GEMA-Trojaner unter Windows XP entfernen

UPDATE vom 30. August 2012:

Bitte beachten Sie: Da es mittlerweile weitere Varianten dieses Schädlings gibt, möchten wir darauf hinweisen, dass diese Anleitung u.U. veraltet sein kann.

Wir raten daher dringend dazu, dass Sie sich zur Bereinigung an unsere Experten im Support-Forum unter http://forum.botfrei.de wenden. Diese werden Sie bei der Bereinigung Schritt-für-Schritt durch den Säuberungsprozess begleiten und im Bedarfsfalle neue, bisher unbekannte Varianten an unsere Partner aus der Anti-Viren-Industrie weiterleiten.

Der GEMA-Trojaner ist eine Abwandlung des bekannten BKA-Trojaners, allerdings einige Nummern härter als letzterer, weswegen auch die Bereinigung etwas länger ausfällt als unsere üblichen Anleitungen.

Hinweis: Versuchen Sie bitte als erstes die Systemwiederherstellung, da Ihnen dies viel Arbeit erspart, wenn sie ohne Probleme durchläuft!

1.) Starten Sie den Rechner neu und booten Sie mit Hilfe der F8-Taste in den “abgesicherten Modus mit Eingabeaufforderung”.

Die “erweiterten Windows-Startoptionen”

2.) Melden Sie sich als Administrator am System an und geben Sie das Passwort ein.

Der Windows Anmeldebildschirm

3.) Jetzt befinden Sie sich im Ordner “c:\dokumente und einstellungen\administrator“. Sie müssen nun in den Ordner “Anwendungsdaten” unter Ihrem eigenen Benutzer wechseln. In unserem Beispiel heißt der Benutzer “analyst”. Jetzt geben Sie ein:

cd..

cd analyst (statt analyst schreiben Sie hier den Namen Ihres Benutzers!)

cd anwendungsdaten

dir

Hinweis: Bitte achten Sie darauf, dass Sie an allen Punkten der Anleitung, in denen der User “analyst” auftaucht, diesen durch Ihren eigenen Anwender ersetzen!

4.) Sie sehen jetzt eine Auflistung der Dateien in diesem Ordner. Anhand des Datums und der Uhrzeit lassen sich jetzt drei Dateien herausfiltern. Bei unserer Version heißen die verdächtigen Dateien sx5u7frt55.exe, u5hr46sirtijyrt5.exe und dwlGina3.dll. Die letzte Datei ist erst später vom Schädling angelegt worden, deswegen hat sie eine Minute Unterschied.

Die Dateien des GEMA-Trojaners werden aufgelistet

5.) Schreiben Sie sich den Namen der beiden exe-Dateien auf, wenn diese von den hier genannten abweichen, und löschen Sie alle drei verdächtigen Dateien:

del sx5u7frt55.exe

del u5hr46sirtijyrt5.exe

del dwlGina3.dll

Die Dateien des Schädlings werden gelöscht

6.) Damit hätten Sie schon mal die schädlichen ausführbaren Dateien gelöscht. Jetzt müssen die fehlerhaften Einträge in der Registry beseitigt werden. Starten Sie dazu den Registry-Editor:

regedit

7.) Da sich auch schädliche Einträge unter dem eigenen Benutzer befinden, die wir aber als angemeldeter Administrator nicht sehen können, verwenden wir einen Trick um unseren Benutzer “analyst” mit zu editieren. Klicken Sie mit der linken Maustaste auf HKEY_USERS und markieren diesen Pfad.

Der Registry-Editor

8.) Starten Sie jetzt im Menü “Datei” den Menüpunkt “Struktur laden“. Wählen Sie nun die Datei “ntuser.dat” aus dem Benutzerverzeichnis des eigenen Users aus. In unserem Fall liegt diese in “c:\dokumente und einstellungen\analyst\ntuser.dat.

Achtung: Die Datei ist normalerweise versteckt und nicht sichtbar, wenn die Option “Alle versteckten Dateien anzeigen” im Explorer bei Ihnen deaktiviert ist. Sollten Sie die Datei nicht sehen können, klicken Sie in den angegebenen Ordner und geben Sie unten im Fenster manuell “ntuser.dat”ein und klicken auf Öffnen. Damit können Sie diese Datei trotzdem öffnen.

Die Datei “ntuser.dat” ist versteckt und wird hier manuell eingegeben

9.) Jetzt fragt das System Sie nach einem Schlüsselnamen. Geben Sie hier den Namen des Benutzers ein und klicken auf “OK”.

Der Name der Benutzers wird auch als Schlüsselname eingegeben

10.) Der neue Pfad mit den Registryeinträgen des Benutzers erscheint nun unter HKEY_USERS mit dem zuvor ausgewählten Namen.

Der neu angelegte Schlüssel erscheint unter HKEY_USERS

11.) Klicken Sie mit der linken Maustaste auf Computer und markieren Sie den Eintrag. Starten Sie die Suche über den Menüpunkt “Bearbeiten” – “Suchen…“. Geben Sie nun den ersten der beiden Dateien (sx5u7frt55.exe) aus Punkt 5 ein und lassen Sie die Registry danach durchsuchen. Löschen Sie alle gefundenen Einträge, bis auf die Schlüssel “Shell” in den Pfaden “Winlogon“!!! Diese ersetzen Sie bitte mit “explorer.exe“, wie in der Abbildung unten zu sehen. Für die zweite Datei (u5hr46sirtijyrt5.exe) verfahren Sie bitte genauso.

12.) Der erste Verweis (sx5u7frt55.exe) befindet sich in den folgenden Pfaden:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication
  • HKEY_USERS\analyst\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_USERS\analyst\Software\Microsoft\Windows\ShellNoRoam\MUICache

13.) Der zweite Verweis (u5hr46sirtijyrt5.exe) befindet sich in diesen Pfaden:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{xy}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  • HKEY_USERS\analyst\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_USERS\analyst\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Der SHELL-Eintrag muss auf “explorer.exe” geändert werden

14.) Jetzt müssen Sie noch verhindern, dass der Schädling den Taskmanager sperrt und den Aufruf der Registry unter dem Benutzer unterbindet. Löschen Sie dazu die beiden Einträge “DisableRegistryTools” und “DisableTaskMgr” im Pfad:

[HKEY_USERS\analyst\Software\Microsoft\Windows\CurrentVersion\Policies\System].

15.) Die Desktopsymbole werden durch den GEMA-Trojaner ausgeblendet. Zur Bereinigung löschen Sie den Eintrag “NoDesktop” im Pfad:

[HKEY_USERS\analyst\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer].

16.) Schließen Sie den Registry-Editor und geben Sie in die Eingabeaufforderung abschließend noch ein:

shutdown -r -t 00

17.) Nachdem Windows “normal” gestartet ist, sollte der GEMA-Trojaner verschwunden sein. Ihre Desktopsymbole können Sie nun wieder mit einem Rechtsklick auf den Desktop und dem Menüpunkt “Symbole anordnen nach” und “Desktopsymbole anzeigen” einblenden.

Desktopsymbole anzeigen

18.) Führen Sie zu Ihrer eigenen Sicherheit einen Komplettscan mit Malwarebytes durch und überprüfen Sie Ihr System nach Softwareupdates.

Hinweis: Sollten Sie noch Fragen haben oder Hilfe bei der Bereinigung benötigen, registrieren Sie sich kostenlos in unserem Support-Forum.

117 thoughts on “GEMA-Trojaner unter Windows XP entfernen”

  1. Hi Antibot Crew, hab mir mal den Gema Trojaner gezogen und mal reingeschaut, der Gema Trojaner ist in Delphi geschrieben und nutzt eine spezielle Winlockkomponente, die folgendes ermöglicht, schaut selber:

    noCtrlAltDel – FALSE
    noAltTab – TRUE
    noAltEsc – TRUE
    noAltF4 – TRUE
    noCtrlEsc – TRUE
    noWinkeys – TRUE
    noAppkey – TRUE
    noRButton – TRUE
    noTaskbar – TRUE
    noTaskLinks – TRUE
    noTaskTray – TRUE
    noAltReturn – TRUE
    noAccessibilityShortcuts – TRUE
    noShutdown – TRUE
    noDesktop – TRUE
    noStartbutton – TRUE
    noStartMenu – TRUE

    Gruß an Thorsten, Tom und den restlichen Botties

  2. Hey Fritzchen,

    Klasse das du das hier aufgelistet hast, das war das wonach ich gesucht habe, ich recherchiere schon seit tagen um zu schauen wie der GEMA-Virus aufgebaut ist, danke dir vielmals!

  3. Danke!!!
    Hat bei mir gefunkt!
    Komischerweise habe ich aber mit Bearbeiten -> Suchen die Einträge nicht gefunden…
    Bin dann halt den o.g. Pfaden nachgegangen und hab mir die Fehler rausgesucht.
    Frage: Ist bekannt, ob es in Verbindung mit diesem Trojaner bereits Fälle in Sachen Mißbrauch gibt?
    Mach mir ein bisschen Sorgen bzgl. CC und Netbanking.

    Danke auf jeden Fall für die Anleitung!!!

  4. Tolle Anleitung, aber auch bei mir wird a) in Schritt 3 und bei Überspringen desselben b) in Schritt 8 der Zugriff verweigert. Standardmäßig habe ich nur einen Benutzer, nämlich den infizierten. Liegt es vielleicht am Windows-Passwortschutz, dass man da nicht von außerhalb reinkommt? Ich bin jetzt als “Administrator” angemeldet, aber ob der auch wirklich Admin-Rechte hat, weiß ich nicht.

  5. Alles ganz toll, nur kann ich mich als Admin nicht anmelden, nur als Benutzer mit Admin-Rechten. Folge eines Passwort-Verlustes =( Was soll ich dann machen? In eurem Forum kann ich bisher nicht schreiben, angeblich, weil ich noch nicht registriert bin. Bin ich aber. Seit 10 Minuten;) Bitte helfen!!

  6. Hallo … mein kumpel hatte einen auf der platte, ganz exquisit. Er hatte immer nur einen account, ohne PW. Nach der GEMA meldung machte er einen RS und wunderte sich auch gleich, warum da nun ein anmeldebildschirm mit “administrator” ist, ohne PW. sein acc hieß immer anders. Gema-meldung nach wie vor. Im abgesicherten modus mit “admin” drin gewesen, kam die meldung der admin erlaubt nicht taskmanager und regedit, beim versuch diese auszuführen. Er hat gleich alles platt gemacht und neu.

  7. Nun hab ich den auch. Bei dem Versuch Windows zu reparieren sollte ich eine Diskette einlagen. *?!* Ich ging die zweite Möglichkeit an und wollte es neu installieren, bei welcher man ebenfalls an die Möglichkeit *reparieren* kommt. Das tat ich. Dann wurde ich gefragt einen neues Konto zu erstellen, ich übersprang dies. Dann fiel mir auch schon auf, wie übermäßig viel der Rechner ratterte und zack, da war es: GEMA – vor allem anderen. Zweiter Versuch. Neuer Benutzer: auch hier, allerding habe ich etwa 30 Sekunden Zeit auf dem Desktop gehabt, das war für antivir nicht genug. Anscheint alles Zwecklos, mehr als Anzeige durchlesen darf ich nicht.

    In der Aktion “gesicherter modus-Eingabeaufforderung” habe ich nicht mal verdächtige Dateien ausfindig machen können. Da waren nur 3 ähnlich vom 3.11.. Zwei davon waren Ordner Namens “.” und “..” und eine Dabei recently-used.xbel. War mir alles zu blöd, so dass ich das gleich ließ.

    Ich betreibe jetzt erstmal Datenrettung und lass dann die Pestizide aus dem Sack.
    Jungs, kann ich euch den Virus irgendwie speichern? Ist ja nen hartes Ding, würde den selbst ja gerne auseinander nehmen.

  8. Hallo, hab mir vor einien Tagen den GEMA- Virus eingefangen und seid dem so ziemlich alles probiert, was hier so beschrieben ist. Das Löschen der Dateien aus den Anwendungsdaten der Benutzerkonten hat geklappt, aber ein Zugriff auf den Taskmanager oder den Registry-Editor ist nicht möglich – Meldung: “Das Berbeiten der Registrierung wurde durch den Administrator deaktiviert”. Hat jemand eine Idee, was ich noch machen könnte. Wie stehen die Chancen, wenn ich die Festplatte über einen USB- Adapter an einen anderen Rechner hänge. Funktionieren tut es, aber ich weis nicht wonach ich suchen soll. Hilfe Hilfe jbhalle

  9. nach dem löschen der bösen dateine komme ich nicht weiter
    “das bearbeiten der registrierung wurde durch den adminsitrator deaktiviert”
    was nun ? kann die registrierung nicht öffnen

  10. mich hat der gema-virus auch erwischt. ich habe windows xp..
    computer ist gesperrt und wenn ich f8 drücke komme ich ins boot und werde ich gefragt ob ich von der hard disk oder cdrom starten will.
    ich kann leider nichts auswählen, da meine tastatur nicht funktioniert.

    ins bios komme ich rein, aber hilft mir wohl nicht weiter?!

    wäre sehr dankbar für jeden tip!

  11. Ich habe die bösen Dateien nicht!
    das einzige was kurz vorm Virusausbrauch drauf kam war HPAppData.. die hab ich dann versucht zu löschen, aber halt halt alles nich soo hingehauen

  12. Vielen Dank für die Anleitung. Bei mir gab es zwar nur eine exe-Datei, aber ansonsten hat alles wie in der Anleitung funktioniert und jetzt geht mein Laptop wieder.

    Grüße,
    Tina

  13. Vielen Dank liebe Leute vom Beratungszentrum!
    Ich hatte den Gematrojaner auf meinem Computer und bin feinsäuberlich zweimal eurer Anleitung (Systemwiederherstellung) gefolgt und nun keimfrei.
    Was ich mich freue, dass es eine Seite wie die eure gibt!
    Grüße
    Johanna

  14. Danke für diese ausführliche Hilfestellung.
    Leider hatte ich auf meinem Rechner eine Abwandlung des Gema-Virus.
    Bei mir gab es nur eine Datei namens 5suxrt589cxuftg.exe, welche sich auch teilweise in anderen Ordnern (als in der obigen Erläuterung angegeben) der Registry befand.
    Letztendlich habe ich immer wieder den “Arbeitsplatz” nach “cxuftg.exe” , “NoDesktop”, “DisableRegistryTools” und “DisableTaskMgr” durchsuchen lassen. Dies ist etwas zeitaufwendig, aber man findet alle Einträge.

    Da ich häufig im Internet das Problem mit der durch den Admistrator gesperrten “regedit” gelesen habe:
    Beim einloggen im abgesicherten Modus (auch ohne Passwort) muss man unbedingt auf den Administrator gehen, auch wenn die eigene persönliche Kennung eigentlich eine Administratorkennung ist. So lässt sich die Anweisung regedit auch ausführen.

    Danke und Gruß

    1. Habe den GEMA jetzt auch und noch nicht beheben können. Aber das Problem, dass mit regedit die Registry nicht geändert werden kann im abgesicherten Modus, kann man umgehen, indem man ‘REG’ in der Kommadozeile einsetzt:

      Der folgende Befehl löscht den entsprechenden Schlüssel-Wert:
      REG DELETE HKCU\Software\Microsoft\Windows\_
      CurrentVersion\Policies\System /v DisableRegistryTools

      Danach kann man regedit starten.

  15. ich komme bis c:dokumente einstellungen/ adminestrator doch dann akzeptiert er den benutzer nicht was mach ich jetzt .

  16. Hallo ihr,

    war ebenfalls vom Gema-Trojaner befallen.

    Habe alles mögliche probiert, aber ohne Erfolg, wollte schon aufgeben.
    Dank dieser Anleitung bin ich den Trojaner nun doch noch los geworden 🙂
    Vor allem freut mich, dass ich es geschafft habe, obwohl ich kein Computercrack bin!

    Vielen Dank für die tolle Hilfe!!!

    Gruß
    Karl

  17. Hallo
    Vielen Dank erstmal für die superAnleitung, soweit ich das bis jetzt überblicken kann, hat das super geholfen und der Pc meines Vaters ist jetzt Gema-Trojaner frei…
    Ich habe nur ein Problem und zwar erscheinen die Desktopsymbole nicht. Ich habe den Explorer jetzt über den Taskmanager gestartet, aber da erscheint der enüpunkt “Symbole anzeigen nicht”
    Was soll ich jetzt tun?
    Vielen Dank
    Felix

    1. Hatte auch das Problem das mein Desktop ohne Symbole und Taskleiste angezeigt wurde.
      Als ich dann noch einmal regedit startete, stellte ich fest dass ich bei einer der “Shell” Dateien unter Winlogon die explorer.exe nicht korrekt wie auf dem Bild in der Anleitung angegeben hatte. Als ich dies berichtigte und neustartete war der Fehler behoben und die Leiste und Symbole vorhanden.

      Hoffe das hilft weiter!

  18. Hallo nochmals,

    danke für den Hinweis, aber ich glaube ich bin sicherheitstechnisch nicht schlecht unterwegs:
    – Windows XP-SP 3 mit aktivierten Updates
    – Firewall aktiv
    – Avira AntiVir Professional mit aktivierten Updates
    – getrennte Anmeldungen für Admin und User, jeweils mit Passwörtern

    Was mich aber ärgert, heute habe ich schon wieder einen BKA-Trojaner eingefangen, aber auch Dank eurer Anleitung wieder losbekommen. Was ich nicht verstehe, dass die Trojaner zur Zeit immer durchkommen, hatte bisher eigentlich nie Probleme, wobei der Besuch “problematischer” Internetseiten ausgeschlossen werden kann!

    Grüße
    Karl

  19. Bei mir Kann ich die Desktopsymbole leider nicht wieder einblenden…bei einem Rechtsklick passiert nichts…in Schritt 15 habe ich versehentlich auch noch die zweite Datei in dem Ordner gelöscht. Könnte es daran liegen? Was kann man da tun?

  20. hallo freunde!

    nachdem ich dieser anleitung so gut wie möglich gefolgt bin, habe ich keine taskleiste mehr und die desktopsymbole lassen sich leider auch nicht mehr anzeigen. kann mir jemand sagen, was ich falsch gemacht habe bzw wie ich das wieder hinbekomme?

    vielen dank im voraus!

    vg
    fabian

    1. Hallo,

      bitte registriere Dich hierzu in unserem Forum unter: http://forum.botfrei.de! Dort bekommst Du neben weiteren wertvollen Tipps, eine individuelle Beratung durch unsere Experten & die Community!

      Grüße,
      TK, ABBZ

  21. Vielen Dank für diese detailierte Anleitung!!!
    Hat zwar bei mit mit suchen nicht funktioniert, aber habe genau in den Pfaden die Sachen gelöscht und es geht wieder.

    Bei mir hieß die Datei übrigens “ActiveX32_64lo.exe” und die Gina3.dll hatte ich noch.
    Trotzdem alle angegebenen Pfade durchsucht und mal da und mal dort was gefunden.

    Tipp für alle die es noch betrifft: Einfach genau dieser Anleitung folgen!

    1. Hallo Schnappi,
      Danke für deinen Beitrag, bitte jetzt den Rechner nochmal mit Malwarebytes scannen!!

      Gruß ABBZ

  22. Puh, vielen Dank!!! Bei mir waren es auch “ActiveX32_64lo.exe” und “Gina3.dll”. Dank dieser Anleitung funzt der Rechner nun wieder. Habe den Rechner gleich mit True Image zurückgesetzt, jetzt ist alles wieder fein. Thanx!

    Gruß
    Phil

  23. Guten Abend,

    habe mir leider auch den GEMA-Trojaner unter xp eingefangen.
    Mein Problem: Ich weiß dass Administrator PW nicht!

    Ich habe den PC von einer Freundin geschenkt bekommen, die hatte ihn von ihrem Sohn und der hatte ihn aus seiner Firma. Habe nachgefragt, er meinte es gäbe kein PW, komme aber als Administrator nicht rein eben wegen dem fehlenden PW.
    Als Admin sehe ich nur den leeren Desktop. Gibt es eine Möglichkeit trotzdem irgendwie reinzukommen?
    Der Schaden hält sich bei mir sehr in Grenzen da ich gerade ein neues Notebook gekauft habe und auf dem alten PC keine wichtigen Daten waren. Trotzdem wäre es schön die alte Kiste wieder zum LAufen zu kriegen.

    Dankeschön!

    LG Supimi

  24. hallo erstmal.
    ich habe ebenfalls diesen Virus, ich habe es geschafft, die Gina3 zu entfernen und noch eine Datei. ich habe es geschafft, über den abgesicherten modus mit internet den norton power eraser UND einen virenscann durchzuführen, Norton hat zwei dinge gefunden, die seit anbeginn der Zeit auf meine PC sind, und es ermöglichen, ein spiel mit erweiterten einstellungen zu laden -.- dass der so dumm ist, hätte ich nicht gedacht. Ich weiß genau, was es war, was meinen pc kaputt gemacht hat *wein* Als Virenprogramm hab ich dieses Avira mit werbung, die version weiß ich nicht mehr, ich habe leider auch versäumt, meine wichtigen Daten zu sichern,
    jetzt mir die sache mit dem Shell = explorer eine der drei shell dateien, die ich gefunden habe, dierekt zerschossen hat. pc abgestürzt, hochfahren nicht mehr möglich, weil der die shell.dll sucht. Systemwiederherstellung war von anfang an nicht möglich, der virus hat den disbled. Ich hab so den verdacht, dass ich einen Fehler gemacht habe =/ war aber alles genau nach anleitung. auch hab ich das gefühl der virus ist vor meinen augen mutiert, anfangs war der zugiff vom admin auf meinen “user” wie ich mein konto genannt hab nicht komplett zu, am ende konnt ich nichtmal mehr einsehen, was da drin ist. Auch habe ich das gefühl, mein PC mag mich nicht mehr, sonst macht der immer, was ich will… aber DAS liegt dann bestimmt doch wieder an meiner Einbildungskraft… naja Jetzt macht er gar nichts mehr. Drum frag ich mich, was hab ich noch für möglichkeiten? ist die Windows reperaturfunktion und das starten von der CD aus ohne Datenverlust und Mit verlust des Virus möglich? Wenn ich zum Fachmann gehe AKA nachbar hab ich 100% Datenverlust, selbst wenn ich ihm sage, dass das programm XY mitgesichert werden soll, das wäre zu viel/umständlich. gesichert wird nur eigene Dateien, wo ich latürnich nichts drauf habe. Noch dazu 20€+? deswegen brauch ich ganz dringend eure Hilfe Q_Q

    1. Hallo Yvane,

      individuelle Unterstützung können wir dir gerne in unserem Forum geben. Bitte registrier dich dort und erstell einen eigenen Beitrag.

      MG, ABBZ

  25. Hey Leute, danke für die Hilfe, ABER bei Schritt 3 komme ich nicht weiter!
    Sowohl beim Administrator als auch unter meinem Namen, IMMER kommt sofort eine Seite, dass mein Internet wohl nicht geht.. Ich kanns auch nichts weiteres drücken! Kein Taskmanager, NICHTS! Ich komm einfach nicht weiter und bin am verzweifeln, kann nichtmal Antivirus über Administrator laufen lassen, NICHTS geht..
    BITTE HILFE 🙁

    1. Danke,ich habe mich regestriert, jedoch kann ich kein neues Thema eröffnen.. ich komm einfach nicht weiter.. bitte helft mir

    2. Hallo Thomas, du musst die Registrierung mit der Email die du bekommst bestätigen. Dann klappt das auch mit dem “Thema erstellen”

      Gruß ABBZ

    3. danke, habe nun ein Thema erstellt, bitte helft mir :/ brauche dringend den Zugriff auf meinen Computer wieder. Bitte 🙁 Liebe Grüße

    4. Wir kümmern uns schnellstmöglich um Dein Anliegen! Aber bitte bedenke: Viele unserer Moderatoren tun das freiwillig, und Du bist auch nicht der Einzige, der dringend seinen Rechner braucht!

      Grüße,
      TK, ABBZ

  26. hallo leute,
    eine sehr unangenehme neue version vom GEMA-TROJANER hat mich gestern offensichtlich erwischt. Nach einigen Fehlversuche bin ich den gauner aber wieder losgeworden.
    mit dem kasperskiteil auf CD (KWU_1.0.3.upd2.iso) gebootet und so den start im abgesicherten modus mit eingabeaufforderung ermöglicht.
    dann habe ich den exploer in der CDM gestartet und mit der “Malwarebytes Anti-Malware” einen scann durchgeführt und die ganzen geschichten zum GEMA eintrag gefunden und entfernt! damit war die geschichte erfreulicherweise erledigt!
    hier die logdatei der entfernung- ich denke und hoffe auch damit kann man auch die entsprechenden dateien und einträge manuell entfernen:

    Durchsuchte Objekte: 231240
    Laufzeit: 8 Minute(n), 23 Sekunde(n)

    Infizierte Speicherprozesse: 0
    (Keine bösartigen Objekte gefunden)

    Infizierte Speichermodule: 0
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungsschlüssel: 0
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungswerte: 3
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|InetAccelerator (Trojan.Agent) -> Daten: C:\WINDOWS\system32\InetAccelerator.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|InetAccelerator. (Trojan.Agent) -> Daten: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InetAccelerator\InetAccelerator.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|InetAccelerator (Trojan.Agent) -> Daten: C:\Dokumente und Einstellungen\hardy graßhoff\Anwendungsdaten\InetAccelerator\InetAccelerator.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

    Infizierte Dateiobjekte der Registrierung: 0
    (Keine bösartigen Objekte gefunden)

    Infizierte Verzeichnisse: 0
    (Keine bösartigen Objekte gefunden)

    Infizierte Dateien: 5
    G:\temp.6855627922282601.exe (Exploit.Drop.2) -> Erfolgreich gelöscht und in Quarantäne gestellt.
    C:\WINDOWS\system32\InetAccelerator.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
    C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InetAccelerator\InetAccelerator.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InetAccelerator\InetAccelerator.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
    C:\Dokumente und Einstellungen\hardy graßhoff\Anwendungsdaten\InetAccelerator\InetAccelerator.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

    (Ende)

    haut rein und ahoi der opa hardie

    1. Hallo Hardy,

      danke für Deinen Hinweis zum “deutsch” … sehr hilfreich!

      Grüße,
      TK, ABBZ

  27. Danke für die tolle Anleitung! Mein System funktioniert jetzt wieder.

    Allerdings konnte auch ich nicht regedit starten. Bin in die Registry aber reingekommen, indem ich in den Ordner des Tools SystemExplorer navigierte. Dort habe ich mir die Autostarts angeschaut und konnte diese Einträge mit dem Tool in der Registry öffnen. Dann konnte ich also mit Punkt 7 weitermachen und alles hat geklappt, wobei auch ich nur eine schädliche Datei hatte.

  28. Hallo mein Sohn hat sich auch den Trojaner eingefangen. Habe das gleiche Problem wie Thomas:
    Hey Leute, danke für die Hilfe, ABER bei Schritt 3 komme ich nicht weiter!
    Sowohl beim Administrator als auch unter meinem Namen, IMMER kommt sofort eine Seite, dass mein Internet wohl nicht geht.. Ich kanns auch nichts weiteres drücken! Kein Taskmanager, NICHTS! Ich komm einfach nicht weiter und bin am verzweifeln, kann nichtmal Antivirus über Administrator laufen lassen, NICHTS geht..
    BITTE HILFE 🙁
    Für euro Hilfe wäre ich dankbar.

    1. Hallo Dietmar,

      registriere Dich bitte in unserem kostenlosen Hilfe-Forum unter forum.botfrei.de – Dort können wir Dir am besten weiterhelfen.

      Gruß,

      CS,ABBZ

    2. Könnt ihr mal den Link zum Beitrag im Forum reinsetzen? Ich hab auch Probleme mit Schritt 3. Im Forum ist mein Name auch “Clem” – falls ihr mir den dahin schicken wollt.

      Dankeschön

  29. Hallo läüte, ich habe auch leider dieselbe Virus Gema-Trojana auf meinem pc,
    Komieche weiße geht mein pc wider aber der Trojana ist nicht weg und ich wolte mal fragen? Wenn ich mein Pc Formatiere geht der scheiß weg oder bleib das trotzdem oder muss ich die obengenante schritte durchführen. Wenn jmd mir ein nette antwort geben wurde ich mich sehr freuen. Mit freundlichem grüße Fuat

  30. Hallo Leute,
    als der Virus Screen bei mir aufrauchte habe ich direkt den Stecker gezogen und kann daher nicht mehr ganz genau erinnern, wie das Ganze aussah, bin mir aber zu 85% sicher, dass das der GEMA Virus ist.
    Ich habe versucht Eurer ausführlichen Anleitung zu folgen. Problem: Ich versuche im abgesicherten Modus zu starten, melde mich als Admin an und sehe das gleiche wie vorher: weißer Screen: “die Seite kann nicht angezeigt werden”. Ich kann nichts machen, weder rechte Maustaste, noch Taskmanager – nichts funktioniert.
    Habt Ihr da einen Tipp für mich?

    1. Hallo Tito,

      Gerne helfen wir Dir weiter, können das aber nicht hier im Blog machen! Registriere Dich bitte kostenfrei in unserem Support-Forum unter http://forum.botfrei.de und erstelle einen Thread in “Hilfe” –> “Windows Systeme”!

      Gruß,
      CS, ABBZ

  31. hallo,
    wir haben alles durchgeführt, aber jetzt ist er wieder auf einem anderen benuzerkonto. auf dem konto wo wir das gemacht haben, ist der weg, doch nimmt er nicht den rechten mausklick an.
    kann jemand tipps geben?!

    1. Wir können Dir hier im Blog nur so schlecht bis gar nicht individuell weiterhelfen. Melde Dich bitte einfach kostenfrei in unserem Support-Forum unter http://forum.botfrei.de an! Dort können wir gezielt auf Deine Fragen und Probleme eingehen!

      Grüße,
      TK, ABBZ

  32. moin,
    habe die datei 6ekjsr5e.exe gelöscht
    ntuser.dat/man von allen benutzern geladen
    die registrierung bearbeitet

    system & taskmanager läuft
    aber die taskleiste und die desktopsymbole werden immer noch nicht angezeigt

    System: (2 getrennte systeme auf der festplatte in unterschiedlichen partionen)
    WinXpHomeOEM SP2 (nicht betroffen)
    WinXpHomeOEM SP3 (betroffen mit dem GEMA Trojaner)

    Dateiinfo: 6ekjsr5e.exe
    Dateiversion 2.10.0.0
    Beschreibung David Role Handle Worse
    Copyright Witch © Macaw Ruler 2003-2010

    Dateiversion 2.10
    Firma StompSoft, Inc.
    Interner Name Sheik Tyler Tamper Steam Lobby
    Kommentare Flue
    Orginaldateiname Xerox.exe
    Produktname Agony Len
    Produktversion 2.10
    Sprache Englisch (USA)

  33. Hallo ich habe probleme bei dem “6” Schritt, denn das Bearbeiten der Registrierung ist durch den Adminestrator deaktiviert jedenfalls steht es da naja es verwundert mich trotzdem, weil ich der Adminestrator bin und nicht weiß wie ich das gemacht habe und wie es rückgängig zumachen ist habt ihr eine idee die mir weiter zuhelfen könnte??

    1. ich habe es jetzt einfach noch mal versucht den pc normal zu staten aber jetzt sehe anstatt der GEMA seite meinen leeren desktop ohne jeglichen funktionen und auch hir ist die fehler meldung dass, das Bearbeiten der Registrierung durch den Adminestrator deaktiviert ist. Könnt ihr mir vieleicht helfen oder eine Seite schicken wo das genau beschrieben ist und mich nicht aufs forum verweisen um mein problem erneut dort vorzustellen. Das wäre sehr Nett

      mfg Nick

  34. Hallo Mich hat es auch erwischt. Bzw. den Pc meiner Eltern welche schon fast das geld überweisen wollten… Die haben einen Windows XP Pc mit Media Center Edition… Wenn ich den Abgesicherten Modus starte und mich beim Administrator anmelde erscheint ein Fenster mit “Seite kann nicht angezeigt werden” als ob der Trojaner wieder die Seite öffnen wollte und ich kann nicht ins Dos bzw eingabemodus wechseln … Kann mir jemand helfen ?

  35. Also bei mir ist folgendes Problem, ich kann wenn ich F8 drücke auf den Abgesicherten Modus, dann auch mich als Admin noch anmelden aber ich habe nicht das schwarze Feld wo ich dann “Cd..” etc. eingeben kann. Das erscheint nur kurz aber dieser Virus setzt sich dann wieder irgendwie durch und dann steht dort “Dieses Programm kann die Webseite nicht anzeigen”. Bin ziemlich am Verzweifeln !! Fals jemand eine Lösung hat, bitte melden.

  36. Habe den Gema 2.01 Virus auf XP-Betriebssytem. Mein Problem bei der Behebung nach Anleitung ist, dass ich zwar das Administrator-Passwort habe, aber keine Benutzerauswahl wenn der PC hochfährt. Und der PC fährt standardmäßig als Benutzer X ohne Administratorenrechte hoch. Wie komme ich jetzt – mit infiziertem System – in den Administratormodus, damit ich im abgesicherten Modus regedit etc. ausführen kann?

    Danke!

    1. Hallo esuoh,

      Wenn du den Rechner hoch gefahren hast und der Anmeldedialog erscheint, 2x Strg-Alt-Entf drücken. Der Anmeldedialog wechselt und du kannst dich mit Administrator und Kennwort anmelden. Wenn du Hilfe brauchst, melde dich bitte in unserem kostenfreien forum.botfrei.de an, dort werden Experten helfen.

      Gruß ABBZ

  37. Hallo erstmal…
    ich hab den GEMA-Virus jetzt leider gottes auch und bin dann aber zum glück auf eure seite gestoßen…mein problem ist das sich die GEMA-meldung auch sofort öffnet wenn ich im abgesicherten modus starte und als admin angemeldet bin…
    lässt sich das problem noch lösen oder muss ich die festplatt neu formatieren?
    lg Conrad

  38. hey ich hab den gema trojana nun auch und wollte ihn entfernen ich hab windows xp und ich wollte das mit der anleitung von euch machen kam zum punkt 2 wo ich beim admin rein gehen muss( hab aber kein passwort) bin rein dann kam sein seit wie man sie kenn wenn man nicht ins internet kann mit der info ” dieses programm kann die webseite nicht anzeigen ” und nun komme ich nicht weiter was kann ich tuen??

  39. hallo,
    ich hab mir die schritte mal angekuckt..
    Aber ich komm nicht in das ,mit f8 zu öffnende,
    fenster.immer wenn ichs versuche kommt da
    ei kleines Quadrat und wenn ich eine Taste drücke
    bewegt es sich nach oben und kurz danach wieder nach
    unten:(.
    Bitte um hilfe

    Mfg

    1. Leider ist uns hier im Blog kein individueller Support mgl.! Bitte registriere Dich hierzu einfach kostenfrei unter http://forum.botfrei.de! Dort können wir Dir bei all Deinen Fragen weiterhelfen.

      Grüße,
      TK, ABBZ

  40. Hallo!
    Ich finde diese Anleitung hier ja sehr toll, aber selbst wenn ich im Abgesicherten Modus mit Eingabeaufforderung den Computer starte (habe Win XP) kommt der Gema Virus somit komme ich nicht mal zu einer Systemwiederherstellung, könnte mir jemand sagen was ich da tun könnte?

    Lg Annieh

    1. Hallo!
      Du kannst mal versuchen, Dich ganz normal anzumelden und dann über Strg+Alt+Entf DIREKT den Taskmanager aufzurufen! Also mit “direkt” meine ich, schon die Tastenkombination drücken, während die Benutzereinstellungen geladen werden! Dann musst du ganz, ganz schnell sein, den Taskmanager starten und den GEMA-Prozess beenden, bevor dieses blöde Fenster wieder auftaucht. Aber Vorsicht: Die Prozesse versuchen noch ein zweites und drittes Mal zu starten..also: Taskmanager geöffnet lassen und sobald der Gema-Prozess dann wieder in der Liste auftaucht, direkt beenden. Bei mir hat das dann geklappt und anschließend konnte ich die Schritte hier durchführen. Aber du musst echt mega schnell sein und den Taskmanager im Auge behalten:)! Ich hab ein paar Versuche gebraucht bis es geklappt hat:)! Viel Erfolg!

  41. hallo, nach starten von xp im abgesicherten modus komme ich nicht mal in den adminbereich rein, geschweige den zu

    c:\dokumente und einstellungen\administrator

    es kommt sofort die – mittlerweile nur noch weiße – seite des trojaners mit dem text in deutsche und englisch: “bitte warten sie während die verbindung hergestellt wird.”

    was nun?

    gruß hans

  42. Hallo miteinander ich habe das gleiche Problem !! Nur bei mir lässt sich zwar windows mit eingabeaufoderung öffnen aber ich kann nicht regedit öffnen. Obwohl ich die Daten gelöscht habe. Bei mir heißen die Daten anders also oben genannt ! Ich habe ein Windows XP

  43. das was Simon geschrieben hat, hat grad eben geklappt!
    vllt im abgesicherten modus starten, da man so etwas mehr zeit um die nötigen klicks zu machen:
    strg + alt + entf in den taskmanager
    auf prozesse klicken
    gema.exe suchen, finden, anklicken
    und dann mit entf und enter löschen (ist schneller als mit maus)
    dann hat man endlich mal die möglichkeit etwas in windows zu machen!

    wenn der infizierte computer keinen internetzugang mehr hat:
    von einem anderem pc den DE-Cleaner auf usb-stick (sd-karte wird im abgesicherten modus nicht erkannt), am infizierten computer starten, durchlaufen lassen und alle gefundenen schädlinge entfernen.
    dann normal neustarten und freuen 🙂

  44. Hallo,
    Hatte den virus. Allerdings als GVU, nicht mit gema oder bka screen. Mit hinweis, ich hätte Raubkopien etc auf dem Rechner. Sogar das logo einer Bundesbehörde war darin, alles in fehlerfreiem Deutsch. Was für perfide A…..

    Vielen herzlichen dank für den tip zur system-Wiederherstellung. Ich konnte zum glück das admin-pw noch finden…

    Viele Grüße
    P

    1. Hallo Phil,

      wenn du nur die Systemwiederherstellung gemacht hast, ist die Malware noch auf dem Rechner!! Scanne deinen Rechner mit Malwarebytes im Vollscan bzw. melde dich kostenfrei in unserem http://forum.botfrei.de an. Dort werden Experten helfen.

      Gruß ABBZ

  45. Thanks a lot for the post. As soon as te command prompt is displayed, a 5second gap is there to load the white screen. Type fastly explorer in the command prompt and continue.

  46. Hi,
    ich komme komischerweise nicht in den abgesicherten Modus rein – hab es jetzt mit einer Boot DVD versucht Namens Desinfec´t 2012,
    der hat auch 15 Viren gefunden und diese unbenannt – aber hatte bisher trotzdem keinen Erfolg…..

    1. Freitag, der dreizehnte. Man könnte abergläubisch werden.

      Peter

      Jetzt mal im Ernst: Welches Programm hat gesucht? Die CD stammt ja wohl aus der aktuellen c’t. Was steht dazu im Artikel?

  47. Hallo!

    Ich habe folgende Frage: Wenn ich MalwareBytes heruntergeladen habe und mein Netbook/Computer damit scannen will, muß ich das installierte Avira Antivir deaktivieren?

    Gruß
    Peter

  48. Ich habe folgendes Problem:

    Ich starte im abgesicherten Modus und logge mich als Admin ein. Dann erscheint die Konsole. Jedoch kann ich dort 3-5 Sekunden arbeiten, dann kommt wieder dieser dämliche Virus. Jemand eine Idee?

    Gruß lucas

  49. Hallo, ich habe mir vorhin auch den Virus eingefangen :(. ich habe windows xp und habe das mit F8 drücken gemacht und dann bin ich auf “abgesicherter Modus mit Eingabeaufforderung” gegangen und dann habe ich mich angemeldet, aber dann ist dieser Bildschirm aufgetaucht wo steht” Die Navigation zu der Webseite wurde abgebrochen” (davor steht ein ausrufezeichen in einem blauen Kreis, also dass kennt man vlt. schon von Windows). ja und jetzt weiß ich nicht was ich machen soll? vlt. habe ich schon das neuste “Update” von dem Virus, welches momentan nicht zu lösen geht?!. ich brauche Bitte Hilfe !!

  50. Hilfee!!! im abgesicherten modus mit eingabeaufoderung erscheint bei mir garnichts kein cmd oder ähnliches keine schaltfläche nichts ich kann nichts öffnen anklicken eingeben oder sonstiges es steht lediglich am oberen und unterembildschirmrad “abgesicherter modus”

    bitte m hilfe

Kommentare sind geschlossen.