GEMA-Trojaner unter Windows Vista/7 entfernen
UPDATE vom 30. August 2012:
Bitte beachten Sie: Da es mittlerweile weitere Varianten dieses Schädlings gibt, möchten wir darauf hinweisen, dass diese Anleitung u.U. veraltet sein kann.
Wir raten daher dringend dazu, dass Sie sich zur Bereinigung an unsere Experten im Support-Forum unter http://forum.botfrei.de wenden. Diese werden Sie bei der Bereinigung Schritt-für-Schritt durch den Säuberungsprozess begleiten und im Bedarfsfalle neue, bisher unbekannte Varianten an unsere Partner aus der Anti-Viren-Industrie weiterleiten.
Der GEMA-Trojaner ist eine Abwandlung des bekannten BKA-Trojaners, allerdings einige Nummern härter als letzterer, weswegen auch die Bereinigung etwas länger ausfällt als unsere üblichen Anleitungen.
Hinweis: Versuchen Sie bitte als erstes die Systemwiederherstellung, da Ihnen dies viel Arbeit erspart, wenn sie ohne Probleme durchläuft!
1.) Starten Sie den Rechner neu und booten Sie mit Hilfe der F8-Taste in den “abgesicherten Modus mit Eingabeaufforderung”.
Die erweiterten Startoptionen von Windows 7
2.) Melden Sie sich mit Ihrem Benutzer an und geben Sie das Passwort ein.
Der Windows-Anmeldebildschirm
3.) Aktivieren Sie den Administrator unter Windows 7 mit dem Befehl:
net user administrator /active
Aktivierung des Administratoraccounts
4.) Loggen Sie sich wieder aus mit:
shutdown /l
5.) Jetzt sehen Sie wieder die Anmeldemaske mit dem “aktiviertem” Administrator-Account. Klicken Sie diesen nun an und melden sich am System an.
Die Anmeldeoberfläche mit aktivem Administrator-Account
6.) Jetzt befinden Sie sich im Ordner “c:\windows\system32“. Sie müssen nun in den Ordner “Roaming” unter Ihrem eigenen Benutzer wechseln. In unserem Beispiel heißt der Benutzer “analyst”. Jetzt geben Sie folgendes ein:
cd\
cd users
cd analyst (statt analyst schreiben Sie hier den Namen Ihres Benutzers!)
cd appdata
cd roaming
dir
Hinweis: Bitte achten Sie darauf, dass Sie an allen Punkten der Anleitung, in denen der User “analyst” auftaucht, diesen durch Ihren eigenen Anwender ersetzen!
7.) Sie sehen jetzt eine Auflistung der Dateien in diesem Ordner. Anhand des Datums und der Uhrzeit lassen sich jetzt drei Dateien herausfiltern. Bei unserer Version heißen die verdächtigen Dateien sx5u7frt55.exe, u5hr46sirtijyrt5.exe und dwlGina3.dll. Die letzte Datei ist erst später vom Schädling angelegt worden, deswegen hat sie eine Minute Unterschied.
8.) Schreiben Sie sich den Namen der beiden exe-Dateien auf, wenn diese von den hier genannten abweichen, und löschen Sie alle drei verdächtigen Dateien:
del sx5u7frt55.exe
del u5hr46sirtijyrt5.exe
del dwlGina3.dll
Die Dateien des Schädlings werden gelöscht
9.) Damit hätten Sie schon mal die schädlichen ausführbaren Dateien gelöscht. Jetzt müssen die fehlerhaften Einträge in der Registry beseitigt werden. Starten Sie dazu den Registry-Editor:
regedit
10.) Da sich auch schädliche Einträge unter dem eigenen Benutzer befinden, die wir aber als angemeldeter Administrator nicht sehen können, verwenden wir einen Trick um unseren Benutzer “analyst” mit zu editieren. Klicken Sie mit der linken Maustaste auf HKEY_USERS und markieren diesen Pfad.
Der Registry-Editor
11.) Starten Sie jetzt im Menü “Datei” den Menüpunkt “Struktur laden“. Wählen Sie nun die Datei “ntuser.dat” aus dem Benutzerverzeichnis des eigenen Users aus. In unserem Fall liegt diese in
“c:\users\analyst\ntuser.dat“.
Achtung: Die Datei ist normalerweise versteckt und nicht sichtbar, wenn die Option “Alle versteckten Dateien anzeigen” im Explorer bei Ihnen deaktiviert ist. Sollten Sie die Datei nicht sehen können, klicken Sie in den angegebenen Ordner und geben Sie unten im Fenster manuell “ntuser.dat”ein und klicken auf Öffnen. Damit können Sie diese Datei trotzdem öffnen.
Die “ntuser.dat” wird manuell eingegeben
12.) Jetzt fragt das System Sie nach einem Schlüsselnamen. Geben Sie hier den Namen des Benutzers ein und klicken auf “OK”.
Der Name des Benutzers wird als Schlüsselname eingefügt
13.) Der neue Pfad mit den Registryeinträgen des Benutzers erscheint nun unter HKEY_USERS mit dem zuvor ausgewählten Namen.
Der neu angelegte Schlüssel erscheint unter HKEY_USERS
14.) Klicken Sie mit der linken Maustaste auf den Benutzernamen und markieren Sie den Eintrag. Starten Sie die Suche über den Menüpunkt “Bearbeiten” – “Suchen…“. Geben Sie nun den ersten der beiden Dateien (sx5u7frt55.exe) aus Punkt 5 ein und lassen Sie die Registry danach durchsuchen. Löschen Sie alle gefundenen Einträge, bis auf die Schlüssel “Shell” in den Pfaden “Winlogon“!!! Diese ersetzen Sie bitte mit “explorer.exe“, wie in der Abbildung unten zu sehen. Für die zweite Datei (u5hr46sirtijyrt5.exe) verfahren Sie bitte genauso.
15.) Der erste Verweis (sx5u7frt55.exe) befindet sich in den folgenden Pfaden:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication
16.) Der zweite Verweis (u5hr46sirtijyrt5.exe) befindet sich in diesen Pfaden:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{xy}
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- HKEY_USERS\analyst\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_USERS\analyst\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Der SHELL-Eintrag muss auf “explorer.exe” geändert werden
17.) Jetzt müssen Sie noch verhindern, dass der Schädling den Taskmanager sperrt und den Aufruf der Registry unter dem Benutzer unterbindet. Löschen Sie dazu die beiden Einträge “DisableRegistryTools” und “DisableTaskMgr” im Pfad:
[HKEY_USERS\analyst\Software\Microsoft\Windows\CurrentVersion\Policies\System].
18.) Die Desktopsymbole werden durch den GEMA-Trojaner ausgeblendet. Zur Bereinigung löschen Sie den Eintrag “NoDesktop” im Pfad:
[HKEY_USERS\analyst\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer].
19.) Schließen Sie den Registry-Editor und geben Sie in die Eingabeaufforderung abschließend noch ein:
shutdown -r -t 00
20.) Nachdem Windows “normal” gestartet ist, sollte der GEMA-Trojaner verschwunden sein. Ihre Desktopsymbole können Sie nun wieder mit einem Rechtsklick auf den Desktop und dem Menüpunkt “Symbole anordnen nach” und “Desktopsymbole anzeigen” einblenden.
Desktopsymbole anzeigen
21.) Deaktivieren Sie nun noch den Administrator-Account in dem Sie die Eingabeaufforderung aufrufen und folgendes eingeben:
net user administrator /active:no
22.) Führen Sie zu Ihrer eigenen Sicherheit einen Komplettscan mit Malwarebytes durch und überprüfen Sie Ihr System nach Softwareupdates.
Hinweis: Sollten Sie noch Fragen haben oder Hilfe bei der Bereinigung benötigen, registrieren Sie sich kostenlos in unserem Support-Forum.
Besten Dank! Das Ärgernis ist wieder vom Rechner!
Als Hinweis: Auch auf meinem System waren ebenfalls zwei “.exe”-Dateien eingeschleust worden, eine wie oben beschrieben im Verzeichnis “roaming”, eine weitere in einem Unterverzeichnis von “roaming”. Beide Dateien (und auch der Name des Unterverzeichnisses) lassen sich recht einfach anhand des Datums und der wirren Buchstaben-Zeichen-Kombination identifizieren.
Ich komme leider bei Punkt 8.) nicht weiter: Ich habe lediglich eine dieser wirren .exe/dateien. Habe auch kein unterverzeichnis vom roaming. wüsste auch nicht wie man zu diesem kommt. der befehl regedit lässt sich auch nicht ausführen. kann mir jemand weiterhelfen?
Hallo johann t.,
für weitere Unterstützung lade ich dich in unser Forum ein.
MG
ABBZ
Hallo Johann t.:
ich scheiter leider an genau derselben Stelle als du (GEMA Trojaner). Wie hast du das Problem mit dem Befehl regedit gelöst?
Aus dem Forum werd ich leider nicht schlauer….
Hallo zusammen,
Ich haenge auch am punkt 8. Ich habe nur eine exe datei und die laest sich nicht loeschen.
Hallo Sven,
gerne helfen wir Dir weiter! Registriere Dich hierzu bitte in unserem Support-Forum unter http://forum.botfrei.de und erstelle einen Beitrag unter “Hilfe” –> “Windows Systeme”.
Grüße,
CS, ABBZ
Hallo, bei den Startaufrufe in der Registry unter:
(Schlüsselname in() geaendert)
HKEY_USERS\(S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-1000)\Software\Microsoft\Windows\CurrentVersion\Run\(Wert)
— und—
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\(Wert)
die folgenden Werte (Eintraege), im Abgesicherten Modus unter Win7, loeschen “renovator” und
“vcyudysfprvcdpc”
und im Explorer unter “C:\ProgramData\”
&
C:\Windows\system32\config\systemprofile\AppData\Roaming\Windows Desktop Search\{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}\
auch die zugehoerigen Dateien,
danach lies ich Windo(of)ws wieder neu starten und die restlichen Dateien des Gema Trojaners loeschen!
………………………geschuetzte Systemdateien sichtbar machen nicht vergessen………………..
>>> Datei-Explorer-Fenster oeffnen, links-oben uaf Organistiern > Layout > Hacken bei Menueleiste setzen
dann
>>> in der Menueleiste > Extras > Ordneroptionen > Ansicht > Hacken bei “Geschuetzte Systemdaten ausblenden” entfernen
und mit [OK] Fenster wieder schliessen
…………………………………………………………………………………………….
Name:
0.6129716687467751.exe
temp-1JQG07nRhBtWsjykcObVuGiK
temp-FYWL281t0cfve0zf1Znb9CVb
Ihfywity.exe
mvunogybwaeozeq
ousowyem.exe
pgdcksuo.exe
vcyudysf.exe
vhjrnvxm.exe
Danke hierfür. Unbedarften Usern empfehlen wir sich an unserer Support-Forum zu wenden: http://forum.botfrei.de … denn in der Registry rumfummeln, und das falsch machen, kann auch zum System-Absturz führen!
Grüße,
TK, ABBZ
Besten Dank! Der Miest ist wieder vom Rechner!
Habe es mit der Systemwiederherstllung hinbekommen.
Der Tip war Super!
Hallo Hermann,
vielen Dank für Dein Feedback. Wir würden uns freuen, wenn Du uns weiterempfiehlst. Folge uns bei Facebook: http://facebook.com/botfrei oder Twitter: http://twitter.com/botfrei !
Grüße,
TK, ABBZ
Hallo zusammen,
besten Dank für die Anleitung! Ich konnte damit den Trojaner auf meinem Vista-System entfernen! Ufff….
Ich hatte auch die Variante mit einem Unterordner. Zudem musste ich den Administartor aktivieren (wie oben beschrieben bei Windows 7) um die Registry öffnen zu können.
Viele Grüße
Andreas
Vielen, vielen Dank. Ich habe den ganzen Tag im Internet nach einer Lösung gesucht und hier bin ich endlich fündig geworden. Danke, danke, danke…..
Mein Problem war, dass ich den Schädling zwar über eine zweite Betriebssystempartition löschen könnte, dieser mir aber alle Zugangsrechte zum TaskManager, Regedit, Gruppenrichtlinien etc. sperrte, sobald ich mich wieder mit meinem Standardaccount einloggt hatte. Erst über die Admineinrichtung im abgesicherten Modus und anschließende Strukturladung meiner eigentlichen Reg-Datei habe ich nun wieder vollen Zugriff auf meinen PC. Tolle Arbeit. Macht weiter so! Und eines hat mich dieses gelehrt. Hatte mich bisher immer auf den Hardware Router verlassen und das System auf dem neusten Stand halten. Nun wird ein gutes gebührenpflichtiges Virenprogramm Pflicht. Aua macht schlauer. Danke nochmal
Hallo Andy,
danke für Deinen Erfahrungsbericht. Hast Du schon unsere Weihnachtsaktion gesehen? Hier kannst Du u.a. eine Avira Vollversion gewinnen:
http://blog.botfrei.de/2011/11/ja-ist-denn-schon-weihnachten-werde-botfrei-gewinne-ein-ipad-2/
Grüße,
TK, ABBZ
–
Folge uns auf Facebook: http://facebook.com/botfrei und bleibe informiert!
Danke sehr für eure detaillierte Anleitung!
Ohne die wäre ich bestimmt dazu gezwungen gewesen, neu zu installieren…
Gute Arbeit! Macht weiter so!
Hochachtungsvoll
Omar
Hallo Omar,
es freut mich sehr, dass wir Dir weiterhelfen konnten und würden uns freuen, wenn Du uns auf Facebook weiter begleitest:
http://facebook.com/botfrei !
Grüße,
TK, ABBZ
–
Nimm an unserer Weihnachtsaktion teil & sichere Dir Deine Chance auf ein iPad 2
Hallo,
habe mit dieser tollen Anleitung den GEMA Trojaner vom Laptop meiner Mutter entfernt. Sie hat Vista Home Premium.
Der Administrator ließ sich nicht aus ihrem Konto heraus deaktivieren. Also habe ich den abgesicherten Modus nochmal gestartet, den Admin acc deaktiviert und jetzt wird er beim Neustart immer noch angezeigt (auch wenn er jetzt ein Kennwort erfordert)
Hallo Glenn,
solltest Du noch Unterstützung benötigen, möchte ich Dich gerne in unser Support-Forum einladen: http://forum.botfrei.de! Wir helfen Dir dort gerne individuell weiter.
Grüße,
TK, ABBZ
–
Folge uns auf Facebook: http://facebook.com/botfrei
Eine sehr gelungene Erklärung. Für Anfänger auch zu bewältigen, funktioniert spitze!!!
Hatte zwar andere Dateinamen aber hat auch damit super geklappt. Danke
Hallo Sven,
danke für Deinen Erfolgsbericht.
Wir freuen uns sehr darüber, dass wir Dir weiterhelfen konnten!
Grüße,
TK, ABBZ
–
Folge uns auf Facebook & bleibe botfrei: http://facebook.com/botfrei
bei mir funktioniert das nicht direkt am anfang mit der F8 taste und dann komm ich garnicht weiter wenn das nicht funktioniert. konnt ihr mir helfen?
Hallo Melina,
um Dir diese Frage beantworten zu können, möchte ich Dich in unser Support-Forum einladen: http://forum.botfrei.de!
Grüße,
CG (ABBZ)
Hallo TK,
ist der Ablauf bei Win7 identisch ?
Antworte bitte direkt an meine Mailadresse, weil ich nicht weiß, wie ich Eure Antwort im Internet finden kann.
Besten Dank !
Manni
Hallo Manni,
der Ablauf ist für Windows 7 identisch! Solltest Du darüber hinaus Unterstützung benötigen, registriere Dich doch bitte kostenfrei in unserem Support-Forum: http://forum.botfrei.de
Grüße,
TK, ABBZ
super-lösung, Danke !!!
vor allem die Wiederherstellung der Desktopsymbole…
Gruß, Jupp
Hello,
All was working fine. After 15min going through tutorial the virus was removed.
Thank you guys…
Very good job.
catalin
Ich habe das alles ohne externen Admin gemacht, indem ich schneller war als der Trojaner und die .exe im Taskmanager geschlossen habe, bevor er startet.
danach einfach mit Taskmanager %appdata% öffnen, ganz nach unten scrollen und die 2 Dateien löschen, die da sind, gina.exe und die andere.
danach in der suche .exe eingeben und die 2 Dateien löschen, die von dem Zeitpunkt sind… Also bei mir gehts wieder
P.S.: Vielen Dank für die Hilfe
hilfe!!
bin total am verzweifeln!
ich kann die ntuser.dat nicht öffnen, weil die schon irgendwo geöffnet ist!!
Hallo Randi,
bitte registriere Dich in unserem kostenlosen Support-Forum unter http://forum.botfrei.de und erstelle dort einen eigenen Beitrag. Dort können wir Dir am einfachsten weiterhelfen.
Grüße,
CS,ABBZ
hallo,
es scheint alles zu Funktionieren bis auf schritt 11.) Starten Sie jetzt im Menü “Datei” den Menüpunkt “Struktur laden“. Wählen Sie nun die Datei “ntuser.dat” aus dem Benutzerverzeichnis des eigenen Users aus. In unserem Fall liegt diese in
“c:\users\analyst\ntuser.dat“.
Leider komme ich nicht mehr weiter weil mein Laptop diesen Datei “ntuser.dat” nicht finden.
ich bitte Sie um Hilfe.
mfg
kai
Hallo Kai-Yun,
bitte registriere Dich in unserem kostenlosen Support-Forum unter http://forum.botfrei.de und erstelle dort einen eigenen Beitrag. Dort können wir Dir am besten weiterhelfen.
Gruß ABBZ und frohe Weihnachten
Hi danke für eure Hilfe ich habe mir auch diesen blöden trojaner eingefangen bin dann aber schnell auf den taskmanager gegangen weil ich schon mal was von dem trojaner im radio gehört hab hab dann einfach alles was mir verdächtig vorkam beendet wie z.B. die explorer.exe danach ist natürlich der ganze rechner also der desktop abgeschmiert oder besser gesagt windows. hab dann den pc abgewürgt und dann wieder ganz normal gestartet leider kam dann wieder diese seite wo ich dass geld bezahlen soll hab dann irgentwelche sachen versucht zu beenden und windows auf windows neustarten gegangen. Da hatte ich dann glück und irgentwas hat gelaggt oder so und die seite wurde beendet aber der pc noch nicht runtergefahren. dann hat sich alles ganz normal aufgebaut alle symbole und sowas hab mir dann schnell mal avira gedownloadet und nen scan gemacht ohne erfolg pc ist neu gestartet und wieder dass gleiche seite baut sich auf und explorer exe beendet sich zu früh und ich gehe auf abbrechen und sie startet sich neu und alles ist wieder gut
hab dann antvir geupdatet und noch nen virenscan durch gefürht 3 stunden später 91!!! viren oder was da immer steht gefunden alle gelöscht neu gestartet aber wieder
versucht sich die seite aufzubauen dann kommt plötlich dieser ton von antivir für virus gefunden und antivir beendet die explorer exe und startet sie neu jetzt läuft wieder alle bis darauf dass sich minimierte programme oder ordner usw. sich nicht mehr an der taskleiste befinden sondern mitten auf dem desktop. hab dann jetzt nochmal den taskmanager geöffnet und mal geschaut was alles so geöffnet ist 4 mal die website http://62.75.235.20/ und zwar mit windows internet exploerer bei status steht wird ausgeführt beenden jedoch kann man keine der 4 websiten also im taskmanager und auch die iexplorer exe bei prozesse lässt sich nicht beenden und ist 4 mal geöffnet was. meine frage ist soll ich die oben genannten schritte ausführen oder gibt es da einen einfacheren weg weil ich ja alles öffnen kann und auch in windos drin bin???
Hallo Niklas,
bitte registriere Dich in unserem kostenlosen Support-Forum unter http://forum.botfrei.de und erstelle dort einen eigenen Beitrag. Dort können wir Dir am besten weiterhelfen.
Gruß ABBZ und frohe Weihnachten
achja was mir noch einfällt habe bei %appdata% oben im suchfeld .exe eingegeben und eine datei gefunden mit sehr vielen zahlen als name und gelöscht weil die ungefähr der zeitpunkt wo dass alles passiert ist war.
Hallo!
Mein problem liegt zuerst einmal darin, dass ich die beiden dateien im roaming garnicht finden kann. im registry kann ich die auch nicht um zu loeschen. Kann ich jetzt noch eine systemwiederherstellung anfangen bzw. wie geht das?
Ich wuerde mich sehr auf eine antwort freuen.
Mit freundlichen gruessen,
Elza
Hallo ekza,
gerne helfen wir Dir im Forum individuell weiter. Registriere Dich hierzu bitte unter: http://forum.botfrei.de und erstelle einen Thread in der Kategorie “Hilfe” –> “Windows Systeme”!
Gruß ABBZ
Hi,
habe auch das Problem mit dem Virus und komme bei Schritt 11 nicht weiter.
Die Datei ntuser.dat wird verwendet und ich kann sie nicht löschen.
Einen Thread im Forum habe ich schon erstellt:
http://forum.botfrei.de/showthread.php?307-GEMA-Virus-Bildschirm-bleibt-schwarz-Kein-Zugriff
LG
besho
Hallo Daniel,
gerne helfen wir Dir im Forum individuell weiter. Registriere Dich hierzu bitte unter: http://forum.botfrei.de und erstelle einen Thread in der Kategorie “Hilfe” –> “Windows Systeme”!
Gruß ABBZ
Hi TB,
das habe ich ja schon, leider hat es noch niemand geschafft, sich meinen Fall anzuschauen bzw. zu helfen.
LG
besho
Gibts eigentlich inzwischen Adressdaten vom Urheber? Ich würde mich gerne persönlich für die 30 Minuten verschwendete Zeit bedanken, die ich damit zubringen mußte, diesen Schwachsinn wieder aus dem System zu nehmen..
Eigentlich müßte man sich den Mist mal in ein virtuelles System installieren und die IP-Adressen des Empfänger-Servers ausfindig machen.
Hi Leute,
danke für die Hilfe!!!! Echt super gelaufen nur das ich irgendwie keine Desktopsymbole habe obwohl ich den Eintrag gelöscht habe.
Hi Snif,
gerne helfen wir Dir bei der Wiederherstellung der Desktop-Symbole weiter. Registriere Dich hierzu bitte unter http://forum.botfrei.de (unserem Hilfe-Forum) und erstelle einen Thread in der Kategorie “Hilfe” –> “Windows Systeme”!
Grüße,
TK, ABBZ
Hallo zusammen,
ich hätte auch eine Frage.
Bin leider nicht so bewandert in Sachen PC und hoffe ihr könnt mir weiterhelfen.
Wenn ich bhei Schritt 7) cd roaming eingebe sagt mir mein pc nur dass das system den angegebenen pfad nicht finden kann. Irgendwelche Tipps parat?
Vielen Dank im Vorraus
MFG
Mjack
Gerne möchten wir Dich in unser Support-Forum unter http://forum.botfrei.de einladen! Dort nehmen wir Dich gerne an die Hand und helfen Dir Deinen Rechner “zurückzuerobern”.
Grüße,
TK, ABBZ
Super Anleitung! Selbst ich als Laie konnte mein Laptop bereinigen.
Allerdings waren es bei mir folgende schädliche Dateien:
dwlGina3.dll
sbcvvhost_win86.exe
Vielen Dank!
Hallo Danni, Danke für die Info…
Gruß ABBZ
Hallo zusammen,
danke für die gute Anleitung.
Bei einem Freund von mir war es eine änliche Variante vom Gema 2.01
Die dll (dwlGina3.dll) war die Selbe aber die exe hat sich aber unterschieden.
sbcvvhost_win86.exe (gab nur eine)
Die Anleitung war dennoch erfolgreich.
Danke euch !!!!
Dicken Daumen nach oben
lg Klaus
Hallo Stefan,
Danke für die Info…
Gruß ABBZ
danke, hat alles genau so geklappt. Bei mir war es Gema mit der Datei
sbcvvhost_win86.exe. Die vorgehensweise ist aber die gleiche. Mache jetzt trotzdem nochmal eine Systemwiederherstellung.
Hallo Beck, die Entfernung ist nur ein kleiner Schritt den Rechner zu säubern und in Zukunft sauber zu halten. Der Rechner ist kompromittiert worden, es gilt heraus zu finden über welchen Weg…
Bitte lese mal diesen Blog:
http://blog.botfrei.de/2011/08/wie-mache-ich-mein-windows-sicher/
Gruß ABBZ
Herzlichen Dank für die sehr gute Anleitung zur Enfernung dieses Schwachsinns. Selbst mir als relativem Laien war es mit euerer Anleitung möglich, meinen PC wieder funktionsfähig zu machen. Dafür ein herzliches Danke schön. Augenblicklich läuft noch das Malwarebytes-Programm, während ich mich hier auf meinem Laptop bei euch bedanke.
Kann man diesen “Verbrechern” nicht das Handwerk legen??
Viele Grüße und einen guten virenfreien Rutsch ins neue Jahr
Gruß
Franz
Hallo Franz,
die Entfernung der Malware ist nur ein kleiner Schritt den Rechner zu säubern und in Zukunft sauber zu halten. Der Rechner ist kompromittiert worden, es gilt heraus zu finden über welchen Weg…
Bitte lese mal diesen Blog:
http://blog.botfrei.de/2011/08/wie-mache-ich-mein-windows-sicher/
Gruß ABBZ
Dank für die geile Lösung
Yeah, 2 Tage mit dem Problem rumgequält und mit dieser Anleitung einfach in 15 minuten gelöst
Happy
(Kleiner Nachtrag:
Ich bin bei folgender Zeile leicht ins grübeln gekommen:
–14.) Klicken Sie mit der linken Maustaste auf Computer –
Man kann nirgends auf “Computer” klicken sondern auf seinen Benutzernamen.)
Hallo Johnny, Danke für die Info…
Gruß ABBZ
Servus
ich komm an punkt acht net weiter und auf em forum weis ich net wo ich da lesen muss
kann mir bitte einer en tipp geben
gruß hilfe
Hallo David,
gerne helfen wir Dir in unserem Support-Forum unter (http://forum.botfrei.de) individuell und kostenfrei weiter! Hier im Blog ist es uns leider wg. mangelnder Übersicht leider nicht mgl.!
Gruß ABBZ
Vielen Dank für diese sehr ausführliche Hilfe! Dieser GEMA-Trojaner kann einem echt das Leben schwer machen, wenn man sich überhaupt nicht auskennt. Gott sei Dank gab es bei meinem Kollegen einen ähnlichen Zwischenfall und ich konnte rechtzeitig reagieren und den Trojaner entfernen! Danke nochmals für die Bereitstellung dieser Anleitung ^^.
Sehr gerne!
Grüße,
TK, ABBZ
Hallo
ich komme bei Punkt 11 nicht weiter
wenn ich den Dateiname suche wird dieser nicht gefunden
ich hoffe ihr könnt mir helfen
Gruß Marc
Hallo Marc,
bitte registrier dich in unserem kostenlosen Forum.
Wir helfen dir dort weiter. Wahrscheinlich findest du bereits eine Lösung dort.
Gruß
MG
ABBZ
Hab alles ausgeführt und ist auch Super gelaufen … Nur habe ich bei Punkt 20 einen komplett schwarzen bildschirm mit Maus die ich bewegen kann … Aber ich kann nichts klicken und Win-Taste funktioniert auch nicht … Was kann ich machen?
Hallo Cepi,
gerne helfen wir Dir in unserem Support-Forum kostenfrei weiter! Registriere Dich hierzu bitte einfach unter: http://forum.botfrei.de!
Grüße,
TK, ABBZ
Nachdem der erste Schock nach der Zahlungsaufforderung der vermeindl. GEMA an meinen Sohn(13) wieder abgeklungen war, konnten wir Dank dieser tollen Anleitung den Schaden schnell wieder beheben!
Auch bei ihm waren es nur zwei Dateien.
Vielen lieben Dank
Gruß Kiki
Einfach eine super Beschreibung…einfach Hammer…danke!
Gerne!
Grüße,
TK, ABBZ
Vielen Dank für die gute Anleitung… hat bestens Funktioniert
Sehr gerne!
Grüße,
TK, ABBZ
Wahnsinn!!!
Ich war schon am verzweifeln. Habe alles probiert alle möglichen Rettungs Boot Programme und die haben nichts geholfen.
Bis ich schließlich auf diese Anleitung gestoßen bin.
Alles gut erklärt und funktioniert hat es auch!
Besten Dank
Super Anleitung! Das hat hervorragend geklappt. Der Rechner meines Sohnes läuft jetzt wieder. Ganz herzlichen Dank für die sehr gut verständliche Anleitung!!!
hat super geklappt mit der Anleitung, vielen vielen Dank nochmal… war mit meinem Latein echt am Ende…
Hallo Icy, schön, dass es geklappt hat! Bei Problemen kannst Du Dich auch jederzeit an unser Support-Forum wenden. Gruß ABBZ
ich hatte auch den GEMA-Trojaner,
mit der Systemwiederherstellung hat es gut funktioniert.
Vielen Dank für die Hilfe
Hi
mein problem ist, dass ich, wenn ich regedit aus punkt 8 oder 9 aufmachen möchte, da steht, dass ich als angemeldeter administrator nicht das registry öffnen kann
würde mich über hilfe freuen
mit freundlichen grüßen
Kevin^^
Hallo Kevin,
bitte registriere dich in unserem Forum. http://forum.botfrei.de, dort werden Experten bei der Lösung helfen.
Gruß ABBZ
ich habe alles gemacht aber wenn ich mich anmelde ist der Bildschirm nur noch schwarz, kann aber den Taskmanager öffnen
.
Ich hatte auch nur EINE .exe dabei. könnte das daran liegen?
Hallo,
gerne helfen wir Dir individuell weiter! Registriere Dich hierzu bitte in unserem Support-Forum unter: http://forum.botfrei.de. Wir schauen uns das dann gerne mit Dir gemeinsam an!
Grüße,
Thorsten
VIELEN DANK… dank eurem Leitfaden habe ich mir das Aufsetzen und Ärger mit meiner Freundin erspart… ich werde den Artikel umgehend verbreiten denn ich denke es werden noch mehrere das Problem bekommen…
Nochmals vielen Dank und alles gute…
Protois
Hallo Protois,
wir freuen uns, dass wir dir helfen konnten. Du darfst gerne unsere Anleitung anderen Benutzern empfehlen
Gruß
MG,ABBZ
Hi Leute,
Mein Mitbewohner hat selbiges Problem mit dem GEMA-Trojaner.
Habe die Anleitung befolgt und bei Schritt 7 komme ich nicht weiter. Mir werden nur Verzeichnisse angezeigt, nicht aber irgendwelche Dateien.
Können diese auch in den Unterverzeichnissen von “Roaming” sitzen? Oder in einem ganz anderen Ordner?
Danke schonmal im Vorraus für eure Hilfe und euren Support =)
Hallo MIRroR,
melde dich bitte kostenfrei in unserem http://forum.botfrei.de an, dort werden Experten bei der Lösung helfen.
Gruß ABBZ
Hallo an alle,
hatte auch den GEMA-Trojaner und dank dieser Anleitung konnte ich ihn beseitigen, vielen Dank.
viele Grüsse Oli
Ps. Die Anleitung zur entfernung ist super beschrieben, auch für normal Nutzer mit dem zwei Finger such System wie mich
Hallo Oli,
Danke für deine Information, bitte schau dir noch diesen Beitrag an.
http://blog.botfrei.de/2011/07/wie-kann-ich-mein-system-in-zukunft-von-malware-frei-halten/
Gruß ABBZ
Bei mir sind von Anfang an überall Probleme gewesen. Hab eigentlich keine Ahnung von sowas und dann kommt dieser ****** Viren Screen. Finde das Forum, denke geile Anleitung und arbeite die mal ab.
erst hab ich keinen Zugriff auf den Benutzer Administrator,
das mit dem regedit hat nicht funktioniert und ab Schritt 12 funktioniert bei mir einfach gar nichts mehr.
p.S.: @ABBZ Warum stellst du deinen Guide rein, wenn du bei allen Fragen, die gestellt werden, immer nur schreibst: “registriere dich doch …. blablabla”
Beantworte die doch einfach hier!? -.-
ähm ….
was mich jetzt jedoch wundert ist, dass ich bei einem neuen Versuch, den PC normal hochzufahren keine Probleme mit dem Virus hatte o.O
Nur wüsste ich gerne, wie ich mir den Task-Manager wieder aktiviere…..
Danke im Voraus
Hallo Adlernath,
melde dich bitte kostenfrei in unserem http://forum.botfrei.de an, dort werden Experten bei der Lösung helfen.
Gruß ABBZ
Bei Schritt 6 komme ich nicht weiter.
Mein PC heißt Tim’s-Pc.
Er nimmt den Namen nicht an !
Nimmt er die Sonderzeiten nicht an und wenn wie kann ich den Namen halt ohne Systemsteuerung umbenennen ?
Bitte um schnelle Hilfe ! Danke
Hallo,
bitte poste Dein Problem in unserem Support Forum. Da können wir Dir helfen.
Grüsse,
RM, ABBZ
Folge uns: http://facebook.com/botfrei & http://gplus.to/botfrei
hallo bevor ich das angefangen habe , habe ich mir meinen desktop nochmal angeguckt und der war blau und jetzt komme ich bei punkt 7 nicht mehr weiter und mein desktop ist immer noch blau
Hallo lila,
bitte poste Dein Problem in unserem Support Forum unter http://forum.botfrei.de. Da können wir Dir helfen.
Grüsse,
MG, ABBZ
Folge uns: http://facebook.com/botfrei & http://gplus.to/botfrei
Hallo ich komme ab nr 7 nicht mehr weiter hab zwar die daten eingegeben aber da kommt nicht dieser verdächtige namen
Gerne helfen wir Dir weiter! Registriere Dich hierzu bitte in unserem kostenfreien Support-Forum unter: http://forum.botfrei.de!
Grüße,
TK, ABBZ
Na toll und warum kann ich im Forum nix posten ?
Hast Du Dein Benutzer-Konto schon aktiviert (Stichwort: Willkommens-E-Mail an Dein Postfach)? Wenn ja, dann musst Du einen neuen Thread unter “Hilfe” –> “Windows Systeme” erstellen. In bestehenden Threads können nur Moderatoren & Administratoren antworten!
Grüße,
TK, ABBZ
3. Punkt kommt gar nicht. Es kommt direkt “Dieses Programm kann die Webseite nicht anzeigen” Seite…
Hallo Kayser,
melde dich bitte kostenfrei in unserem forum.botfrei.de an, dort werden Experten weiterhelfen
Gruß ABBZ
Hallo zusammen,
ich war eben auch Opfer des GEMA Trojaners und nach dem Aussehen zu urteilen der Version 2.01. Die Systemwiederherstellung funktionierte einwandfrei. Danke für den Hinweis.
Nun meine Frage: Wenn die Systemwiederherstellung anstandslos funktionierte, ist der Trojaner dann entfernt? Oder muss ich der Anleitung noch weiter folgen?
Vielen Dank!
P.S. Bitte keine Antwort das ich im Forum vorbeischauen soll, das ist so eine einfache Frage
Hallo,
die Frage ist nicht wirklich einfach zu beantworten. Unter Umständen ist der Trojaner noch auf dem Rechner drauf, nur noch nicht aktiviert … Fakt ist aber: Dein System ist wieder in dem Zustand, wie es vor dem Auftauchen des Sperrbildschirmes ist … also: Angreifbar und mit Sicherheitslücken versehen.
Schau mal hier vorbei:
http://blog.botfrei.de/2011/12/malware-entfernt-was-nun/
Grüße,
TK, ABBZ
Hallo zusammen,
mein Problem ist, dass im Ordner Roaming weder die .exe-Dateien noch die .dll-Datei zu finden ist. Wohl aber ein Unterordner mit der Bezeichnung “gema”. In diesem Ordner befinden sich aber keine weiteren Dateien.
Was kann ich hier nun machen?
Danke schon mal im Voraus.
Ich habe das problem das bei dem Virus ( ich glaube es ist versoin 2.01) der abgesicherte Modus nichts bringt. Der Virus blockiert auch dort alles. Auch den Task Manager. Mache ich was falsch?
Gerne helfen wir Dir weiter, können das aber nicht hier im Blog machen! Registriere Dich bitte kostenfrei in unserem Support-Forum unter http://forum.botfrei.de und erstelle einen Thread in “Hilfe” –> “Windows Systeme”!
Grüße,
TK, ABBZ
Hallo,
ich war soeben auch Opfer eines Trojaners, leider ist es wohl eine neue Version.
Habe sie zumindest untern den Bildern nicht gefunden.
Mein Notebook läuft eigentlich normal weiter, und das Anti Vir Programm hat auch nichts gefunden, das heißt aber nichts oder?
Bin mir jetzt nicht sicher was ich machen soll
LG
Hallo Laura,
gerne helfen wir Dir in unserem Forum unter http://forum.botfrei.de weiter! Einfach kostenfrei registrieren und unter “Hilfe” –> “Windows Systeme” einen Beitrag erstellen.
Grüße,
TK, ABBZ
ich kommenach schritt 5 nicht weiter.. nachdem ich auf administrator geklickt habe, sehe ich dann wieder den schwarzen bildschirm von punkt 3. wie komme ich in den ordner roaming?
Hallo Sarah,
bitte poste das Problem in unserem Support-Forum.
Grüsse,
RM, ABBZ
Folge uns: http://facebook.com/botfrei & http://gplus.to/botfrei
Vielen ank für die hilfe
klappt aber auch anders z.B wenn man sein system bis vor dem Zeitpunkt zurückstzt
nachteil bis dahin wichtige updates sind verloren
Hi
ich hab eigentlich alles bis zum Punkt 6 geschafft aber wenn ich meinen Username eingeben soll erkennt der Computer ihn nicht. Ich hab auch schon mehrmals gechekt ob ich ihn wirklich richtig geschrieben hab etc. aber alles war korrekt. Hat jemand eine Idee was man da machen könnte?
lg Lukas
Hallo Lukas,
melde dich bitte in unserem kostenfreien forum.botfrei.de an, dort werden Experten helfen.
Gruß ABBZ
Neue Datainame von Trojaner 6ekjsr5e.exe
Hoffe ihr könnt mir weiter helfen. Bei mir werden die drei Dateien sx5u7frt55.exe, u5hr46sirtijyrt5.exe und dwlGina3.dll. nicht angezeigt. Und so mit komme ich nicht weiter.
Gruß Kelly
Hallo Kelly,
melde dich bitte in unserem kostenfreien http://forum.botfrei.de an, dort werden Experten helfen.
Gruß ABBZ
tausend dank, hat super funktioniert, hatte allerdings auch nur eine exe datei.
werde mich ersteinmal bei macaffee beschweren, denke die hätten ihn nmelden müssen.
liebe grüße
dietmar
Hallo liebe IT-Genies!
Besuche gerade meine Mama und bin mit ihrem brandneuen Computer ins Internet gegangen… und ZACK kam dieser ärgerliche Gema-Schei….
geschafft, den Trojaner loszuwerden.
Ich war total verzweifelt und hab schon befürchtet enterbt zu werden.
Zum Glück hatte ich mein Smartphone da und zu meinem noch grösseren Glück bin ich auf diese Seite gestossen.
Obwohl ich keine Computer-Leuchte bin, habe ich dank dieser verständlichen Erläuterung und vorallem dank den Bildern
Das Einzige was nicht geklappt hat war, dass man im Benutzerkonto nicht den Befehl “regedit” ausführen konnte und deshalb in das Administrator-Konto wechseln musste um den Editor öffnen zu können.
Aber egal: Das Wochenende bei meiner Mama ist gerettet!!!
Liebe Grüsse
Nina
Hallo Nina,
auch wenn Du den Gema-Sperrbildschirm nicht mehr siehst, solltest Du noch ein paar Schritte machen, um Deinen Rechner abzusichern:
http://blog.botfrei.de/2011/12/malware-entfernt-was-nun/
Ganz wichtig sind die Updates:
http://www.mozilla.org/de/plugincheck/
http://blog.botfrei.de/2011/06/ist-ihr-system-aktuell-hier-konnen-sie-ihren-windows-rechner-testen/
Grüße,
TK, ABBZ
war alles soweit gut erklärt, hatte allerdings nur eine trojanerdatei jj65sirug4.exe. mein problem ist jetzt jedoch ein schwarzer desktop ohne symbole und taskleiste. nur mauszeiger und taskmanager funktionieren.
jemand eine idee?
Gerne helfen wir Dir weiter! Registriere Dich hierzu bitte in unserem kostenfreien Support-Forum unter: http://forum.botfrei.de und erstelle einen Thread unter “Hilfe” –> “Windows Systeme”!
Grüße,
TK, ABBZ
vielen dank eine riesen hilfe und eine super beschreibung
Hallo masey,
auch wenn Du den Gema-Sperrbildschirm nicht mehr siehst, solltest Du noch ein paar Schritte machen, um Deinen Rechner abzusichern:
http://blog.botfrei.de/2011/12/malware-entfernt-was-nun/
Ganz wichtig sind die Updates:
http://www.mozilla.org/de/plugincheck/
http://blog.botfrei.de/2011/06/ist-ihr-system-aktuell-hier-konnen-sie-ihren-windows-rechner-testen/
Grüße,
TK, ABBZ
ich finde bei Punkt 11 die ntusers.dat nicht…auch nicht, wenn ich unten über öffnen ntusers.dat eingebe..ich nutze vista
unter c finde ich lediglich einen Ordner (Benutzer), aber da scheint sie nicht drin zu sein…
Kann jemand helfen?
Danke
Gerne helfen wir Dir individuell weiter! Registriere Dich hierzu bitte in unserem Support-Forum unter http://forum.botfrei.de! Es ist hier im Blog etwas unübersichtlich für uns, aufgrund der sehr vielen Anfragen!
Grüße,
TK, ABBZ
Also bei meinen pc klappt es nicht da wo man sein user eingeben muss klappt es einfach nicht bitte hilft mir
Gerne helfen wir Dir individuell weiter! Registriere Dich hierzu in unserem Support-Forum unter: http://forum.botfrei.de! Dort helfen Dir Malware-Spezialisten gerne bei der Beseitigung des Problems weiter!
Grüße,
TK, ABBZ
Danke schön
Ich habe da mal eine Frage:
Wir hatten auf dem Pc schon 2 Benutzerkonten. Das eine Benutzerkonto (Standartbenutzer) war gesperrt, und das andere Konto (Administrator) konnte ohne Probleme geöffnet werden. Dann haben wir das Standartkonto gelöscht über den Administrator und haben danach wieder ein neues Konto eröffnet. Meine Frage wäre nun ob die Gemasperre wieder kommt oder aufgehoben wurde?
Hast Du Deinen Rechner geupdated? Schau mal hier vorbei:
http://blog.botfrei.de/2011/12/malware-entfernt-was-nun/
Grüße,
TK, ABBZ
leider funktioniert es bei mir nicht ich komme bis zu dem Schritt 6 und dann geht es nicht mehr so weiter, zumindest nicht so wie es hier steht!?
und bei mir wird der Punkt 2 uebersprungen und bei Punkt 5 kann ich den Administrator gar nicht angezeigt sonder nur der analyst bzw. ich
Hallo Botnet-Team,
erstmal danke für diese außergewöhnlich tolle Anleitung!
habe nur ein problem bei 8.) , wie kann ich diese .exe datei löschen, was muss ich dafür eingeben? oben steht nur etwas von “datei löschen”
Gerne helfen wir Dir in unserem Support-Forum weiter: http://forum.botfrei.de
Grüße,
TK, ABBZ
Ich habe mir heute auch den Virus eingefangen und ihn auch mit der Systemwiederherstellung ganz schnell weg bekommen.
Ist mein Computer jetzt immer noch gefährtet und sollte ich den Virus wie in der Anleitung entfernen oder kann ich jetzt ohne weiteres einfach normal weitermachen?
Hallo Laura, es gibt so einige Dinge die du beachten solltest. Zum einen muss dein Computer durchleuchtet werden. Hier ist zu klären, ob und welche Sicherheitslücken bei dir vorhanden sind. Weiterhin können trotz einer Systemwiederherstellung Reste des Schadcodes noch auf dem Computer vorhanden sein. Am besten du registrierst dich in unserem Forum und erstellst einen eigenen Beitrag. Unsere Experten und die Community werden dir dann weiter helfen. Unser Forum erreichst du unter http://forum.botfrei.de
MG, ABBZ
Okay.
Danke für die schnelle Antwort!
Hallo bitte hilft mir bei mir steht da nix mit dem gina und die anderen datein bitte
Hallo connor,
registrier dich kostenfrei in unserem Support-Forum unter http://forum.botfrei.de
Wir werden dir dort weite helfen.
MG,ABBZ
Besten Dank für die Hilfe:) Hat alles Super funktioniert
))
Hallo
Danke, danke
hat super funktioniert, allerdings habe ich nur eine Datei zum löschen gefunden, aber bissher noch keine weiteren Fehler gehabt. Gleich mal Vierenscanner, dann müsste alles klar sein.
Gruß
Jakob
Hallo Jakob,
scanne deinen Rechner mit Malwarebytes und lese anschließend diesen Beitrag.
http://blog.botfrei.de/2011/07/wie-kann-ich-mein-system-in-zukunft-von-malware-frei-halten/
Gruß ABBZ
Danke für diese Anleitung. So habe ich meinen Laptop wiederbekommen und keine Daten verloren
! SUPER!!
Hallo Frau Seifert,
bitte lesen Sie im Anschluss noch folgenden Artikel.
http://blog.botfrei.de/2011/07/wie-kann-ich-mein-system-in-zukunft-von-malware-frei-halten/
Gruß ABBZ
You saved my day!
Danke vielmals.
Toller Service.
Besten Dank für Die SUPER Anleitung !
Habe soeben mein System wieder sauber bekommen.
Hatte eine Neuere Variante von diesen Mistding mir eingefangen.
mfg
AT3TB
Hallo AT3TB,
danke für die Information, lese im Anschluss diesen Bericht.
http://blog.botfrei.de/2011/07/wie-kann-ich-mein-system-in-zukunft-von-malware-frei-halten/
Gruß ABBZ
Hallo Zusammen,
Ich habe mir leider irgendwie den GEMA Virus eingefangen und habe jetzt sehr große schwierigkeiten diesen wieder von meinen Rechner zu löschen.
Meine Erachtens habe ich die Virus-Version 2.01. Folglich habe ich dann die von euch gestellte Beseitigungsanleitung befolgt doch komme leider nicht vorran. Ich komme zwar in den abgesicherten Modus mit eingabeaufforderung und kann auch den Befehl zum aktivieren des Administrator Kontos erfolgreich eingeben doch nach dem shutdown Befehl erscheint dann statt dem beschriebenen Anmeldebildshirm mit dem Admin Konto nur ein Browerfenster das keine Verbindung zum Internet hat. Dieses ist genauso wiederstandsfähig wie das Virusfensfer und lässt sich Weder schließen noch minimieren. Wenn ich dann den Rechner Neustarte ist es egal ob ich Windows normal Starte oder ob ich wieder in den abgesicherten Modus mit der eingabeaufforderung gehe, der Admin benutzer erscheint nicht.
Ich bitte um schnellstmögliche Hilfe, da ich ohne meinen pc beruflich sowie privat aufgeschmissen bin.
Für eventuelle Rechtschreibfehler entschuldige ich mich gleich hier, aber mit dem smartphone ist das schreiben eher mühsam
Hallo Janosch,
bitte melde dich in unserem kostenfreien http://forum.botfrei.de an, dort werden Experten helfen.
Gruß ABBZ
Hallo liebes botfrei team.
Ich habe mir scheinbar auch den Gema 2.0.1 eingefangen.
ABER es scheint eine neue version zu sein!!!
Ich benutze Windows 7 Ultimat x64.
Der Gema Bot nennt sich in der Prozessor exe auch direkt GEMA. und unter %Appdata% ebenfalls Gema. Genau so schreibt er sich in der regestry als GEMA ein.
da ich keine lust habe das System neu aufzusetzen versuche ich gerade diesen Trojaner los zu werden.
Mfg
Nik
Hallo Nik,
bitte melde dich in unserem kostenfreien http://forum.botfrei.de an, dort werden Experten helfen.
Gruß ABBZ
hatte das problem heut auch, nur hieß das teil bei mir einfach gema… die drei in der anleitung erwähnten namen gab es bei mir nicht… aber dasselbe problem… wie auch immer bin nicht so ganz klar gekommen, mit der anleitung… und am ende auch froh darüber… hab mir eine boot cd erstellt- kasperski rescue disc 10 über cd gebootet… nach 5 min war der spuk vorbei… aber danke trotzdem
Gruß
Hallo sledgehemmer,
danke für deine Information, bitte lese im Anschluss folgenden Beitrag.
http://blog.botfrei.de/2011/07/wie-kann-ich-mein-system-in-zukunft-von-malware-frei-halten/
Gruß ABBZ
Hallo ich stecke beim punkt 7 ich sehe keine exe dateien bitte helft mir dancke
Hallo reich,
bitte melde dich kostenfrei in unserem http://forum.botfrei.de an, dort werden Experten weiter helfen.
Gruß ABBZ
Hallo, ich abe das Problem das ich selbst im abgespeichertem Modus den gema virus habe wie komme ich noch da rein??
Gerne helfen wir Dir im Forum zu botfrei.de weiter. Registriere Dich hierzu bitte unter http://forum.botfrei.de und erstelle einen Beitrag unter “Hilfe” –> “Windows Systeme”!
Grüße,
TK, ABBZ
Hallo,
vielen Dank für eure Hilfe hier. Möchte mal anonym zurückgeben, hoffe das ist besser als … “nichts”.
-OS: Win 7 pro 64 bit
-Bei mir es war genau der Screenshot vom GEMA/SUISA 2.01.
-Alle Schritte wie oben auf dieser Seite abgearbeitet. Bis auf ALLES nachfolgende:
-Es war bei mir der Ordner gema, der die Datei gema.exe enthielt, welcher -bisher- als einziger im Roaming-Ordner seltsam aussah und demzufolge die Sperrung verursachte.
-Der Ordner gema war noch einmal unter c:\programdata.
-Die Löschung der gema.exe war erfolgreich. Die Löschung des Ordners gema nicht, er wurde sofort neu generiert. Ohne Datei gema.exe dann aber. Etwas konfuzius für mich, aber ok, keine .exe-Datei mehr.
-Also nochmal: Diesen Ordner gab es insgesamt 2 Mal auf meinem Rechner. Ich musste ihn also 2 Mal löschen.
-Habe noch eine Suche der kompletten (nochmal: KOMPLETTEN) Registry nach ‘gema.exe’ gemacht, und mal nach ‘gema’. Erseres zeigte mir auch einen korrumpierten Schlüssen userinit.irgendwas. An die anderen Schlüsselnamen kann ich mich leider nicht mehr so genau erinnern.
Vielen Dank nochmal!
MfG
Hallo enrico,
danke für deine Informationen, bitte lese noch diesen Bericht
http://blog.botfrei.de/2011/07/wie-kann-ich-mein-system-in-zukunft-von-malware-frei-halten/
Gruß ABBZ
Ähm, die endgültigen 2 Löschungen des leeren Ordner ‘gema’ erfolgte dann wieder bei laufendem Windows. Hab ich vergessen.
Ich bedanke mich auch aber ich habe ein Problem mein Pc findet den Roaming nicht..Brauch ich dafür eine CD?
Wäre sehr nett wenn mit Antwortet da ich schnell diesen Virus los bekommen will
Im vorraus schonmal Danke
Hallo Aly,
bitte melde dich in unserem unter http://forum.botfrei.de, wir werden dir dann gerne weiter helfen.
MG,
ABBZ
Guten Abend
Funktioniert diese Anleitung auch für den SUISA 2.03?
oder existiert dazu ev. schon eine seperate anleitung oder Ähnliches?
Gruss
Studi
Hallo Studi,
um dir helfen zu können, melde dich bitte in unserem kostenfreien http://forum.botfrei.de an.
Gruß ABBZ
Hallo,
habe auch Probleme mit dem Virus.
Habe alles probiert, habe 3 gema.exe dateien auf dem Rechner. Die Dateien lassen sich nicht löschen, bzw regenerieren sich nach ca 2 Sek wieder. Habe keine Chance.
Was kann ich jetz tun?
lg phil
Hallo Phil,
gerne schauen sich unsere Experten das Problem genauer an. Bitte registriere Dich in unserem Support-Forum http://forum.botfrei.de und erstelle ein neues Thema unter Hilfe->”Windowssysteme”
Grüße,
CS, ABBZ
wenn ich im abgesicherten modus mit eingabehilfe hoch fahre(habe win 7) dann kommt der fehle rimme rnoch und es kommt kein cmd, was tun?
Hallo Yannuk,
leider können wir hier im Blog keinen Support leisten, bitte melde dich in unserem http://forum.botfrei.de an, dort werden wir helfen.
Gruß ABBZ
Vielen vielen dank
Selten so eine detaillierte und genaue Beschreibung gesehen.
Spitze gemacht
Danke. Bitte schaue nun auch noch hier vorbei:
http://blog.botfrei.de/2011/12/malware-entfernt-was-nun/
Grüße,
TK, ABBZ
Hallo, bei mir scheitert die Lösung schon an Punkt 3! Direkt nachdem ich mich mit meinem Benutzerkonto angemeldet habe, erscheint schon der Bildschirm auf dem normalerweise der “GEMA-Virus” wäre. Jedoch steht dort jetzt “Dieses Programm kann die Webseite nicht anzeigen”.
An der Tatsache, dass ich nichts machen kann ändert das aber leider nichts.
Habt ihr einen Tipp für mich?
Hallo NiklasG,
bitte melde dich kostenfrei in unserem http://forum.botfrei.de an, dort werden Experten helfen.
Gruß ABBZ
Ich scheiter immer bei Punkt 7, anscheinend befindet sich keine der oben gelisteten Datein in meinem Verzeichnis. Ich benötige sehr dringend Hilfe.
Hallo DBG,
bitte melde dich kostenfrei in unserem http://forum.botfrei.de an, dort werden Experten helfen.
Gruß ABBZ
Bei mir hieß die Datei “gema.exe” und war unter “C:\Users\SirsiD\AppData\Roaming\gema\gema.exe” und “C:\ProgramData\gema\gema.exe” zu finden.
Das ganze war relativ leicht durch Aufruf der Konsole (strg + r : CMD) mit dem Windowsboardtool “Taskkill” zu beenden (zum Glück hat die Fenstervorschau Win+Tab funktioniert).
Hei jungs , Ich bin bei punkt 4 und mache das mit = shutdown /1
dann komm ich aber nicht zur benutzerwahl sondern aufeinmal kommt da ganz viel mit : e skonnten keine argumente gefunden werdne und so nen Käse
Ich bitte um hilfe
Gerne helfen wir Dir weiter! Registriere Dich hierzu bitte in unserem Support-Forum unter http://forum.botfrei.de und erstelle einen Thread unter “Hilfe” –> “Windows Systeme”
Grüße,
TK, ABBZ
guten tag der befehl lautet = shutdown /L
DANKE für diese Anleitung!!!
Hat gut funktioniert.
Bei war der Online Schutz von MS secuity essential deaktiviert und der Virenscanner hat auch nichts gefunden
War aber nur ein File (hw56suzjm.exe) zu finden.
Rechner läuft wieder
Gibt es einen Virenscanner der so etwas vorher schon blockt???
Hallo Glückskind,
schön, dass Du Deinen Rechner nun wieder frei von diesem Dingen hast. Wichtig ist nun, dass Du Nachsorge betreibst:
http://blog.botfrei.de/2011/12/malware-entfernt-was-nun/
Bzgl. Deiner Frage: “Gibt es einen Virenscanner der so etwas vorher schon blockt???”
Sofern Du FireFox benutzt, möchte ich Dir NoScript ans Herz legen:
http://blog.botfrei.de/2011/07/noscript-zusatzlicher-schutz-fur-firefox/
Grüße,
TK, ABBZ
Hallo Glückskind,
Je nach Aktualität der Malware kann es schon etwas dauern bis die Antivirenlösungen nachziehen. Lese aber mal den Artikel, wie du deinen Rechner zukünftig absichern kannst.
http://blog.botfrei.de/2011/07/wie-kann-ich-mein-system-in-zukunft-von-malware-frei-halten/
Gruß ABBZ
ich bedanke mich für die Anleitung
ich war kurz davon den mist auch noch zubezahlen
Mit freundlichen Grüßen
Manuel
Hallo Manuel,
schön, dass Du Deinen Rechner nun wieder frei von diesem Dingen hast und nicht auf den Trick reingefallen bist.
Wichtig ist nun, dass Du Nachsorge betreibst:
http://blog.botfrei.de/2011/12/malware-entfernt-was-nun/
Grüße,
TK, ABBZ
P.S.: Bleibe auf dem Laufenden und folge uns auf Facebook: http://facebook.com/botfrei
i kappir des ned
isch jo sau schwer
Hallo Fabian,
kein Problem, wir können hier im Blog leider keinen Support leisten, melde dich bitte kostenfrei in unserem http://forum.botfrei.de an, dort werden Experten helfen.
Gruß ABBZ
Habe bei punkt 8 del vergessen vorne reinzuschreiben… und nu???? =(
Hallo Martin,
wir können hier im Blog leider keinen Support leisten, melde dich bitte kostenfrei in unserem http://forum.botfrei.de an, dort werden Experten helfen.
Gruß ABBZ
Ich komm bei nur 6.) nicht weiter !!! :s
Ich verstehe nicht wo ich das eingeben soll ?!
Hallo Ebru,
wir können hier im Blog leider keinen Support leisten, melde dich bitte kostenfrei in unserem http://forum.botfrei.de an, dort werden Experten helfen.
Gruß ABBZ
Ich bin begeistert von der Beschreibung! Habe wirklich keine Ahnung von Computern. Habe so etwas noch nie gemacht und es hat geklappt und sogar Spaß gemacht!! Vielen dank!!!
Hallo Ariane,
danke das für das Lob, bitte lese im Anschluss diesen Artikel, wie du in Zukunft deinen Rechner sicherer machen kannst.
http://blog.botfrei.de/2011/07/wie-kann-ich-mein-system-in-zukunft-von-malware-frei-halten/
Gruß ABBZ
Vielen Dank für die tolle Anleitung!
Hallo Lisa,
bitte nun noch hier Nachsorge treffen:
http://blog.botfrei.de/2011/12/malware-entfernt-was-nun/
Grüße,
TK, ABBZ
Bleiben da durch Bilder,Videos,Musik und Dokumente erhalten ? Wenn es mit der systemwiederherstellung nicht funktioniert und ich es so mache wie hier beschrieben?
Vielen Dank im Vorraus !
Hallo Maike,
in der Regel ja. Mache zur Sicherheit eine Sicherung deine persönlichen Daten mit Parted Magic.#
MG ABBZ
hallo,ich komme bei punkt 11 nicht weiter.wer kann mir helfen.lg
Hallo bauer michaela,
du kannst in unserem Forum unter http://forum.botfrei.de ein neues Thema erstellen. Wir helfen dir dann weiter.
MG ABBZ
Moin,
habe mir dne heute auch eingefangen, dieser virus nervt mich einfach nur noch trotz malwarebytes hat er sich bei mir eingehängt… eure anleitung hat nicht gefunzt da bei punkt 8, 3 dateien angezeigt hat und zwr folgende: gema, . , ..
mehr nicht… liesen sich auch nich löschen von daher anleitung leider auch zwecklos..
Meine lösung : Internet leitung kappen -> abgesicherter modus (den normalen) malwarebytes laufen lassen -> neustart-> wieder heil!
Danke für Deinen Erfahrungsbericht. Bitte auf jeden Fall nun hier weiter machen:
http://blog.botfrei.de/2011/12/malware-entfernt-was-nun/
Grüße,
TK, ABBZ
Hallo ich wurde zum Oper bei mir is das Problem schon bei punkt 2 es meldet sich an aber dan kommt Die Navigation zu der Webseite wurde abgebrochen.
ich kann da auch nichts eingeben um punkt 3 weiter zu machen
habe selbes problem wie Chris S.,
ich habe aber kein malwarebytes
was kann ich tun ?
Hallo valen,
registrier dich in unserem Forum unter http://forum.botfrei.de und erstell ein neues Thema unter Hilfe -> Windows-Systeme.
MG
So wie ihr es gezeigt habt geht es bei mir nicht ich habe genau diesen trojaner auf meinem Pc jedoch zeigt der sich auch im abgesicherten modus, in dem mit internet, in dem mit eingabeaufforderungen überall zeigt er sich, jedoch und das ist mir neu zeigt er im normalem abgesichertem modus und in dem mit eingabeaufforderungen dass diese WEBSEITE nicht angezeigt werden kann etwas dagegen kann ich auch nicht unternehmen sobald ich reingehe wird mein pc sofort gesperrt. (dazu muss ich sagen dass ich schon einen anderen trojaner vor ein paar tagen drauf hatte und diesen mit einem antimalware programm (Malwarebytes Anti-Malware9 los wurde, dieses programm es jedoch nicht schaffte den jetzigen trojaner zu entdecken). deswegen bitte ich dringend um hilfe da ich wichtige daten dadrauf gespeichert habe und ich sie mir wenigstens noch alle auf meine externe Festplatte kopieren will um dann windows neu raufzumachen.
Hallo,
komme bei Punkt 11 nicht weiter. ntuser.dat wird nicht gefunden. Oben steht auch nur Desktop und mein Benutzername kann ich nicht finden. Wie soll ich jetzt weitermachen?
Wäre nett wenn ihr mir helfen könnt.
Gerne helfen wir Dir individuell in unserem Forum unter http://forum.botfrei.de weiter! Hier ist uns dies aus Übersichtsgründen leider nicht mgl.!
Grüße,
TK, ABBZ
klasse anleitung habe damit den GVU trojaner beseitigt und jetzt läuft alles wieder wie es sein sollte jedoch kann ich den admin modus nicht deaktivieren bekomme da ständig
systemfehler 5 aufgetreten.
Zugriff verweigert
mfg Thana
Hallo Thana,
In unserem Forum helfen wir dir gerne weiter. Bitte registrier dich unter http://forum.botfrei.de und erstell ein neues Thema in der Kategorie Hilfe -> Windows-Systeme.
MG, ABBZ
hänge im punkt 6 fest. wenn ich dir eingebe kommt datei nicht gefunden. was kann ich tun
Hallo Thomas,
es gibt inzwischen viele verschiedene Versionen des BKA-Trojaners, weshalb die Anleitung die zu 100% stimmen muss.
In unserem Forum helfen wir dir gerne weiter. Bitte registrier dich unter http://forum.botfrei.de und erstell ein neues Thema in der Kategorie Hilfe -> Windows-Systeme.
Hallo,
leider sind im Ordner “Roaming” keine verdächtigen .exe – Dateien zu finden.
Der Zugriff auf ntuser.dat wird mir wegen “unzureichender Berechtigungen” verweigert. Über eine Antwort, die nicht ausschließlich auf das Forum verweist, würde ich mich freuen
Beste Grüße
Hallo Stephan,
die Kommentarfunktion ist keine optimale Plattform um individuelle Hilfe leisten zu können.
Im Forum geht dies wesentlich besser und übersichtlicher.
MG, ABBZ
Hallo Zusammen,
ich habe das Problem bei Punkt 8. Ich habe keine .exe datei gefunden, sondern lediglich 2 zum datum passende Dateien mit dem Namen “.” und “..”. Ich konnte der Anleitung auch nicht herrausnehmen wie ich diese nun löschen kann. Ich würde mich sehr über weitere Tipps bzw. Hilfe freuen.
Danke schonmal im Vorraus.
vg Chris
Gerne helfen wir Dir in unserem Support-Forum unter http://forum.botfrei.de weiter! Hier ist uns dies aus Gründen mangelnder Übersicht, leider nicht möglich!
Grüße,
TK, ABBZ
Bei mir kommt im Abgesicherten Modus keine Startleiste !
Bitte wende Dich an unser Support-Forum unter http://forum.botfrei.de! Dort können wir Dir individuell weiterhelfen!
Grüße,
TK, ABBZ
Hallo,
ich habe mir den Trojaner wieder gefangen nur auf den Admenstor ich wollte fragen wie man das denn wieder entfernen kann.
Wäre sehr nett wenn ihr mit hilft OHNE das ich mich bei euch Anmelden muss!
Ich bin Minderjährig!!!
Also vielen Dank im Vorraus
LG Aly
Habe diesen Troj. ( 2.01 ) , allerdings blockiert er auch im abgesicherten Modus
, wie gehe ich am besten vor ? ? ? Ich kann zwar den task manager noch starten jedoch kommt dann sofort der fehler ( auch ohne WLAN – dann kein zugriff auf website fehler ) . Habe win 7 64 Bit auf lenovo lappi ……….. Hilfe ………… heul …………
Hallo schraubfuchs,
Bitte registrier dich unter http://forum.botfrei.de und erstell ein neues Thema in der Kategorie Hilfe -> Windows-Systeme.
Grüsse,
RM, ABBZ
Folge uns: http://facebook.com/botfrei & http://gplus.to/botfrei
Hey,
ich komme leider nicht weiter,selbst im abgesicherten Modus mit Eingabeaufforderung startet der Trojaner unter Win7 sofort! Und blockiert alles,was nun? Könnt ihr mir helfen?
Danke
Hallo,
gerne helfen wir Dir weiter! Registriere Dich hierzu bitte in unserem Support-Forum und erstelle ein Thema unter “Hilfe” –> “Windows Systeme”!
Grüße,
CS, ABBZ
Hallo ich kann nach der Anleitung immer noch keinen Rechtsklick auf die Desktopsymbole machen.
Die Exe hieß k8hOpp.exe
Hallo Anke,
bitte registriere Dich in unserem kostenlosen Supportforum http://forum.botfrei.de und erstelle dort ein neues Thema. Dort können wir Dich gezielt und individuell unterstützen.
Grüße,
CS, ABBZ
ich finde bei schritt 7 keine einzige exe datei ,lediglich 2 komische txt dateien bitte um hilfe !!
ich bins nochmal und wollte bescheid geben ,habe windows 7 64bit home premium und finde im verzeichnis C:/Users/***/Appdata/Roaming
4 verdächtige dateien , einmal . und einmal .. und zwei dateien bei denen kein [DIR] steht aber eine null vor den namen. sie heißen JFsyi.txt und VATNZ.txt. Aber wie schon gesagt keine einzige .exe datei, bitte um dringende hilfe !!
ich hab das problem das ich garkeine exe datei habe sonder 3 andere
1. eine .txt.xdrl
2. eine .res.ryyr
und
3. eine .png.fpln datei
und wenn ich die datein eingebe sag er mir die findet er nicht was soll ich da machen ?
Hallo FW,
bitte registrier dich in unserem Forum unter http://forum.botfrei.de und erstell ein neues Thema unter Hilfe -> Windows-Systeme. Wir werden dir dann weiterhelfen.
MG, ABBZ
Ein Problem habe ich :
wenn ich diese ntuser.dat öffnen will steht da :
ntuser.dat
Die Datei wird verwendet
Geben sie einen anderen Namen an oder schließen sie die Datei in dem Programm
Hallo Feind,
bitte wende dich an unser Forum unter http://forum.botfrei.de und erstelle ein neues Thema.
Wir helfen dir dann weiter.
MG
Ich versuch es schon den halben Tag mit eurer Anleitung,jedoch versteh ich nicht wie ich von meinem Administrator acc. zu der Roaming Datei meines anderen Kontos heran komme.
Hoffe ihr könnt mir helfen.
Danke im voraus
Hallo Hackerhasser,
bitte registrier dich in unserem Forum unter http://forum.botfrei.de und erstell ein neues Thema unter Hilfe -> Windows-Systeme. Wir werden dir dann weiterhelfen.
MG, ABBZ
Hallo,
Ich habe keine .exe dateien gefunden sondern diese 2 komischen;
- MobileToolAnyConnect.ini
- wklnhst.dat welche ich auch gelöscht habe.
Bei der Suche finde ich auch nichts. Im Forum kann ich mich auch nicht registrieren und brauche dringend Hilfe. Kann mir bitte jemand helfen
((
Hallo burcu,
Vorsichtig mit Löschen von Dateien, die du nicht kennst.
Warum kannst du dich nicht im http://forum.botfrei.de anmelden? Dort werden dir Experten “Schritt für Schritt” bei der Lösung helfen.
Gruß ABBZ.
Danke für deine Antwort. Ich weiss auch nicht weshalb ich mich nicht im Forum anmelden kann. Es kommt immer diese Fehlermeldung:
Registration denied, this forum runs an active policy of not allowing spammers. Please contact us via the “Contact Us” page link if you believe this is in error.
Wo ist “Contact US” ?
((
Kannst Du Dich bitte nochmals probieren zu registrieren? Es sollte jetzt gehen!
Danke für den Hinweis.
Grüße,
TK, ABBZ
Danke vielmals. Es hat jetzt funktioniert!
Danke hat alles funktioniert…danke danke
Hallo,
bei mir war es nur eine Datei namens 1.exe und einige Schritte konnte ich auch nicht so ausführen wie beschrieben. Letztendlich habe ich alle Dateien außer die “Shell” Datei gelöscht. Punk 17 und 18 waren bei mir auch nicht aufzufinden. Dennoch habe ich den Vorgang beendet und erstaunlicherweise ist mein Desktop wieder klar zu sehen und der Virus verschwunden. Bin eigentlich ein Computeramateur, aber mit dieser Hilfe gings echt super. Danke!
Hallo Dennis,
super gemacht, wie man sieht führen viele Weg nach Rom…
Um aber sicher zu sein, dass der eigentliche Trojaner nicht mehr auf dem Rechner ist, scanne ihn mit Malwarebytes und lese im Anschluß diesen Bericht.
Gruß ABBZ