deaktiviert ist. Sollten Sie die Datei nicht sehen können, klicken Sie in den angegebenen Ordner und geben Sie unten im Fenster manuell “ntuser.dat”ein und klicken auf Öffnen. Damit können Sie diese Datei trotzdem öffnen.

Die “ntuser.dat” wird manuell eingegeben

12.) Jetzt fragt das System Sie nach einem Schlüsselnamen. Geben Sie hier den Namen des Benutzers ein und klicken auf “OK”.

Der Name des Benutzers wird als Schlüsselname eingefügt

13.) Der neue Pfad mit den Registryeinträgen des Benutzers erscheint nun unter HKEY_USERS mit dem zuvor ausgewählten Namen.

Der neu angelegte Schlüssel erscheint unter HKEY_USERS

14.) Klicken Sie mit der linken Maustaste auf den Benutzernamen und markieren Sie den Eintrag. Starten Sie die Suche über den Menüpunkt “Bearbeiten” – “Suchen…“. Geben Sie nun den ersten der beiden Dateien (sx5u7frt55.exe) aus Punkt 5 ein und lassen Sie die Registry danach durchsuchen. Löschen Sie alle gefundenen Einträge, bis auf die Schlüssel “Shell” in den Pfaden “Winlogon“!!! Diese ersetzen Sie bitte mit “explorer.exe“, wie in der Abbildung unten zu sehen. Für die zweite Datei (u5hr46sirtijyrt5.exe) verfahren Sie bitte genauso.

15.) Der erste Verweis (sx5u7frt55.exe) befindet sich in den folgenden Pfaden:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication

16.) Der zweite Verweis (u5hr46sirtijyrt5.exe) befindet sich in diesen Pfaden:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{xy}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  • HKEY_USERS\analyst\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_USERS\analyst\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Der SHELL-Eintrag muss auf “explorer.exe” geändert werden

17.) Jetzt müssen Sie noch verhindern, dass der Schädling den Taskmanager sperrt und den Aufruf der Registry unter dem Benutzer unterbindet. Löschen Sie dazu die beiden Einträge “DisableRegistryTools” und “DisableTaskMgr” im Pfad:

[HKEY_USERS\analyst\Software\Microsoft\Windows\CurrentVersion\Policies\System].

18.) Die Desktopsymbole werden durch den GEMA-Trojaner ausgeblendet. Zur Bereinigung löschen Sie den Eintrag “NoDesktop” im Pfad:

[HKEY_USERS\analyst\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer].

19.) Schließen Sie den Registry-Editor und geben Sie in die Eingabeaufforderung abschließend noch ein:

shutdown -r -t 00

20.) Nachdem Windows “normal” gestartet ist, sollte der GEMA-Trojaner verschwunden sein. Ihre Desktopsymbole können Sie nun wieder mit einem Rechtsklick auf den Desktop und dem Menüpunkt “Symbole anordnen nach” und “Desktopsymbole anzeigen” einblenden.

Desktopsymbole anzeigen

21.) Deaktivieren Sie nun noch den Administrator-Account in dem Sie die Eingabeaufforderung aufrufen und folgendes eingeben:

net user administrator /active:no

22.) Führen Sie zu Ihrer eigenen Sicherheit einen Komplettscan mit Malwarebytes durch und überprüfen Sie Ihr System nach Softwareupdates.

Hinweis: Sollten Sie noch Fragen haben oder Hilfe bei der Bereinigung benötigen, registrieren Sie sich kostenlos in unserem Support-Forum.

234 Thoughts on “GEMA-Trojaner unter Windows Vista/7 entfernen

  1. Peter Gschwender on 4. Dezember 2011 at 09:31 said:

    Besten Dank! Das Ärgernis ist wieder vom Rechner!

    Als Hinweis: Auch auf meinem System waren ebenfalls zwei “.exe”-Dateien eingeschleust worden, eine wie oben beschrieben im Verzeichnis “roaming”, eine weitere in einem Unterverzeichnis von “roaming”. Beide Dateien (und auch der Name des Unterverzeichnisses) lassen sich recht einfach anhand des Datums und der wirren Buchstaben-Zeichen-Kombination identifizieren.

  2. johann t. on 4. Dezember 2011 at 23:16 said:

    Ich komme leider bei Punkt 8.) nicht weiter: Ich habe lediglich eine dieser wirren .exe/dateien. Habe auch kein unterverzeichnis vom roaming. wüsste auch nicht wie man zu diesem kommt. der befehl regedit lässt sich auch nicht ausführen. kann mir jemand weiterhelfen?

    • Hallo johann t.,

      für weitere Unterstützung lade ich dich in unser Forum ein.

      MG
      ABBZ

    • Laura L on 27. Februar 2012 at 20:01 said:

      Hallo Johann t.:

      ich scheiter leider an genau derselben Stelle als du (GEMA Trojaner). Wie hast du das Problem mit dem Befehl regedit gelöst?

      Aus dem Forum werd ich leider nicht schlauer….

      • Sven L. on 19. März 2012 at 19:25 said:

        Hallo zusammen,
        Ich haenge auch am punkt 8. Ich habe nur eine exe datei und die laest sich nicht loeschen.

        • Hallo Sven,

          gerne helfen wir Dir weiter! Registriere Dich hierzu bitte in unserem Support-Forum unter http://forum.botfrei.de und erstelle einen Beitrag unter “Hilfe” –> “Windows Systeme”.

          Grüße,
          CS, ABBZ

          • marboe on 28. Juni 2012 at 08:38 said:

            Hallo, bei den Startaufrufe in der Registry unter:
            (Schlüsselname in() geaendert)

            HKEY_USERS\(S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-1000)\Software\Microsoft\Windows\CurrentVersion\Run\(Wert)

            — und—

            HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\(Wert)

            die folgenden Werte (Eintraege), im Abgesicherten Modus unter Win7, loeschen “renovator” und
            “vcyudysfprvcdpc”

            und im Explorer unter “C:\ProgramData\”

            &

            C:\Windows\system32\config\systemprofile\AppData\Roaming\Windows Desktop Search\{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}\

            auch die zugehoerigen Dateien,

            danach lies ich Windo(of)ws wieder neu starten und die restlichen Dateien des Gema Trojaners loeschen!

            ………………………geschuetzte Systemdateien sichtbar machen nicht vergessen………………..

            >>> Datei-Explorer-Fenster oeffnen, links-oben uaf Organistiern > Layout > Hacken bei Menueleiste setzen

            dann

            >>> in der Menueleiste > Extras > Ordneroptionen > Ansicht > Hacken bei “Geschuetzte Systemdaten ausblenden” entfernen
            und mit [OK] Fenster wieder schliessen
            …………………………………………………………………………………………….

            Name:

            0.6129716687467751.exe

            temp-1JQG07nRhBtWsjykcObVuGiK

            temp-FYWL281t0cfve0zf1Znb9CVb

            Ihfywity.exe
            mvunogybwaeozeq
            ousowyem.exe
            pgdcksuo.exe
            vcyudysf.exe
            vhjrnvxm.exe

          • Danke hierfür. Unbedarften Usern empfehlen wir sich an unserer Support-Forum zu wenden: http://forum.botfrei.de … denn in der Registry rumfummeln, und das falsch machen, kann auch zum System-Absturz führen!

            Grüße,
            TK, ABBZ

  3. Hermann Oettl on 5. Dezember 2011 at 17:30 said:

    Besten Dank! Der Miest ist wieder vom Rechner!

    Habe es mit der Systemwiederherstllung hinbekommen.
    Der Tip war Super!

  4. Hallo zusammen,

    besten Dank für die Anleitung! Ich konnte damit den Trojaner auf meinem Vista-System entfernen! Ufff….

    Ich hatte auch die Variante mit einem Unterordner. Zudem musste ich den Administartor aktivieren (wie oben beschrieben bei Windows 7) um die Registry öffnen zu können.

    Viele Grüße

    Andreas

  5. Andy71 on 7. Dezember 2011 at 19:04 said:

    Vielen, vielen Dank. Ich habe den ganzen Tag im Internet nach einer Lösung gesucht und hier bin ich endlich fündig geworden. Danke, danke, danke…..
    Mein Problem war, dass ich den Schädling zwar über eine zweite Betriebssystempartition löschen könnte, dieser mir aber alle Zugangsrechte zum TaskManager, Regedit, Gruppenrichtlinien etc. sperrte, sobald ich mich wieder mit meinem Standardaccount einloggt hatte. Erst über die Admineinrichtung im abgesicherten Modus und anschließende Strukturladung meiner eigentlichen Reg-Datei habe ich nun wieder vollen Zugriff auf meinen PC. Tolle Arbeit. Macht weiter so! Und eines hat mich dieses gelehrt. Hatte mich bisher immer auf den Hardware Router verlassen und das System auf dem neusten Stand halten. Nun wird ein gutes gebührenpflichtiges Virenprogramm Pflicht. Aua macht schlauer. Danke nochmal

  6. Ohmargod on 7. Dezember 2011 at 19:44 said:

    Danke sehr für eure detaillierte Anleitung!
    Ohne die wäre ich bestimmt dazu gezwungen gewesen, neu zu installieren…

    Gute Arbeit! Macht weiter so!

    Hochachtungsvoll

    Omar

  7. Glenn on 8. Dezember 2011 at 10:22 said:

    Hallo,

    habe mit dieser tollen Anleitung den GEMA Trojaner vom Laptop meiner Mutter entfernt. Sie hat Vista Home Premium.

    Der Administrator ließ sich nicht aus ihrem Konto heraus deaktivieren. Also habe ich den abgesicherten Modus nochmal gestartet, den Admin acc deaktiviert und jetzt wird er beim Neustart immer noch angezeigt (auch wenn er jetzt ein Kennwort erfordert)

  8. Eine sehr gelungene Erklärung. Für Anfänger auch zu bewältigen, funktioniert spitze!!!
    Hatte zwar andere Dateinamen aber hat auch damit super geklappt. Danke

  9. Melina on 8. Dezember 2011 at 14:21 said:

    bei mir funktioniert das nicht direkt am anfang mit der F8 taste und dann komm ich garnicht weiter wenn das nicht funktioniert. konnt ihr mir helfen?

  10. Manni on 9. Dezember 2011 at 07:40 said:

    Hallo TK,

    ist der Ablauf bei Win7 identisch ?
    Antworte bitte direkt an meine Mailadresse, weil ich nicht weiß, wie ich Eure Antwort im Internet finden kann.

    Besten Dank !
    Manni

  11. super-lösung, Danke !!!
    vor allem die Wiederherstellung der Desktopsymbole…

    Gruß, Jupp

  12. catalin on 11. Dezember 2011 at 21:17 said:

    Hello,

    All was working fine. After 15min going through tutorial the virus was removed.
    Thank you guys…
    Very good job.

    catalin

  13. Random on 22. Dezember 2011 at 16:23 said:

    Ich habe das alles ohne externen Admin gemacht, indem ich schneller war als der Trojaner und die .exe im Taskmanager geschlossen habe, bevor er startet.
    danach einfach mit Taskmanager %appdata% öffnen, ganz nach unten scrollen und die 2 Dateien löschen, die da sind, gina.exe und die andere.
    danach in der suche .exe eingeben und die 2 Dateien löschen, die von dem Zeitpunkt sind… Also bei mir gehts wieder

  14. Random on 22. Dezember 2011 at 16:23 said:

    P.S.: Vielen Dank für die Hilfe

  15. hilfe!!
    bin total am verzweifeln!
    ich kann die ntuser.dat nicht öffnen, weil die schon irgendwo geöffnet ist!!

  16. Kai-Yun Cheng on 23. Dezember 2011 at 23:06 said:

    hallo,

    es scheint alles zu Funktionieren bis auf schritt 11.) Starten Sie jetzt im Menü “Datei” den Menüpunkt “Struktur laden“. Wählen Sie nun die Datei “ntuser.dat” aus dem Benutzerverzeichnis des eigenen Users aus. In unserem Fall liegt diese in

    “c:\users\analyst\ntuser.dat“.

    Leider komme ich nicht mehr weiter weil mein Laptop diesen Datei “ntuser.dat” nicht finden.

    ich bitte Sie um Hilfe.

    mfg

    kai

  17. Fast Geschafft? on 24. Dezember 2011 at 00:49 said:

    Hi danke für eure Hilfe ich habe mir auch diesen blöden trojaner eingefangen bin dann aber schnell auf den taskmanager gegangen weil ich schon mal was von dem trojaner im radio gehört hab hab dann einfach alles was mir verdächtig vorkam beendet wie z.B. die explorer.exe danach ist natürlich der ganze rechner also der desktop abgeschmiert oder besser gesagt windows. hab dann den pc abgewürgt und dann wieder ganz normal gestartet leider kam dann wieder diese seite wo ich dass geld bezahlen soll hab dann irgentwelche sachen versucht zu beenden und windows auf windows neustarten gegangen. Da hatte ich dann glück und irgentwas hat gelaggt oder so und die seite wurde beendet aber der pc noch nicht runtergefahren. dann hat sich alles ganz normal aufgebaut alle symbole und sowas hab mir dann schnell mal avira gedownloadet und nen scan gemacht ohne erfolg pc ist neu gestartet und wieder dass gleiche seite baut sich auf und explorer exe beendet sich zu früh und ich gehe auf abbrechen und sie startet sich neu und alles ist wieder gut
    hab dann antvir geupdatet und noch nen virenscan durch gefürht 3 stunden später 91!!! viren oder was da immer steht gefunden alle gelöscht neu gestartet aber wieder
    versucht sich die seite aufzubauen dann kommt plötlich dieser ton von antivir für virus gefunden und antivir beendet die explorer exe und startet sie neu jetzt läuft wieder alle bis darauf dass sich minimierte programme oder ordner usw. sich nicht mehr an der taskleiste befinden sondern mitten auf dem desktop. hab dann jetzt nochmal den taskmanager geöffnet und mal geschaut was alles so geöffnet ist 4 mal die website http://62.75.235.20/ und zwar mit windows internet exploerer bei status steht wird ausgeführt beenden jedoch kann man keine der 4 websiten also im taskmanager und auch die iexplorer exe bei prozesse lässt sich nicht beenden und ist 4 mal geöffnet was. meine frage ist soll ich die oben genannten schritte ausführen oder gibt es da einen einfacheren weg weil ich ja alles öffnen kann und auch in windos drin bin???

  18. Fast Geschafft? on 24. Dezember 2011 at 00:54 said:

    achja was mir noch einfällt habe bei %appdata% oben im suchfeld .exe eingegeben und eine datei gefunden mit sehr vielen zahlen als name und gelöscht weil die ungefähr der zeitpunkt wo dass alles passiert ist war.

  19. Hallo!
    Mein problem liegt zuerst einmal darin, dass ich die beiden dateien im roaming garnicht finden kann. im registry kann ich die auch nicht um zu loeschen. Kann ich jetzt noch eine systemwiederherstellung anfangen bzw. wie geht das?

    Ich wuerde mich sehr auf eine antwort freuen.
    Mit freundlichen gruessen,
    Elza

  20. Hi,

    habe auch das Problem mit dem Virus und komme bei Schritt 11 nicht weiter.
    Die Datei ntuser.dat wird verwendet und ich kann sie nicht löschen.

    Einen Thread im Forum habe ich schon erstellt:

    http://forum.botfrei.de/showthread.php?307-GEMA-Virus-Bildschirm-bleibt-schwarz-Kein-Zugriff

    LG
    besho

  21. Sebastian on 27. Dezember 2011 at 16:01 said:

    Gibts eigentlich inzwischen Adressdaten vom Urheber? Ich würde mich gerne persönlich für die 30 Minuten verschwendete Zeit bedanken, die ich damit zubringen mußte, diesen Schwachsinn wieder aus dem System zu nehmen..

    Eigentlich müßte man sich den Mist mal in ein virtuelles System installieren und die IP-Adressen des Empfänger-Servers ausfindig machen.

  22. Hi Leute,

    danke für die Hilfe!!!! Echt super gelaufen nur das ich irgendwie keine Desktopsymbole habe obwohl ich den Eintrag gelöscht habe.

    • Hi Snif,

      gerne helfen wir Dir bei der Wiederherstellung der Desktop-Symbole weiter. Registriere Dich hierzu bitte unter http://forum.botfrei.de (unserem Hilfe-Forum) und erstelle einen Thread in der Kategorie “Hilfe” –> “Windows Systeme”!

      Grüße,
      TK, ABBZ

  23. Malibujack1 on 28. Dezember 2011 at 16:50 said:

    Hallo zusammen,

    ich hätte auch eine Frage.
    Bin leider nicht so bewandert in Sachen PC und hoffe ihr könnt mir weiterhelfen.
    Wenn ich bhei Schritt 7) cd roaming eingebe sagt mir mein pc nur dass das system den angegebenen pfad nicht finden kann. Irgendwelche Tipps parat?
    Vielen Dank im Vorraus
    MFG
    Mjack

  24. Super Anleitung! Selbst ich als Laie konnte mein Laptop bereinigen.
    Allerdings waren es bei mir folgende schädliche Dateien:
    dwlGina3.dll
    sbcvvhost_win86.exe

    Vielen Dank!

  25. Hallo zusammen,
    danke für die gute Anleitung.
    Bei einem Freund von mir war es eine änliche Variante vom Gema 2.01

    Die dll (dwlGina3.dll) war die Selbe aber die exe hat sich aber unterschieden.
    sbcvvhost_win86.exe (gab nur eine)

    Die Anleitung war dennoch erfolgreich.

    Danke euch !!!!

    Dicken Daumen nach oben

    lg Klaus

  26. danke, hat alles genau so geklappt. Bei mir war es Gema mit der Datei
    sbcvvhost_win86.exe. Die vorgehensweise ist aber die gleiche. Mache jetzt trotzdem nochmal eine Systemwiederherstellung.

  27. Herzlichen Dank für die sehr gute Anleitung zur Enfernung dieses Schwachsinns. Selbst mir als relativem Laien war es mit euerer Anleitung möglich, meinen PC wieder funktionsfähig zu machen. Dafür ein herzliches Danke schön. Augenblicklich läuft noch das Malwarebytes-Programm, während ich mich hier auf meinem Laptop bei euch bedanke.

    Kann man diesen “Verbrechern” nicht das Handwerk legen??

    Viele Grüße und einen guten virenfreien Rutsch ins neue Jahr

    Gruß
    Franz

  28. chicken on 29. Dezember 2011 at 12:20 said:

    Dank für die geile Lösung

  29. Johnny on 29. Dezember 2011 at 14:20 said:

    Yeah, 2 Tage mit dem Problem rumgequält und mit dieser Anleitung einfach in 15 minuten gelöst :) Happy

    (Kleiner Nachtrag:
    Ich bin bei folgender Zeile leicht ins grübeln gekommen:
    –14.) Klicken Sie mit der linken Maustaste auf Computer –
    Man kann nirgends auf “Computer” klicken sondern auf seinen Benutzernamen.)

  30. hilfe on 8. Januar 2012 at 14:14 said:

    Servus
    ich komm an punkt acht net weiter und auf em forum weis ich net wo ich da lesen muss
    kann mir bitte einer en tipp geben

    gruß hilfe

  31. FreeSurvivor on 8. Januar 2012 at 23:11 said:

    Vielen Dank für diese sehr ausführliche Hilfe! Dieser GEMA-Trojaner kann einem echt das Leben schwer machen, wenn man sich überhaupt nicht auskennt. Gott sei Dank gab es bei meinem Kollegen einen ähnlichen Zwischenfall und ich konnte rechtzeitig reagieren und den Trojaner entfernen! Danke nochmals für die Bereitstellung dieser Anleitung ^^.

  32. Marc on 10. Januar 2012 at 13:01 said:

    Hallo
    ich komme bei Punkt 11 nicht weiter
    wenn ich den Dateiname suche wird dieser nicht gefunden
    ich hoffe ihr könnt mir helfen

    Gruß Marc

    • Hallo Marc,

      bitte registrier dich in unserem kostenlosen Forum.
      Wir helfen dir dort weiter. Wahrscheinlich findest du bereits eine Lösung dort.

      Gruß
      MG
      ABBZ

  33. Cepi on 10. Januar 2012 at 16:53 said:

    Hab alles ausgeführt und ist auch Super gelaufen … Nur habe ich bei Punkt 20 einen komplett schwarzen bildschirm mit Maus die ich bewegen kann … Aber ich kann nichts klicken und Win-Taste funktioniert auch nicht … Was kann ich machen?

  34. Kiki on 10. Januar 2012 at 18:28 said:

    Nachdem der erste Schock nach der Zahlungsaufforderung der vermeindl. GEMA an meinen Sohn(13) wieder abgeklungen war, konnten wir Dank dieser tollen Anleitung den Schaden schnell wieder beheben!
    Auch bei ihm waren es nur zwei Dateien.

    Vielen lieben Dank
    Gruß Kiki

  35. heilx on 10. Januar 2012 at 19:36 said:

    Einfach eine super Beschreibung…einfach Hammer…danke!

  36. Xevian on 10. Januar 2012 at 19:59 said:

    Vielen Dank für die gute Anleitung… hat bestens Funktioniert ;)

  37. Julian on 11. Januar 2012 at 18:41 said:

    Wahnsinn!!!
    Ich war schon am verzweifeln. Habe alles probiert alle möglichen Rettungs Boot Programme und die haben nichts geholfen.
    Bis ich schließlich auf diese Anleitung gestoßen bin.

    Alles gut erklärt und funktioniert hat es auch!
    Besten Dank :)

  38. Raphael on 11. Januar 2012 at 20:37 said:

    Super Anleitung! Das hat hervorragend geklappt. Der Rechner meines Sohnes läuft jetzt wieder. Ganz herzlichen Dank für die sehr gut verständliche Anleitung!!!

  39. Icy05 on 12. Januar 2012 at 01:54 said:

    hat super geklappt mit der Anleitung, vielen vielen Dank nochmal… war mit meinem Latein echt am Ende…

  40. Klaus Rolfs on 12. Januar 2012 at 14:40 said:

    ich hatte auch den GEMA-Trojaner,

    mit der Systemwiederherstellung hat es gut funktioniert.
    Vielen Dank für die Hilfe

  41. Kevin^^ on 14. Januar 2012 at 09:08 said:

    Hi
    mein problem ist, dass ich, wenn ich regedit aus punkt 8 oder 9 aufmachen möchte, da steht, dass ich als angemeldeter administrator nicht das registry öffnen kann
    würde mich über hilfe freuen

    mit freundlichen grüßen

    Kevin^^

  42. momoads on 30. Januar 2012 at 18:33 said:

    ich habe alles gemacht aber wenn ich mich anmelde ist der Bildschirm nur noch schwarz, kann aber den Taskmanager öffnen :).
    Ich hatte auch nur EINE .exe dabei. könnte das daran liegen?

  43. Protois on 30. Januar 2012 at 21:13 said:

    VIELEN DANK… dank eurem Leitfaden habe ich mir das Aufsetzen und Ärger mit meiner Freundin erspart… ich werde den Artikel umgehend verbreiten denn ich denke es werden noch mehrere das Problem bekommen…

    Nochmals vielen Dank und alles gute…

    Protois

    • Hallo Protois,

      wir freuen uns, dass wir dir helfen konnten. Du darfst gerne unsere Anleitung anderen Benutzern empfehlen :-)

      Gruß
      MG,ABBZ

  44. MiRroR on 31. Januar 2012 at 17:38 said:

    Hi Leute,
    Mein Mitbewohner hat selbiges Problem mit dem GEMA-Trojaner.
    Habe die Anleitung befolgt und bei Schritt 7 komme ich nicht weiter. Mir werden nur Verzeichnisse angezeigt, nicht aber irgendwelche Dateien.
    Können diese auch in den Unterverzeichnissen von “Roaming” sitzen? Oder in einem ganz anderen Ordner?
    Danke schonmal im Vorraus für eure Hilfe und euren Support =)

  45. Hallo an alle,

    hatte auch den GEMA-Trojaner und dank dieser Anleitung konnte ich ihn beseitigen, vielen Dank.

    viele Grüsse Oli

    Ps. Die Anleitung zur entfernung ist super beschrieben, auch für normal Nutzer mit dem zwei Finger such System wie mich :-)

  46. Adlernath on 2. Februar 2012 at 01:20 said:

    Bei mir sind von Anfang an überall Probleme gewesen. Hab eigentlich keine Ahnung von sowas und dann kommt dieser ****** Viren Screen. Finde das Forum, denke geile Anleitung und arbeite die mal ab.

    erst hab ich keinen Zugriff auf den Benutzer Administrator,
    das mit dem regedit hat nicht funktioniert und ab Schritt 12 funktioniert bei mir einfach gar nichts mehr.

    p.S.: @ABBZ Warum stellst du deinen Guide rein, wenn du bei allen Fragen, die gestellt werden, immer nur schreibst: “registriere dich doch …. blablabla”
    Beantworte die doch einfach hier!? -.-

  47. Adlernath on 2. Februar 2012 at 01:24 said:

    ähm ….

    was mich jetzt jedoch wundert ist, dass ich bei einem neuen Versuch, den PC normal hochzufahren keine Probleme mit dem Virus hatte o.O

    Nur wüsste ich gerne, wie ich mir den Task-Manager wieder aktiviere…..

    Danke im Voraus

  48. Tim-Alexander on 2. Februar 2012 at 14:58 said:

    Bei Schritt 6 komme ich nicht weiter.
    Mein PC heißt Tim’s-Pc.
    Er nimmt den Namen nicht an !
    Nimmt er die Sonderzeiten nicht an und wenn wie kann ich den Namen halt ohne Systemsteuerung umbenennen ?
    Bitte um schnelle Hilfe ! Danke

  49. lila on 2. Februar 2012 at 15:56 said:

    hallo bevor ich das angefangen habe , habe ich mir meinen desktop nochmal angeguckt und der war blau und jetzt komme ich bei punkt 7 nicht mehr weiter und mein desktop ist immer noch blau

  50. Mero on 7. Februar 2012 at 13:34 said:

    Hallo ich komme ab nr 7 nicht mehr weiter hab zwar die daten eingegeben aber da kommt nicht dieser verdächtige namen

  51. Ulippp on 11. Februar 2012 at 18:37 said:

    Na toll und warum kann ich im Forum nix posten ?

    :-(

    • Hast Du Dein Benutzer-Konto schon aktiviert (Stichwort: Willkommens-E-Mail an Dein Postfach)? Wenn ja, dann musst Du einen neuen Thread unter “Hilfe” –> “Windows Systeme” erstellen. In bestehenden Threads können nur Moderatoren & Administratoren antworten!

      Grüße,
      TK, ABBZ

  52. Kayser on 12. Februar 2012 at 02:16 said:

    3. Punkt kommt gar nicht. Es kommt direkt “Dieses Programm kann die Webseite nicht anzeigen” Seite…

    • Hallo Kayser,

      melde dich bitte kostenfrei in unserem forum.botfrei.de an, dort werden Experten weiterhelfen

      Gruß ABBZ

  53. Beobachter on 12. Februar 2012 at 19:16 said:

    Hallo zusammen,

    ich war eben auch Opfer des GEMA Trojaners und nach dem Aussehen zu urteilen der Version 2.01. Die Systemwiederherstellung funktionierte einwandfrei. Danke für den Hinweis.

    Nun meine Frage: Wenn die Systemwiederherstellung anstandslos funktionierte, ist der Trojaner dann entfernt? Oder muss ich der Anleitung noch weiter folgen?

    Vielen Dank!

    P.S. Bitte keine Antwort das ich im Forum vorbeischauen soll, das ist so eine einfache Frage :)

    • Hallo,

      die Frage ist nicht wirklich einfach zu beantworten. Unter Umständen ist der Trojaner noch auf dem Rechner drauf, nur noch nicht aktiviert … Fakt ist aber: Dein System ist wieder in dem Zustand, wie es vor dem Auftauchen des Sperrbildschirmes ist … also: Angreifbar und mit Sicherheitslücken versehen.

      Schau mal hier vorbei:
      http://blog.botfrei.de/2011/12/malware-entfernt-was-nun/

      Grüße,
      TK, ABBZ

  54. blueprint on 14. Februar 2012 at 19:50 said:

    Hallo zusammen,

    mein Problem ist, dass im Ordner Roaming weder die .exe-Dateien noch die .dll-Datei zu finden ist. Wohl aber ein Unterordner mit der Bezeichnung “gema”. In diesem Ordner befinden sich aber keine weiteren Dateien.
    Was kann ich hier nun machen?

    Danke schon mal im Voraus.

  55. Joscha on 14. Februar 2012 at 23:51 said:

    Ich habe das problem das bei dem Virus ( ich glaube es ist versoin 2.01) der abgesicherte Modus nichts bringt. Der Virus blockiert auch dort alles. Auch den Task Manager. Mache ich was falsch?

    • Gerne helfen wir Dir weiter, können das aber nicht hier im Blog machen! Registriere Dich bitte kostenfrei in unserem Support-Forum unter http://forum.botfrei.de und erstelle einen Thread in “Hilfe” –> “Windows Systeme”!

      Grüße,
      TK, ABBZ

  56. Laura on 16. Februar 2012 at 16:29 said:

    Hallo,

    ich war soeben auch Opfer eines Trojaners, leider ist es wohl eine neue Version.
    Habe sie zumindest untern den Bildern nicht gefunden.
    Mein Notebook läuft eigentlich normal weiter, und das Anti Vir Programm hat auch nichts gefunden, das heißt aber nichts oder?
    Bin mir jetzt nicht sicher was ich machen soll :(

    LG

  57. Sarah on 17. Februar 2012 at 17:11 said:

    ich kommenach schritt 5 nicht weiter.. nachdem ich auf administrator geklickt habe, sehe ich dann wieder den schwarzen bildschirm von punkt 3. wie komme ich in den ordner roaming?

  58. Anonymous on 17. Februar 2012 at 21:41 said:

    Vielen ank für die hilfe

    klappt aber auch anders z.B wenn man sein system bis vor dem Zeitpunkt zurückstzt

    nachteil bis dahin wichtige updates sind verloren

  59. lukas on 18. Februar 2012 at 11:12 said:

    Hi
    ich hab eigentlich alles bis zum Punkt 6 geschafft aber wenn ich meinen Username eingeben soll erkennt der Computer ihn nicht. Ich hab auch schon mehrmals gechekt ob ich ihn wirklich richtig geschrieben hab etc. aber alles war korrekt. Hat jemand eine Idee was man da machen könnte?
    lg Lukas

  60. SYS01010 on 18. Februar 2012 at 16:27 said:

    Neue Datainame von Trojaner 6ekjsr5e.exe

  61. Kelly on 18. Februar 2012 at 17:28 said:

    Hoffe ihr könnt mir weiter helfen. Bei mir werden die drei Dateien sx5u7frt55.exe, u5hr46sirtijyrt5.exe und dwlGina3.dll. nicht angezeigt. Und so mit komme ich nicht weiter.
    Gruß Kelly

  62. corado on 18. Februar 2012 at 20:18 said:

    tausend dank, hat super funktioniert, hatte allerdings auch nur eine exe datei.
    werde mich ersteinmal bei macaffee beschweren, denke die hätten ihn nmelden müssen.

    liebe grüße
    dietmar

  63. Hallo liebe IT-Genies!

    Besuche gerade meine Mama und bin mit ihrem brandneuen Computer ins Internet gegangen… und ZACK kam dieser ärgerliche Gema-Schei….
    Ich war total verzweifelt und hab schon befürchtet enterbt zu werden.
    Zum Glück hatte ich mein Smartphone da und zu meinem noch grösseren Glück bin ich auf diese Seite gestossen.
    Obwohl ich keine Computer-Leuchte bin, habe ich dank dieser verständlichen Erläuterung und vorallem dank den Bildern ;-) geschafft, den Trojaner loszuwerden.
    Das Einzige was nicht geklappt hat war, dass man im Benutzerkonto nicht den Befehl “regedit” ausführen konnte und deshalb in das Administrator-Konto wechseln musste um den Editor öffnen zu können.
    Aber egal: Das Wochenende bei meiner Mama ist gerettet!!!

    Liebe Grüsse
    Nina

  64. Moretti on 18. Februar 2012 at 22:28 said:

    war alles soweit gut erklärt, hatte allerdings nur eine trojanerdatei jj65sirug4.exe. mein problem ist jetzt jedoch ein schwarzer desktop ohne symbole und taskleiste. nur mauszeiger und taskmanager funktionieren.

    jemand eine idee?

  65. masey on 18. Februar 2012 at 22:45 said:

    vielen dank eine riesen hilfe und eine super beschreibung

  66. Cybertec on 20. Februar 2012 at 13:18 said:

    ich finde bei Punkt 11 die ntusers.dat nicht…auch nicht, wenn ich unten über öffnen ntusers.dat eingebe..ich nutze vista

    unter c finde ich lediglich einen Ordner (Benutzer), aber da scheint sie nicht drin zu sein…

    Kann jemand helfen?
    Danke

    • Gerne helfen wir Dir individuell weiter! Registriere Dich hierzu bitte in unserem Support-Forum unter http://forum.botfrei.de! Es ist hier im Blog etwas unübersichtlich für uns, aufgrund der sehr vielen Anfragen!

      Grüße,
      TK, ABBZ

  67. connor on 20. Februar 2012 at 14:42 said:

    Also bei meinen pc klappt es nicht da wo man sein user eingeben muss klappt es einfach nicht bitte hilft mir

  68. Andreas97 on 20. Februar 2012 at 17:49 said:

    Ich habe da mal eine Frage:

    Wir hatten auf dem Pc schon 2 Benutzerkonten. Das eine Benutzerkonto (Standartbenutzer) war gesperrt, und das andere Konto (Administrator) konnte ohne Probleme geöffnet werden. Dann haben wir das Standartkonto gelöscht über den Administrator und haben danach wieder ein neues Konto eröffnet. Meine Frage wäre nun ob die Gemasperre wieder kommt oder aufgehoben wurde?

  69. Aneta on 20. Februar 2012 at 18:33 said:

    leider funktioniert es bei mir nicht ich komme bis zu dem Schritt 6 und dann geht es nicht mehr so weiter, zumindest nicht so wie es hier steht!?

  70. Aneta on 20. Februar 2012 at 18:41 said:

    und bei mir wird der Punkt 2 uebersprungen und bei Punkt 5 kann ich den Administrator gar nicht angezeigt sonder nur der analyst bzw. ich

  71. Lukas on 20. Februar 2012 at 20:25 said:

    Hallo Botnet-Team,
    erstmal danke für diese außergewöhnlich tolle Anleitung!
    habe nur ein problem bei 8.) , wie kann ich diese .exe datei löschen, was muss ich dafür eingeben? oben steht nur etwas von “datei löschen”

  72. Laura on 21. Februar 2012 at 12:00 said:

    Ich habe mir heute auch den Virus eingefangen und ihn auch mit der Systemwiederherstellung ganz schnell weg bekommen.
    Ist mein Computer jetzt immer noch gefährtet und sollte ich den Virus wie in der Anleitung entfernen oder kann ich jetzt ohne weiteres einfach normal weitermachen?

    • Hallo Laura, es gibt so einige Dinge die du beachten solltest. Zum einen muss dein Computer durchleuchtet werden. Hier ist zu klären, ob und welche Sicherheitslücken bei dir vorhanden sind. Weiterhin können trotz einer Systemwiederherstellung Reste des Schadcodes noch auf dem Computer vorhanden sein. Am besten du registrierst dich in unserem Forum und erstellst einen eigenen Beitrag. Unsere Experten und die Community werden dir dann weiter helfen. Unser Forum erreichst du unter http://forum.botfrei.de

      MG, ABBZ

  73. Hallo bitte hilft mir bei mir steht da nix mit dem gina und die anderen datein bitte

  74. Stefan on 21. Februar 2012 at 18:47 said:

    Besten Dank für die Hilfe:) Hat alles Super funktioniert :)))

  75. Jakob on 21. Februar 2012 at 21:52 said:

    Hallo

    Danke, danke

    hat super funktioniert, allerdings habe ich nur eine Datei zum löschen gefunden, aber bissher noch keine weiteren Fehler gehabt. Gleich mal Vierenscanner, dann müsste alles klar sein.

    Gruß
    Jakob

  76. Danke on 22. Februar 2012 at 15:50 said:

    Danke für diese Anleitung. So habe ich meinen Laptop wiederbekommen und keine Daten verloren :)! SUPER!!

  77. Paul S. on 23. Februar 2012 at 18:20 said:

    You saved my day!
    Danke vielmals.
    Toller Service.

  78. AT3TB on 29. Februar 2012 at 23:57 said:

    Besten Dank für Die SUPER Anleitung !

    Habe soeben mein System wieder sauber bekommen.
    Hatte eine Neuere Variante von diesen Mistding mir eingefangen.

    mfg
    AT3TB

  79. Janosch on 1. März 2012 at 14:41 said:

    Hallo Zusammen,
    Ich habe mir leider irgendwie den GEMA Virus eingefangen und habe jetzt sehr große schwierigkeiten diesen wieder von meinen Rechner zu löschen.
    Meine Erachtens habe ich die Virus-Version 2.01. Folglich habe ich dann die von euch gestellte Beseitigungsanleitung befolgt doch komme leider nicht vorran. Ich komme zwar in den abgesicherten Modus mit eingabeaufforderung und kann auch den Befehl zum aktivieren des Administrator Kontos erfolgreich eingeben doch nach dem shutdown Befehl erscheint dann statt dem beschriebenen Anmeldebildshirm mit dem Admin Konto nur ein Browerfenster das keine Verbindung zum Internet hat. Dieses ist genauso wiederstandsfähig wie das Virusfensfer und lässt sich Weder schließen noch minimieren. Wenn ich dann den Rechner Neustarte ist es egal ob ich Windows normal Starte oder ob ich wieder in den abgesicherten Modus mit der eingabeaufforderung gehe, der Admin benutzer erscheint nicht. :(

    Ich bitte um schnellstmögliche Hilfe, da ich ohne meinen pc beruflich sowie privat aufgeschmissen bin.

    Für eventuelle Rechtschreibfehler entschuldige ich mich gleich hier, aber mit dem smartphone ist das schreiben eher mühsam ;)

  80. Nik on 1. März 2012 at 17:43 said:

    Hallo liebes botfrei team.
    Ich habe mir scheinbar auch den Gema 2.0.1 eingefangen.
    ABER es scheint eine neue version zu sein!!!
    Ich benutze Windows 7 Ultimat x64.

    Der Gema Bot nennt sich in der Prozessor exe auch direkt GEMA. und unter %Appdata% ebenfalls Gema. Genau so schreibt er sich in der regestry als GEMA ein.

    da ich keine lust habe das System neu aufzusetzen versuche ich gerade diesen Trojaner los zu werden.

    Mfg
    Nik

  81. sledgehemmer on 1. März 2012 at 22:49 said:

    hatte das problem heut auch, nur hieß das teil bei mir einfach gema… die drei in der anleitung erwähnten namen gab es bei mir nicht… aber dasselbe problem… wie auch immer bin nicht so ganz klar gekommen, mit der anleitung… und am ende auch froh darüber… hab mir eine boot cd erstellt- kasperski rescue disc 10 über cd gebootet… nach 5 min war der spuk vorbei… aber danke trotzdem
    Gruß

  82. reich on 2. März 2012 at 11:20 said:

    Hallo ich stecke beim punkt 7 ich sehe keine exe dateien bitte helft mir dancke

  83. TagX on 3. März 2012 at 22:38 said:

    Hallo, ich abe das Problem das ich selbst im abgespeichertem Modus den gema virus habe wie komme ich noch da rein??

  84. enrico on 5. März 2012 at 22:40 said:

    Hallo,
    vielen Dank für eure Hilfe hier. Möchte mal anonym zurückgeben, hoffe das ist besser als … “nichts”. :-)
    -OS: Win 7 pro 64 bit
    -Bei mir es war genau der Screenshot vom GEMA/SUISA 2.01.
    -Alle Schritte wie oben auf dieser Seite abgearbeitet. Bis auf ALLES nachfolgende:
    -Es war bei mir der Ordner gema, der die Datei gema.exe enthielt, welcher -bisher- als einziger im Roaming-Ordner seltsam aussah und demzufolge die Sperrung verursachte.
    -Der Ordner gema war noch einmal unter c:\programdata.
    -Die Löschung der gema.exe war erfolgreich. Die Löschung des Ordners gema nicht, er wurde sofort neu generiert. Ohne Datei gema.exe dann aber. Etwas konfuzius für mich, aber ok, keine .exe-Datei mehr.
    -Also nochmal: Diesen Ordner gab es insgesamt 2 Mal auf meinem Rechner. Ich musste ihn also 2 Mal löschen.
    -Habe noch eine Suche der kompletten (nochmal: KOMPLETTEN) Registry nach ‘gema.exe’ gemacht, und mal nach ‘gema’. Erseres zeigte mir auch einen korrumpierten Schlüssen userinit.irgendwas. An die anderen Schlüsselnamen kann ich mich leider nicht mehr so genau erinnern.

    Vielen Dank nochmal!
    MfG

  85. enrico on 5. März 2012 at 22:41 said:

    Ähm, die endgültigen 2 Löschungen des leeren Ordner ‘gema’ erfolgte dann wieder bei laufendem Windows. Hab ich vergessen. :)

  86. Aly on 7. März 2012 at 16:20 said:

    Ich bedanke mich auch aber ich habe ein Problem mein Pc findet den Roaming nicht..Brauch ich dafür eine CD?
    Wäre sehr nett wenn mit Antwortet da ich schnell diesen Virus los bekommen will

    Im vorraus schonmal Danke :)

  87. Studi on 7. März 2012 at 20:21 said:

    Guten Abend

    Funktioniert diese Anleitung auch für den SUISA 2.03?
    oder existiert dazu ev. schon eine seperate anleitung oder Ähnliches?

    Gruss
    Studi

  88. Phil on 8. März 2012 at 17:42 said:

    Hallo,

    habe auch Probleme mit dem Virus.
    Habe alles probiert, habe 3 gema.exe dateien auf dem Rechner. Die Dateien lassen sich nicht löschen, bzw regenerieren sich nach ca 2 Sek wieder. Habe keine Chance.
    Was kann ich jetz tun?

    lg phil

    • Hallo Phil,

      gerne schauen sich unsere Experten das Problem genauer an. Bitte registriere Dich in unserem Support-Forum http://forum.botfrei.de und erstelle ein neues Thema unter Hilfe->”Windowssysteme”

      Grüße,
      CS, ABBZ

  89. Yannik on 10. März 2012 at 22:41 said:

    wenn ich im abgesicherten modus mit eingabehilfe hoch fahre(habe win 7) dann kommt der fehle rimme rnoch und es kommt kein cmd, was tun?

  90. Daniel on 14. März 2012 at 02:13 said:

    Vielen vielen dank ;)

    Selten so eine detaillierte und genaue Beschreibung gesehen.

    Spitze gemacht

  91. NiklasG on 16. März 2012 at 22:20 said:

    Hallo, bei mir scheitert die Lösung schon an Punkt 3! Direkt nachdem ich mich mit meinem Benutzerkonto angemeldet habe, erscheint schon der Bildschirm auf dem normalerweise der “GEMA-Virus” wäre. Jedoch steht dort jetzt “Dieses Programm kann die Webseite nicht anzeigen”.
    An der Tatsache, dass ich nichts machen kann ändert das aber leider nichts.
    Habt ihr einen Tipp für mich?

  92. Ich scheiter immer bei Punkt 7, anscheinend befindet sich keine der oben gelisteten Datein in meinem Verzeichnis. Ich benötige sehr dringend Hilfe.

  93. Bei mir hieß die Datei “gema.exe” und war unter “C:\Users\SirsiD\AppData\Roaming\gema\gema.exe” und “C:\ProgramData\gema\gema.exe” zu finden.

    Das ganze war relativ leicht durch Aufruf der Konsole (strg + r : CMD) mit dem Windowsboardtool “Taskkill” zu beenden (zum Glück hat die Fenstervorschau Win+Tab funktioniert).

  94. Quiksiick on 19. März 2012 at 15:22 said:

    Hei jungs , Ich bin bei punkt 4 und mache das mit = shutdown /1
    dann komm ich aber nicht zur benutzerwahl sondern aufeinmal kommt da ganz viel mit : e skonnten keine argumente gefunden werdne und so nen Käse :(

    Ich bitte um hilfe

  95. Glückskind on 19. März 2012 at 23:32 said:

    DANKE für diese Anleitung!!!
    Hat gut funktioniert.

    Bei war der Online Schutz von MS secuity essential deaktiviert und der Virenscanner hat auch nichts gefunden :-(

    War aber nur ein File (hw56suzjm.exe) zu finden.

    Rechner läuft wieder
    Gibt es einen Virenscanner der so etwas vorher schon blockt???

  96. Manuel on 20. März 2012 at 01:58 said:

    ich bedanke mich für die Anleitung
    ich war kurz davon den mist auch noch zubezahlen

    Mit freundlichen Grüßen

    Manuel

  97. fabian erlbacher on 20. März 2012 at 18:49 said:

    i kappir des ned
    isch jo sau schwer

  98. Martin on 20. März 2012 at 20:32 said:

    Habe bei punkt 8 del vergessen vorne reinzuschreiben… und nu???? =(

  99. Ebru on 20. März 2012 at 23:04 said:

    Ich komm bei nur 6.) nicht weiter !!! :s
    Ich verstehe nicht wo ich das eingeben soll ?!

  100. Ariane on 22. März 2012 at 01:20 said:

    Ich bin begeistert von der Beschreibung! Habe wirklich keine Ahnung von Computern. Habe so etwas noch nie gemacht und es hat geklappt und sogar Spaß gemacht!! Vielen dank!!!

  101. Lisa on 23. März 2012 at 18:04 said:

    Vielen Dank für die tolle Anleitung!

  102. Maike on 24. März 2012 at 19:01 said:

    Bleiben da durch Bilder,Videos,Musik und Dokumente erhalten ? Wenn es mit der systemwiederherstellung nicht funktioniert und ich es so mache wie hier beschrieben?

    Vielen Dank im Vorraus !

  103. bauer michaela on 26. März 2012 at 14:18 said:

    hallo,ich komme bei punkt 11 nicht weiter.wer kann mir helfen.lg

  104. Chris S. on 31. März 2012 at 17:56 said:

    Moin,
    habe mir dne heute auch eingefangen, dieser virus nervt mich einfach nur noch trotz malwarebytes hat er sich bei mir eingehängt… eure anleitung hat nicht gefunzt da bei punkt 8, 3 dateien angezeigt hat und zwr folgende: gema, . , ..
    mehr nicht… liesen sich auch nich löschen von daher anleitung leider auch zwecklos..

    Meine lösung : Internet leitung kappen -> abgesicherter modus (den normalen) malwarebytes laufen lassen -> neustart-> wieder heil!

  105. Hallo ich wurde zum Oper bei mir is das Problem schon bei punkt 2 es meldet sich an aber dan kommt Die Navigation zu der Webseite wurde abgebrochen.

    ich kann da auch nichts eingeben um punkt 3 weiter zu machen

  106. valen on 1. April 2012 at 23:53 said:

    habe selbes problem wie Chris S.,
    ich habe aber kein malwarebytes
    was kann ich tun ?

  107. steffen on 7. April 2012 at 10:03 said:

    So wie ihr es gezeigt habt geht es bei mir nicht ich habe genau diesen trojaner auf meinem Pc jedoch zeigt der sich auch im abgesicherten modus, in dem mit internet, in dem mit eingabeaufforderungen überall zeigt er sich, jedoch und das ist mir neu zeigt er im normalem abgesichertem modus und in dem mit eingabeaufforderungen dass diese WEBSEITE nicht angezeigt werden kann etwas dagegen kann ich auch nicht unternehmen sobald ich reingehe wird mein pc sofort gesperrt. (dazu muss ich sagen dass ich schon einen anderen trojaner vor ein paar tagen drauf hatte und diesen mit einem antimalware programm (Malwarebytes Anti-Malware9 los wurde, dieses programm es jedoch nicht schaffte den jetzigen trojaner zu entdecken). deswegen bitte ich dringend um hilfe da ich wichtige daten dadrauf gespeichert habe und ich sie mir wenigstens noch alle auf meine externe Festplatte kopieren will um dann windows neu raufzumachen.

  108. Nico on 7. April 2012 at 14:33 said:

    Hallo,
    komme bei Punkt 11 nicht weiter. ntuser.dat wird nicht gefunden. Oben steht auch nur Desktop und mein Benutzername kann ich nicht finden. Wie soll ich jetzt weitermachen?
    Wäre nett wenn ihr mir helfen könnt.

  109. Thana on 9. April 2012 at 17:55 said:

    klasse anleitung habe damit den GVU trojaner beseitigt und jetzt läuft alles wieder wie es sein sollte jedoch kann ich den admin modus nicht deaktivieren bekomme da ständig

    systemfehler 5 aufgetreten.

    Zugriff verweigert

    mfg Thana

  110. Thomas on 9. April 2012 at 18:46 said:

    hänge im punkt 6 fest. wenn ich dir eingebe kommt datei nicht gefunden. was kann ich tun

    • Hallo Thomas,

      es gibt inzwischen viele verschiedene Versionen des BKA-Trojaners, weshalb die Anleitung die zu 100% stimmen muss.

      In unserem Forum helfen wir dir gerne weiter. Bitte registrier dich unter http://forum.botfrei.de und erstell ein neues Thema in der Kategorie Hilfe -> Windows-Systeme.

  111. Stephan on 10. April 2012 at 15:05 said:

    Hallo,
    leider sind im Ordner “Roaming” keine verdächtigen .exe – Dateien zu finden.

  112. Stephan on 10. April 2012 at 16:32 said:

    Der Zugriff auf ntuser.dat wird mir wegen “unzureichender Berechtigungen” verweigert. Über eine Antwort, die nicht ausschließlich auf das Forum verweist, würde ich mich freuen :)
    Beste Grüße

    • Hallo Stephan,

      die Kommentarfunktion ist keine optimale Plattform um individuelle Hilfe leisten zu können.
      Im Forum geht dies wesentlich besser und übersichtlicher.

      MG, ABBZ

  113. Chris on 12. April 2012 at 13:12 said:

    Hallo Zusammen,
    ich habe das Problem bei Punkt 8. Ich habe keine .exe datei gefunden, sondern lediglich 2 zum datum passende Dateien mit dem Namen “.” und “..”. Ich konnte der Anleitung auch nicht herrausnehmen wie ich diese nun löschen kann. Ich würde mich sehr über weitere Tipps bzw. Hilfe freuen.
    Danke schonmal im Vorraus.
    vg Chris

  114. Paul on 12. April 2012 at 20:10 said:

    Bei mir kommt im Abgesicherten Modus keine Startleiste !

  115. Hallo,
    ich habe mir den Trojaner wieder gefangen nur auf den Admenstor ich wollte fragen wie man das denn wieder entfernen kann.
    Wäre sehr nett wenn ihr mit hilft OHNE das ich mich bei euch Anmelden muss!
    Ich bin Minderjährig!!!
    Also vielen Dank im Vorraus

    LG Aly

  116. schraubfuchs on 30. April 2012 at 21:54 said:

    Habe diesen Troj. ( 2.01 ) , allerdings blockiert er auch im abgesicherten Modus :-( , wie gehe ich am besten vor ? ? ? Ich kann zwar den task manager noch starten jedoch kommt dann sofort der fehler ( auch ohne WLAN – dann kein zugriff auf website fehler ) . Habe win 7 64 Bit auf lenovo lappi ……….. Hilfe ………… heul …………

  117. Safla on 10. Mai 2012 at 08:43 said:

    Hey,
    ich komme leider nicht weiter,selbst im abgesicherten Modus mit Eingabeaufforderung startet der Trojaner unter Win7 sofort! Und blockiert alles,was nun? Könnt ihr mir helfen?
    Danke

    • CS on 10. Mai 2012 at 12:03 said:

      Hallo,

      gerne helfen wir Dir weiter! Registriere Dich hierzu bitte in unserem Support-Forum und erstelle ein Thema unter “Hilfe” –> “Windows Systeme”!

      Grüße,
      CS, ABBZ

  118. anke on 30. Mai 2012 at 14:04 said:

    Hallo ich kann nach der Anleitung immer noch keinen Rechtsklick auf die Desktopsymbole machen.
    Die Exe hieß k8hOpp.exe

  119. fabian on 5. Juni 2012 at 19:59 said:

    ich finde bei schritt 7 keine einzige exe datei ,lediglich 2 komische txt dateien bitte um hilfe !!

    • fabian on 5. Juni 2012 at 20:25 said:

      ich bins nochmal und wollte bescheid geben ,habe windows 7 64bit home premium und finde im verzeichnis C:/Users/***/Appdata/Roaming
      4 verdächtige dateien , einmal . und einmal .. und zwei dateien bei denen kein [DIR] steht aber eine null vor den namen. sie heißen JFsyi.txt und VATNZ.txt. Aber wie schon gesagt keine einzige .exe datei, bitte um dringende hilfe !! :(

  120. FW on 7. Juni 2012 at 17:20 said:

    ich hab das problem das ich garkeine exe datei habe sonder 3 andere

    1. eine .txt.xdrl
    2. eine .res.ryyr
    und
    3. eine .png.fpln datei

    und wenn ich die datein eingebe sag er mir die findet er nicht was soll ich da machen ?

  121. Feind on 10. Juni 2012 at 14:24 said:

    Ein Problem habe ich :
    wenn ich diese ntuser.dat öffnen will steht da :
    ntuser.dat
    Die Datei wird verwendet
    Geben sie einen anderen Namen an oder schließen sie die Datei in dem Programm

  122. Hackerhasser on 13. Juni 2012 at 09:01 said:

    Ich versuch es schon den halben Tag mit eurer Anleitung,jedoch versteh ich nicht wie ich von meinem Administrator acc. zu der Roaming Datei meines anderen Kontos heran komme. :(

    Hoffe ihr könnt mir helfen.
    Danke im voraus

  123. burcu on 14. Juli 2012 at 03:38 said:

    Hallo,

    Ich habe keine .exe dateien gefunden sondern diese 2 komischen;
    - MobileToolAnyConnect.ini
    - wklnhst.dat welche ich auch gelöscht habe.

    Bei der Suche finde ich auch nichts. Im Forum kann ich mich auch nicht registrieren und brauche dringend Hilfe. Kann mir bitte jemand helfen :(((

    • Hallo burcu,

      Vorsichtig mit Löschen von Dateien, die du nicht kennst.
      Warum kannst du dich nicht im http://forum.botfrei.de anmelden? Dort werden dir Experten “Schritt für Schritt” bei der Lösung helfen.

      Gruß ABBZ.

      • burcu on 14. Juli 2012 at 18:12 said:

        Danke für deine Antwort. Ich weiss auch nicht weshalb ich mich nicht im Forum anmelden kann. Es kommt immer diese Fehlermeldung:

        Registration denied, this forum runs an active policy of not allowing spammers. Please contact us via the “Contact Us” page link if you believe this is in error.

        Wo ist “Contact US” ? :(((

  124. Raphaela Gonzales Garcia on 14. August 2012 at 11:48 said:

    Danke hat alles funktioniert…danke danke

  125. Dennis on 1. September 2012 at 17:01 said:

    Hallo,

    bei mir war es nur eine Datei namens 1.exe und einige Schritte konnte ich auch nicht so ausführen wie beschrieben. Letztendlich habe ich alle Dateien außer die “Shell” Datei gelöscht. Punk 17 und 18 waren bei mir auch nicht aufzufinden. Dennoch habe ich den Vorgang beendet und erstaunlicherweise ist mein Desktop wieder klar zu sehen und der Virus verschwunden. Bin eigentlich ein Computeramateur, aber mit dieser Hilfe gings echt super. Danke!

    • Hallo Dennis,

      super gemacht, wie man sieht führen viele Weg nach Rom…
      Um aber sicher zu sein, dass der eigentliche Trojaner nicht mehr auf dem Rechner ist, scanne ihn mit Malwarebytes und lese im Anschluß diesen Bericht.

      Gruß ABBZ

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Post Navigation