Neue Version des GEMA-Trojaners 2.01 im Umlauf

UPDATE vom 30. August 2012:

Bitte beachten Sie: Da es mittlerweile weitere Varianten des hier abgebildeten Schädlings gibt, welche optisch ein ähnliches oder identisches Erscheinungsbild haben, möchten wir darauf hinweisen, dass diese Anleitung u.U. veraltet sein kann.

Wir raten daher dringend dazu, dass Sie sich zur Bereinigung an unsere Experten im Support-Forum unter http://forum.botfrei.de wenden. Diese werden Sie bei der Bereinigung Schritt-für-Schritt durch den Säuberungsprozess begleiten und im Bedarfsfalle neue, bisher unbekannte Varianten an unsere Partner aus der Anti-Viren-Industrie weiterleiten.

Seit einiger Zeit treibt der GEMA-Trojaner in den verschiedensten Varianten sein Unwesen. Evild3ad.com hat uns heute auf eine neue Version hingewiesen.

Den Sperrbildschirm der neuen Variante sehen Sie hier angezeigt.

Der GEMA-Trojaner

Unser Exemplar hat den Namen “ActiveX32_64lo.exe” und liegt im Verzeichnis “C:\Benutzer\”Benutzername“\AppData\Roaming\”.

Die Datei “dwlGina3.dll” liegt allerdings nicht, wie bei der ersten Version im gleichen Verzeichnis wie der Schädling, sondern in “C:\Benutzer\”Benutzername“\Desktop\”.

Wichtigster Unterschied zur ersten Version ist eine Manipulation der hosts-Datei im Verzeichnis “C:\Windows\System32\drivers\etc\“. Diese wird dahingehend abgeändert, dass u. A. alle Anfragen bezüglich AV-Hersteller und Microsoft an “localhost” umgeleitet und somit unwirksam werden. Dies hat zur Folge, dass z. B. keine Virendefinitionen mehr aktualisiert werden und auch die Microsoft-Updates nicht funktionieren.

Wie Sie Ihre Hosts-Datei wieder reinigen können, finden Sie in einem weiteren Artikel unter Punkt 4.

Die Säuberung des eigentlichen Schädlings unterscheidet sich nicht gravierend von der ersten Version. Auf www.bka-trojaner.de finden Sie den Sperrbildschirm unter dem Punkt v2.01. Unter Berücksichtigung der oben genannten Änderungen bekommen Sie den Schädling in den Griff.

Sollten Sie Fragen dazu haben oder Hilfe bei der Reinigung benötigen, schauen Sie in unser kostenloses Support-Forum.

23 thoughts on “Neue Version des GEMA-Trojaners 2.01 im Umlauf”

  1. Gema Trojaner 2.01, Windows 7
    Hallo, ich habe den angeführten Punkt 4 nicht durchführen können und dann von einem anderen Computer die hosts Datei kopiert und an entsprechender Stelle eingefügt. Bei mir war keine Zeile aktiv (alle mit # gesperrt)

    Ich würde mich freuen, bald eine bessere Anleitung zum verändern der hosts Datei zu bekommen. Vielen Dank für Euren super Einsatz, Euer
    Thanassis

    1. Hallo Athanasios,

      wir würden uns freuen, wenn Du Dich bei uns im Forum (http://forum.botfrei.de) registrierst. Wir unterstützen Dich gerne und nutzen diesen “Eingangskanal” um neue Wellen zu sichten und unsere Anleitungen zu überarbeiten!

      Grüße,
      TK, ABBZ

  2. Das ist doch alter Kaffee.

    Den Krempel gibt es doch schon ewig.

    Das ist ein Baukasten, damit kann man auch eine Meldung von der CIA erstellen.

    – Die Bezahl-Methode bleibt aber gleich.

    Ab dem 10.01.12 gibt es wieder Arbeit für die Helfer, denn eine neue Welle kommt.

    Tschau

    1. Hallo tk

      > wir würden uns freuen, wenn Du uns mit Deinem Wissen im Forum begleitest!

      Wirklich ?

      Ich bin für die radikale Methode 😉

      So, “lösche das und dieses” ohne Logs ist nicht mein Ding.

      Wenn eine Infektion vorliegt, sollte man einen neuen Start bevorzugen.

      Besonders bei ” Blackhole ”

      Bin ich immer noch erwünscht ?

      Tschau

    2. Warum nicht? Ziel ist es dem Kunden zu Zugriff auf seinen Rechner zu ermöglichen, damit er seine Daten sichern kann! Wenn es notwendig ist, dass der Kunde seinen Rechner neu aufsetzt, warum sollte man ihm das nicht sagen?!

      Grüße,
      TK, ABBZ

  3. Hallo,
    erstmal danke für die Anleitung.

    Habe gerade den Virus vom Laptop meines Chef’s entfernt. Naja zumindest größtenteils… denn es gibt schon wieder eine etwas andere Version. Bei meinem Fall war der name der Datei “ActiveX32_64lo.exe” und die “dwlGina3.dll” konnte ich nirgens entdecken. Auch die LocalHost datei war unberührt. Die bloße entfernung der exe scheint aber auch gereicht zu haben um zumindest wieder arbeiten zu können und demnach mit MBAM den rest zu erledigen.

    Für alle die den Fehler gemacht haben zu bezahlen:
    SOFORT bei Paysafe anrufen und sagen das man auf den GEMA Virus reingefallen ist. Wenn man glück hat ist das geld noch da, dann kann man die Paysafe karte sperren lassen und sich das geld zurück überweisen lassen.

    MfG
    Joachim

  4. Hallo, ich bräuchte dringend Hilfe. Ich habe genau diesen Gema-Trojaner. Das Browserfenster sieht genauso aus wie auf dem Screenshot. Das Problem ist: meine Version ist anscheinend noch schlimmer als diese von euch beschriebene neue Version.
    Ich habe ihn mir das auf einer dubiosen Internetseite eingefangen. Alle Versuche das Fenster zu schließen schlugen fehl.Wenn ich in den Taskmanager gehen will, erscheint ein Fenster, dass ich keine Administratorrechte habe. Als das Fenster doch nach dem x-ten Versuch mal zufällig verschwand, war der Desktop leer und schwarz, man kann auch nicht auf das Startmenü zugreifen.
    Soweit so gut! Ich hatte schon mal sowas ähnliches was ich mir über den prefetch ordener eingefangen habe. Deswegen war ich nicht so beunruhigt. Ich habe es also versucht auf die übliche Weise zu entfernen:
    – Im abgesichterten Modus neu starten
    – Schad-Dateien und Registry-Einträge entfernen
    – Abschließender Virencheck
    Das geht aber bei dieser Version nicht, da es im abgesichterten Modus genauso ist wie im normalen Windows-Modus! Das heißt der Desktop ist schwarz, kein Zugriff auf Startmenü und Taskmanager und das nicht mehr zu schliessende Browserfenster öffnet sich beim Start-up.
    Kann mir jemand sagen, wie ich das Virus/trojaner wieder entfernen kann? Ich bin ratllos…
    Vielen Dank im voraus,
    Andreas

  5. Vielen Dank ABBZ!
    Ich habe mich registriert. soll ich das Problem dort nochmal posten? Ich habe mich bereits dort umgesehen und ein paar Ansätze gesehen. Zum Beispiel in den abgesicherten Modus mit Eingabeaufforderung gehen und dann direkt “msconfig” eingeben und den Systemstart des Trojaners blockieren. Außerdem habe ich mir eine Avira rescue disk gebrannt , um von außerhalb Windows den Virus hoffentlich zu entfernen. Mit einer Ubunto Live CD könnte ich eventuell auch wieder Zugriff auf den Rechner bekommen und den Virus entfernen.
    Grüße,
    Andreas

  6. ich bin bei der anleitung zur entfernung vom gema 2.01 trojaner bei schritt 6 gescheitert .. genauer gesagt: wenn dort steht schreibe cd/ dann ist alles in ordnung .. bei cd users auch noch aber wenn ich cd (kontonamen) schreiben muss dann erkennt der pc den kontonamen nicht und dann steht da : pfad nicht gefunden…

    1. Hallo Tim,

      gerne laden wir Dich in unser Support-Forum unter: http://forum.botfrei.de ein! Unsere Experten, als auch die Community helfen Dir dort gerne Einzelfallbezogen & individuell weiter! Hier im Blog ist uns das nicht mgl.!

      Grüße,
      TK, ABBZ

  7. Achtung es ist n neues GEMA Virus Drausen.
    Die Daten sind nicht sehr arg versteckt, aber haben es in sich.
    Die Regestry wurde verändert sitz etz scho seit 6h dran.

  8. Hallo, seit 2 Tagen bin ich auch betroffen, ich hab wegen 2 Adminkonten noch Zugriff auf den abgesicherten Modus des Computers über msconfig, F8 funktioniert nicht. Alle Virenprogramme, auch die Rescue 10 von Kaspersky finden nichts. Wenn ich neu starte, kommt immer wieder der Bildschirm mit der Zahlungsaufforderung, Was kann ich noch tun ? wo ich ihn herhabe weiß ich, russischer Server mit Unmengen deutschen ebooks, 7 Jahre gut gegangen, ich weiß ich bin selber schuld, jetzt will ich das Ding nur noch loswerden, da werden Massen anderer Downloader auch noch betroffen sein. Danke Nike

    1. Hallo Nike & herzlich willkommen auf botfrei.de!

      gerne helfen wir Dir weiter! Registriere Dich hierzu bitte in unserem Support-Forum unter: http://forum.botfrei.de und erstelle in der Kategorie “Hilfe” –> “Windows Systeme” ein neues Thema in der Du uns Dein Problem schilderst.

      Grüße,
      TK, ABBZ

  9. Hallo,
    bei mir scheint die Sache sehr kompliziert! (Windows XP)
    habe ebenfalls diese ganze neue Variante des GEMA-Trojaners – öffnet sich selbst im abgesichterten Modus sofort (weder Taskmanager noch Dos-Fenster lassen sich öffnen) – habe dann sämtliche empfohlene Antivir-Programme vom USB-Stick booten lassen, das einzige Programm war Norton, was geladen werden konnte. da sind aber folgende Probleme:
    beim Norton Power Eraser Wiederherstellungsscan kommt nach dem Download der aktuellen Daten die Fehlermeldung “Fehler beim Abrufen des Systempfads, Fehlercode: 0x80045006,0”, und beim erweiterten Wiederherstellungsscan findet Norton keinen Trojaner (version vom 03.02.12!!).
    In Norton gibt es dann noch die Funktion “Eingabeaufforderung” – dort komme ich zwar in den Dos modus, habe Benutzer und Laufwerke über den Befehl “Dir” auslesen lassen, aber nirgends wird mir eine verdächtige Datei angezeigt, die ich löschen müsste. Bin ratlos….!!

    1. Gerne helfen wir Dir weiter! Registriere Dich hierzu bitte in unserem kostenfreien Support-Forum unter: http://forum.botfrei.de und trage uns dort Deinen Fall in einem eigenen Thread vor! Hier auf dem Blog ist uns eine individuelle Unterstützung leider nicht möglich!

      Grüße,
      TK, ABBZ

  10. ps: diese Infos habe ich auf der Seite
    http://www.evild3ad.com/ noch gefunden (unten):
    Funktionalitäten:
    – liest die laufenden Prozesse aus
    – liest Benutzername und SystemDefaultLangID aus
    – übermittelt generierte Hardware ID, Computername, lokale IP-Adresse sowie Windows-Version an den Remote Host
    – deaktiviert den Windows Task Manager sowie den Windows Registry Editor
    – blendet die Icons auf dem Desktop aus

  11. habe am 25.02.12 den Gema-Virus 2.01 eingefangen. Habe HDD ausgebaut, in externes Gehäuse gesteckt und nach Dateien mit Datum 25.02.2012 gesucht. Diese gelöscht und auf Stick kopiert. Rechner ist wieder ohne erkennbare Mängel einsatzbereit. Der De-Cleaner meldet keine Schadsoftware. Ist nun in der Registry noch was zu erledigen? Besteht Interesse an diesen 4 Dateien? Die gema.exe war insgesamt 3x im System auffindbar.

    1. Wäre auch noch Wichtig für ein weiterhin sauberen PC !!

      Hier noch ein paar Tipps für die Zukunft:

      Rüste dein System mit Secunia und Updatechecker von Filehippo aus um immer auf dem aktuellsten Stand zu sein. Verzichte auf den parallelen Einsatz anderer Antivirenlösungen neben Antivir (z.B. McAffee / AVG / Kaspersky), da diese sich gegenseitig ausbremsen bzw. schlimmstenfalls eleminieren. Wenn du mit dem Firefox surfst, installiere die Addons noscript und Adblock plus. Deaktiviere die Autorunfunktion Autorun deaktivieren. Installiere dir als 2tes Auge auch mal solche Tools wie superantispyware und Malwarebytes und lasse sie gelegentlich mal scannen – ist ganz hilfreich. Verzichte außerdem auf den Einsatz von Toolbars in den Browsern, denn sie stellen ein Sicherheitsrisiko dar – darauf schauen das du sie bei Programminstallationen abwählst.

      Gruß aus BRB

Kommentare sind geschlossen.