GEMA-Trojaner entfernen (Windows 7)

GEMA-Trojaner entfernen 1.) Starten Sie den Rechner neu (mit der Reset-Taste oder dem Ein-/Ausschalter) und drücken Sie nach dem BIOS und noch vor dem Windows-Logo die F8-Taste, um in die erweiterten Startoptionen von Windows 7 zu gelangen. Wählen Sie hier dann die Startoption ‘Abgesicherter Modus mit Eingabeaufforderung’ aus.

Abgesicherter Modus mit Eingabeaufforderung.png 2.) Melden Sie sich mit Ihrem Benutzernamen an.

Windows-Anmeldebildschirm 3.) Aktivieren Sie nun das standardmäßig vorhandene Administrator-Benutzerkonto:
net user administrator /active

Administrator-Account aktivieren 4.) Melden Sie sich anschließend mit folgendem Befehl wieder ab:
shutdown /l

5.) Melden Sie sich nun mit dem aktivierten Administrator-Benutzerkonto an.
Administrator-Account aktiviert 6.) In der Eingabeaufforderung müssen Sie nun in den Ordner “Roaming” unter Ihrem eigenen Benutzernamen wechseln (z.B. cd Users/evild3ad/AppData/Roaming).
cd\
cd Users/”Ihr Benutzername”/AppData/Roaming
dir

7.) Sie sehen jetzt eine Auflistung der Dateien in dem Ordner “Roaming”. Anhand des Datums und der Uhrzeit lassen sich jetzt 1-3 verdächtige Dateien (meist zufällig generierte Namen) herausfiltern.

Administrator-Account aktivieren Die verdächtigen Dateien können z.B. folgendermaßen heißen:
a) sx5u7frt55.exe, u5hr46sirtijyrt5.exe und dwlGina3.dll
b) rx5iur6idx.exe
c) ActiveX32_64lo.exe

Kurze Erläuterung:
zu a) Bei der Datei “u5hr46sirtijyrt5.exe” handelt es sich um eine Kopie der Datei “sx5u7frt55.exe”. Erkennbar an der gleichen Dateigröße. Bei der DLL-Datei mit dem Namen “dwlGina3.dll” handelt es sich um eine Datei des Toolkits dWinlock der Firma Kassl GmbH, was die Cyberkriminellen hier für Ihre Zwecke missbrauchen. Wie der Name schon ahnen lässt, kann man mit dem Toolkit Zugriffe unter Windows einschränken (z.B. die Tastatureingabe einschränken oder deaktivieren, Desktop Elemente ausblenden usw.).

zu b+c) Zur Verschleierung wird unter a) zusätzlich mit einer Kopie der eigentlichen Datei gearbeitet. Sie ist jedoch nicht zwingend erforderlich. Die Datei “dwlgina3.dll” muss sich auch nicht im selben Ordner wie die EXE-Datei befinden. Zumeist befindet sie sich alternativ auf dem “Desktop”.

8.) Schreiben Sie sich die Namen der verdächtigen Dateien auf und löschen Sie anschließend alle verdächtigen Dateien im Ordner “Roaming”:
a) del sx5u7frt55.exe del u5hr46sirtijyrt5.exe del dwlGina3.dll
b) del rx5iur6idx.exe
c) del ActiveX32_64lo.exe

Administrator-Account aktivieren 9.) Nun müssen Sie ggf. noch in den Ordner “Desktop” wechseln:
cd..
cd..
cd Desktop
dir

Hier löschen Sie die Datei “dwlGina3.dll” (falls sie sich nicht im Ordner “Roaming” befunden hat):
del dwlGina3.dll
dwlGina3.dll löschen 10.) Nachdem Sie die Trojaner-Dateien erfolgreich entfernt haben, müssen Sie noch die Registry bereinigen:
regedit

11.) Klicken Sie mit der linken Maustaste auf HKEY_USERS und markieren diesen Pfad.
HKEY_USERS Da sich schädliche Registry-Einträge auch unter Ihrem Benutzerkonto befinden (HKCU), die man aber unter dem aktivierten Administrator-Account ohne weiteres nicht sehen kann, müssen Sie zunächst die Struktur der entsprechenden ‘ntuser.dat’ laden.

12.) Wählen Sie jetzt oben im Menü unter “Datei” den Menüpunkt “Struktur laden…”.
Struktur laden...
13.) Geben Sie jetzt unter Dateiname folgenden Dateipfad ein: c:\users\”Ihr Benutzername”\ntuser.dat Manuelle Anwahl der Datei 'ntuser.dat'
14.) Tragen Sie hier “Ihren Benutzernamen” als Schlüsselnamen ein und klicken auf OK. Schlüsselname eingeben.png
15.) Klicken Sie jetzt mit der linken Maustaste auf “Computer” und markieren diesen Pfad.
Computer markieren.png
16.) Wählen Sie jetzt oben im Menü unter “Bearbeiten” den Menüpunkt “Suchen…”. Geben Sie hier nacheinander die Namen (ohne Dateiendung) der 1-3 verdächtigen Dateien ein und drücken die Eingabetaste: Suchen nach...
17.) Löschen Sie hier den Schlüssel ‘{zO6GMBsG-P0Lu-m6zG-Rn2O-mEvWgcvpFNqQ}’ und dessen Unterschlüssel ‘Yd92ZRE9ASh2qtG’, der auf die entsprechende Trojaner-Datei verweist. HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{zO6GMBsG-P0Lu-m6zG-Rn2O-mEvWgcvpFNqQ}\Yd92ZRE9ASh2qtG = C:\Users\Admin\AppData\Roaming\rx5iur6idx.exe /ActiveX Setzen Sie anschließend die Suche fort und drücken hierzu jeweils die F3-Taste.

18.) Löschen Sie den String “Name” und löschen Sie auch den DWORD-Wert “ID”.
HKLM\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication\ Nicht vergessen: Jeweils die F3-Taste drücken zum Weitersuchen.

19.) Löschen Sie hier den Schlüssel ‘rx5iur6idx_RASAPI32′ und dessen Unterschlüssel. HKLM\SOFTWARE\Microsoft\Tracing\rx5iur6idx_RASAPI32
20.) Löschen Sie hier den Schlüssel ‘rx5iur6idx_RASMANCS’ und dessen Unterschlüssel. HKLM\SOFTWARE\Microsoft\Tracing\rx5iur6idx_RASMANCS
21.) Löschen Sie hier den String ‘Yd92ZRE9ASh2qtG’, der auf die Trojaner-Datei verweist. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Yd92ZRE9ASh2qtG = C:\Benutzer\evild3ad\AppData\Roaming\rx5iur6idx.exe
22.) Hier müssen wir den Wert “Shell” editieren (Doppelklick) und den alten Wert “explorer.exe” eintragen. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = C:\Benutzer\evild3ad\AppData\Roaming\rx5iur6idx.exe HKLM-Shell2
23.) Hier löschen wir, wie unter Punkt 21.), den String ‘Yd92ZRE9ASh2qtG’, der auf die Trojaner-Datei verweist. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Yd92ZRE9ASh2qtG = C:\Benutzer\evild3ad\AppData\Roaming\rx5iur6idx.exe
24.) Hier müssen wir, wie unter Punkt 22.), den Wert “Shell” editieren und den alten Wert “explorer.exe” eintragen. HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = C:\Benutzer\evild3ad\AppData\Roaming\rx5iur6idx.exe
25.) Löschen Sie hier den DWORD-Wert ‘NoDesktop’. Policies-Explorer
26.) Löschen Sie hier den DWORD-Wert ‘DisableRegistryTools’ und den String ‘DisableTaskMgr’. Policies-System
27.) Prüfen Sie hier den DWORD-Wert ‘HideIcons’. Ändern Sie den Wert ggf. von ‘1’ auf ‘0’ ab. Explorer-Advanced
28.) Geschafft! Schließen Sie den Registry-Editor und führen Sie einen Neustart mit folgendem Befehl durch:
shutdown -r -t 00

29.) Deaktivieren Sie nun wieder das Administrator-Benutzerkonto in dem Sie die Eingabeaufforderung aufrufen (Start-cmd.exe> und folgenden Befehl eingeben:
net user administrator /active:no

30.) Neuere Varianten des GEMA-Trojaners modifizieren auch die Hosts-Datei. Prüfen Sie daher noch die Hosts-Datei Ihres Computers unter folgendem Pfad:
C:\Windows\System32\drivers\etc\hosts (Rechtsklick->Öffnen->Editor)

31.) Führen Sie zu Ihrer eigenen Sicherheit auch noch einen vollständigen Suchlauf mit Malwarebytes’ Anti-Malware durch und überprüfen Sie Ihr System mit dem Personal Software Inspector (PSI) von Secunia nach Softwareupdates.

This entry was posted in BKA-Trojaner, Deutsch, GEMA-Trojaner, Malware Forensics, Ransomware. Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>