• Home ·
  • Anleitungen ·
  • UPDATE Vorsicht vor GEMA Virus/Trojaner – So bekommt ihr den Virus wieder weg!
  • 30Mrz

    UPDATE Vorsicht vor GEMA Virus/Trojaner – So bekommt ihr den Virus wieder weg!

    Nach dem, mittlerweile, sehr bekannten Bundeskriminalamt und Bundespolizei Virus/Trojaner, taucht auch schon der nächste Schädling auf, welcher sich diesesmal unter dem Namen der GEMA versteckt.

    UPDATE 17.11.2011: Neue Namen für Virus/Trojaner aufgetaucht und Artikel hinzugefügt. (Vielen Dank an Andy)

    UPDATE 13.12.2011: Neue Namen für Virus/Trojaner aufgetaucht und Artikel hinzugefügt.

    UPDATE 02.01.2012: Tipps zur Beseitigung von Problemen nach der Entfernung des GEMA-Virus hinzugefügt.

    UPDATE 30.03.2012: Neue Namen für Virus/Trojaner aufgetaucht und Artikel hinzugefügt. gema.exe, mor.exe

    So dürfte sich mancher User in den letzten Tagen oder Wochen über einer dieser Meldungen gewundert haben:

     

     

    “Auf Ihrem Computer wurden illegal heruntergeladene Musikstücke (Raubkopien) gefunden. Durch den Download wurden die Musikstücke vervielfältigt, so dass ebenfalls eine Strafbarkeit gemäß § 106 Urhebergesetz gegeben ist.

    Der Download von urheberrechtlich geschützten Musikstücken durch das Internet oder eine Musiktauschbörse ist illegal und wird gemäß § 106 Urheberrecht mit Geldstrafe oder Freiheitsstrafe von bis zu 3 Jahren bestraft. Weiterhin ist der Besitz nach § 184 Absatz 2, STGB strafbar und kann auch zur Entziehung des Rechners führen, mit dem Dateien heruntergeladen wurden.

    Eine eindeutige Identifizierung Ihrer Person ist mit Ihrer IP-Adresse und des Rechnernamens problemlos möglich. Die gefundenen Raubkopien wurden verschlüsselt und in geschützte Verzeichnisse verschoben.

    Um die Sperre aufzuheben und weitere Strafrechtlichen konsequenzen aus dem Weg zu gehen, sind Sie verpflichtet eine Mahngebühr in höhe von € 50,- zu bezahlen. Zahlbar durch unseren Paymentpartner Ukash. Nach  erfolgreicher Bezahlung wird Ihr Computer automatisch entsperrt.

    Um die Bezahlung durchzuführen, geben Sie den erworbenen Ukash-Code in das vorgesehene Zahlungsfeld ein, wählen Sie den Wert Ihres Codes und drücken Sie anschließend auf “Absenden”

    Die GEMA ist gesetzlich legitimiert – und steht in engem Kontakt zu den Gesetzgebern”

     

    Keine Panik! Es handelt sich nicht wirklich um eine Meldung der GEMA. Ganz im Gegenteil! Hierbei handelt es sich um eine gefälschte Meldung von Internetkriminellen!

    Bevor wir euch sagen, wie ihr diese Meldung, bzw. diese Viren/Trojaner wieder entfernen könnt:

    Die goldene Regel! NIEMALS BEZAHLEN!

    Das bezahlte Geld ist unwiderruflich verloren, doch die Meldung bzw. der Virus bleiben!

    Prävention und Ursachenklärung:

    Als erstes sollte man sich kurz überlegen, wir man den Virus bekommen haben könnte, bzw. ob man überhaupt ausreichend Geschützt ist und sich deshalb diesen Virus eingefangen hat. Hat man zum Beispiel keinen oder nur einen kostenfreien Antivirenschutz (Avira AntiVir, AVG Free Antivirus etc.) installiert, kann man sich die Frage schon selbst beantworten. Ein kostenfreier Schutz reicht heutzutage oftmals einfach nicht mehr aus (über garkeinen Virenschutz müssen wir hier glaube ich nicht diskutieren, das ist ein NOGO)! Die häufigste Infizierungsgefahr bei diesen Viren/Trojanern sind die sogenannten Drive-by-Downloads. Das bedeutet, ein Virus installiert sich bereits durch den reinen Besuch einer Internetseite. Hiefür wird eine Sicherheitslücke im Browser ausgenutzt – Man muss also nur eine Internetseite anschauen, schon wird im Hintergrund, ohne unser Wissen, der Virus oder Trojaner heruntergeladen und installiert – Ein kostenpflichtiger Schutz ala Norton Internet Security kann uns hier in vielen Fällen bereits Schützen, da dieser alle Webseiten bereits vor unserem Besuch auf Gefahren überprüft und uns bei einer Gefahr davor warnt und die Seite blockiert. Ein Free Antivirus wird solche Attacken in den meisten Fällen nicht erkennen – Der Virus wird also einfach installiert.

    Das können wir versuchen:


    Einfache Virenentfernung via BootCD und Abgesichertermodus.

    Erweitere Virenentferung via Registryeditor und Eingabeaufforderung.

     

    Anleitung einfache Entfernung des GEMA Virus via BootCD und Abgesichertermodus.

     

    Als aller erstes, sollten wir mal versuchen, den PC oder das Notebook im Abgesicherten Modus von Windows zu starten. Solltet ihr euer Gerät aufgrund der Meldung nicht ausschalten können, haltet einfach 5 – 6 Sekunden lang den Einschaltknopf gedrückt. Der Strom wird komplett vom Gerät getrennt und das Gerät ist dann ausgeschaltet. Nun schalten wird unseren Computer wieder ein und drücken immer wieder die “F8″-Taste. Im normalfall sollte nach einer Weile ein Auswahlmenü erscheinen , weiße Schrift mit schwarzem Hintergrund. (Solltet ihr ein blauen Menü angezeigt bekommen, dann handelt es sich hier warscheinlich um das Bootmenü. Drückt einfach auf die “ESC”-Taste und wiederholt das Tippen auf “F8″.) Wir haben mehrere Auswahlmöglichkeiten, entscheiden uns hier für den Abgesichertenmodus mit Netzwerktreibern. (Es ist für den späteren Verlauf wichtig, den Modus mit den Netzwerktreibern zu verwenden, da wir einen Zugang zum Internet benötigen werden). Wartet bis Windows mit einem schwarzen Desktophintergrund geladen wird und bestätigt alle Meldungen zum Abgesichertenmodus mit Ja oder OK. (Sollte hier nun auch die Meldung des Bundestrojaners auftauchen, dann springt bitte zum nächsten Punkt Viren und Trojanerentfernung via Boot CD.)

    Als erstes müsst ihr euch nun ein spezielles Tool von Norton herunterladen – Den Norton Power Eraser. Das Tool ist selbstverständlich kostenfrei.

    Speichert das Programm am besten auf den Desktop eures Computers, damit ihr den Download wieder findet. Führt das Tool aus, bei Windows Vista und Windows 7 startet ihr das Programm mit einem rechtsklick und wählt “Als Administrator ausführen”. Akzeptiert die Lizenzbedingung, anschliessend wählt ihr “Scan for risks”. Beim nächsten Fenster wählen wir “Exclude Rootkit Scan” und Klicken auf “Continue”. Der Norton Power Eraser scannt nochmal kurz nach Updates und startet dann den Scanvorgang des Computers. Dieser Vorgang kann je nach Leistung eures Computers/Notebooks variieren. Von zwei, drei Minuten, bis zu einer halben Stunde oder mehr. Also – Geduldig sein! Hat der Power Eraser nun einen Schädling entdeckt, dann klickt auf “FIX”, der Power Eraser löscht den Virus/Trojaner nun von eurem Computer.

    (Sollte das Programm wieder erwarten nichts gefunden haben, oder der Virus taucht nach einem Neustart immer noch auf, dann haben wir hier noch folgende Tipps für euch: Installiert im Abgesichertenmodus eine Testversion zum Beispiel von Norton IS 2012. Zusätzlich solltet ihr noch das Programm “Malewarebytes AntiMaleware” herunterladen und ausführen.) Eine Testversion von einer Internetsecurity ala Norton oder Kaspersky ist zudem empfehlenswert, damit noch weitere Schädlinge, die der Power Eraser nicht löscht, entfernt werden. Der Power Eraser löscht lediglich nur hartnäckige und schwerwiegende Trojaner und Viren.

     

    Viren und Trojanerentfernung via Boot CD

    Haben die ersten Punkte auch hier nicht funktioniert oder ihr konntet die ersten Schritte nicht durchführen, da auch im Abgesichertenmodus die Meldung auftaucht, dann haben wir hier noch eine Möglichkeit via einer Boot CD den Virus zu entfernen. Zum Erstellen und Brennen einer solchen Boot CD wird sowohl ein funktionierender Computer, als auch ein Brenner vorausgesetzt.

    Hierfür gibt es folgende Boot CDs von verschiedenen Herstellern die zu empfehlen sind:

    Norton Bootable Recovery Tool -> Benötigt wird eine originale Norton Lizenz, ansonsten kann die Boot CD nicht ausgeführt werden. Wir haben für euch einen abgelaufenen, aber für die BootCD, funktionierenden Lizenzcode besorgt.

    Lizenz/Key für Norton Boot CD/Bootable Recovery Tool:

    J78C3-9VMG6-JTM6V-CTBBH-J4T27

    Avira Rescue System Boot CD -> kostenfrei, keine Lizenz benötigt. Ein Brennprogramm wie zum Beispiel Nero oder ImageBurn werden benötigt um die Boot CD zu brennen.

    Kaspersky Rescue Disk 10 auf CD -> kostenfrei, es wird keine Lizenz benötigt. Ein Brennprogramm wie zum Beispiel Nero oder ImageBurn werden benötigt um die Boot CD zu brennen.

    Kaspersky Rescue Disk 10 auf USB-Stick -> kostenfrei, es wird keine Lizenz benötigt.

    Solltet ihr hierbei auch erfolglos bleiben, dann solltet ihr euch ernsthaft gedanken über eine Neuinstallation von Windows machen. Alternativ könnt ihr ein paar Tage warten und hoffen, dass die Hersteller Updates für ihr Produkte veröffentlichen, welche diese Version des Virus/Trojaner erkennen und löschen können. Wenn ihr beim Stichwort Registryeditor nicht mit den Achselnzuckt, dann könnt ihr auch noch nachfolgende Erweitertelösung versuchen.

     

    Anleitung erweiterte Entferung des GEMA Virus via Registryeditor und Eingabeaufforderung.

    Startet den Computer im Abgesichertenmodus mit Eingabeaufforderung (es muss dieser Modus sein, ansonsten funktioniert dieser Modus nicht) über F8. Nachdem der Rechner gestartet ist und ihr die CMD vor euch geöffnet habt, gebt also erstes “explorer.exe” ein und bestätigt mit Enter. Nun sollte sich der Datei-Explorer von Windows öffnen.

    (Sollte sich der Explorer nicht öffnen können wir einwenig tricksen. Gebt statt explorer taskmgr in die CMD ein und bestätigt mit enter. Nun öffnet sich der Taskmanager. Klickt nun auf Datei > Neuer Task (Ausführen…). Klickt nun auf Durchsuchen. Jetzt habt ihr eine “abgespeckte Version des Explorers und könnt mit der Anleitung fortfahren.)

    Da manche Verzeichnisse, in denen sich der/die Viren des Gema-Virus befinden, versteckt sin, müssen wir diese über die Ordneroption von Wwindows sichtbar machen.

    Bei versteckte Ordner und Dateien anzeigen in Windows Vista/7:

    Organisieren > Ordner- und Suchoptionen > Ansicht > Ausgeblendete Dateien, Ordner und Laufwerke anzeigen. > Bestätigt mit Übernehmen > OK

    Bei versteckte Ordner und Dateien anzeigen in Windows XP:

    Extras > Ordneroptionen > Ansicht > Ausgeblendete Dateien, Ordner und Laufwerke anzeigen. > Bestätigt mit Übernehmen > OK

    Nun machen wir uns daran, den Gema Virus/Trojaner von unserer Festplatte zu löschen.

    Geht dazu in folgende Verzeichnisse und Löscht diese Dateien:

    4aygerhye4.exe (oder Ähnliche), 54uhjseiu6rtjut.exe (oder Ähnliche), mahmud.exe, adfshare34.exe, rdiut6i6d.exe, hrt54is56ijfgte.exe, dwlGina3, gema.exe, mor.exe

    C:\

    C:\Windows\System32\config\systemprofile\AppDara\Roaming\

    (Windows XP) C:\Dokumente und Einstellungen\(Benutzername)\Anwendungsdaten\mahmud.exe (Wiederholt dies bei jedem Benutzernamen, auch beim Administrator)

    (Windows Vista/7) C:\Users(Benutzer)\(Benutzename)\AppData\Roaming (Wiederholt dies bei jedem Benutzernamen, auch beim Administrator)

     

    Da der Gema Virus sich nicht nur in Form von Dateien ablegt, sondern auch Einstellungen und Registryschlüssel ändert, müssen wir nun noch in die Registry von Windows und folgenden Eintrag korrigieren:

    Öffnet die Registry über den Taskmanager -> Neuer Task -> regedit, oder über CMD -> regedit

    Pfad: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    “Shell”=”Explorer.exe” (warscheinlich steht hier eine der drei oben genannten Dateien, 4aygerhye4.exe (oder Ähnliche), 54uhjseiu6rtjut.exe (oder Ähnliche), mahmud.exe, rdiut6i6d.exe, adfshare34.exe, hrt54is56ijfgte.exe, dwlGina3, gema.exe, mor.exe)

     

    Startet den Rechner neu, nun sollte sich wieder der normale Desktop laden. Da der GEMA-Virus zum Teil noch weitere Einstellungen in Windows verändert, prüft bitte ob standard Funktionen wie Internet noch funktionieren. Sollte dies nicht der Fall sein (aktuell sind nur Windows XP Nutzer davon betroffen), dann ist der einfachste Weg eine Reparaturinstallation durchzuführen. Wir haben bis jetzt noch keinen Weg gefunden, dass Internet ohne Repinstall. zu reaktivieren.

    Für eine Reparaturinstallation geht wie folgt vor:

    Bootet von der Windows XP CD. Im ersten Fenster gehen wir weiter mit dem Betätigen der Entertaste. Lizenzvereinbarung mit F8 bestätigen. Im nächsten Fenster sucht Windows nun nach vorhandenen Windows Installationen, habt ihr die passende Windows CD zu eurer Windowsinstallation eingelegt, dann sollte hier nur mittels der Taste “R” die Möglichkeit bestehen, eine Reparaturinstallation durchzuführen. Kontrolliert bitte ob eure CD zu eurem Windows wirklich passt (XP Home und Xp Professional).

    Nach der Reparaturinstallation wird der Rechner hochfahren und warscheinlich beim Bildschirm “Bitte Warten” stehen bleiben. Schaltet den Rechner einfach aus und wieder an. Jetzt fährt der Rechner komplett hoch und wird eine Aktivierung für Windows  fordern. Diese wird sich sehr warscheinlich aber nicht öffnen und wir haben wieder den leeren Desktophintergrund. Sollte bei euch Windows doch normal starten – Wunderbar, dann seid ihr schon fertig. Alle Anderen lesen hier weiter – Schaltet den Rechner wieder aus und startet im Abgesicherten Modus OHNE Netzwerktreiber – Wichtig, da in diesem Modus keine Aktivierung erforderlich ist! – Hier sollte sich jetzt euer Desktop ganz normal öffnen. Ladet euch von eurem funktionierenden Computer die Installationdatei für den Internet Explorer 8 herunter – Download – Übertragt die Installationsdatei via USB-Stick oder CD auf den Rechner mit dem Abgesicherten Modus. Installiert den iE8, entfernt in der Installation das Häkchen für “Updates”. Nach erfolgreicher Installation startet ihr den Rechner neu (normaler Windows Modus).  Windows schreit wieder nach der Aktivierung, diesesmal wird sie sich aber öffnen. Aktiviert Windows via Telefon oder Internet und – voila – Der Desktophintergrund erscheint wieder!!!

     

    Installiert am besten eine Testversion einer Internetsecurity von Norton oder Kaspersky, um weitere Schädlinge zu identifizieren und zu entfernen.

    Solltet ihr bis hier keinen Erfolg haben, dann bleibt euch eigentlich nur eine Neuinstallation, bei Windows Vista und 7 gibt es leider keine richtige Reparaturinstallation mehr wie bei WIndows XP.

     

    Sicher ist nur die Neuinstallation

    Einen 100% Schutz gibt es nicht, sicher ist nur das Löschen eurer Festplatte und das Neuinstallieren von Windows. Ihr könnt nur versuchen euch präventiv für das Nächstemal bestmöglich mit einem ordentlichen Antivirenschutz zu schützen.

    Hier könnt ihr die führenden Top-Produkte im Sicherheitsbereich erwerben:

     

    Ihr habt nach der Entfernung noch Probleme? Hier füge ich euch nach und nach immer neue Tipps zur Beseitigung von Problemen nach der Entfernung des GEAM-Virus.

    Problem: Taskmanager und/oder Programme (.exe) lassen sich nicht mehr öffnen.

    Lösung: Fügt ein neues Benutzerkonto übder die Systemsteuerung hinzu. Solltet ihr hier Probleme haben, so fahrt den PC im Abgesicherten Modus hoch und meldet euch als Administrator an. Wenn ihr den neuen Benutz erstellt habt und das Problem behoben wurde, dann übernehmt eure Benutzerdaten eures alten Kontos auf euren neuen Benutzer. Die Daten sind in (Windows XP) x:\Dokumente und Einstellungen\(Benutzername) oder (Windows 7/Vista) x:\User(oder Benutzer)\Benutzername abgelegt. Löscht danach den alten Benutzer.

     

    Somit hoffe ich, ein paar armen Seelen geholfen zu haben. Ich freue mich natürlich über positive Rückmeldung und konstruktive Kritik! Über ein Like auf Facebook würde ich mich ganz besonders freuen ;)

     
    Probleme und/oder Fragen? Kein Problem! In unserem Forum helfen wir dir gerne weiter:
    Supportforum BlogPirat

    Bis dann – Klar machen zum entern! Arrrgh!

    derBlogPirat!



    Um auf dem neuesten Stand zu bleiben und keine News zu verpassen, könnt ihr entweder unseren RSS Feed abonnieren, unserem Twitter Account folgen oder Fan auf unserer Facebook-Fanpage werden.

    Über den Autor: Dodo
    Hobby-Pirat und Klabautermann, berufener IT´ler... geboren mit der Maus an der Hand, interessierte ich mich bereits in jungen Jahren für Technik und IT. Meine Lebensphilosophie: Es gibt 10 Arten von Menschen auf dieser Welt. Die die Binär verstehen, und die die es nicht tun.

  • Pingback: Wie entferne ich den Bundespolizei/Bundeskriminalamt Virus | BlogPirat

    • Zuli

      Nur mit Norton Cd gings endlich !
      ,booten dann in Online mit Power
      Eraser reinigen ,besten Dank
      Zuli

    • Julian

      Ich hab meinen PC neugestartet, im abgesicherten Modus kam auch wieder das blöde Fenster, dann hab ich ihn nochmal neu gestartet, nachm Hämmern von der F8 Taste kam dann die Frage ob ich den letzten Systempunkt wiederherstellen will(oder so ähnlich, darauf liefs auf jeden Fall hinaus). Danach hab ich den PC neu gestartet und jetzt gehts wieder tadellos.
      Grade die Verzeichnisse durchgeschaut, nix mehr da, lass aber zur Sicherheit mal AntiVir durchlaufen, würd mich wundern wenn der noch was findet.

      • un

        Das scheissding hat mir alles lahm gelegt ich komm an nix mehr ran.Hab schon alles versucht

      • nils

        glaub nicht das avira was findet

        • http://www.maik-wegner.de maik

          Avira hat bei mir den Trojaner entdeckt und restlos beseitigt

    • thc

      Tausend Dank.
      Ich war schon kurz davor meinen Rechner neu zu installieren,
      aber dann habe ich glücklicher Weise deinen Beitrag gefunden.

      Ich kann mich gar nicht genug bedanken =)

    • Mira

      Danke für die Lösung.
      Hatte, bei mir, leider nicht funktioniert.
      Ich hab in der Registry alle Einträge von gema.exe und mor.exe gelöscht. Bei mir standen auch noch ein Kommentar dabei. Den nochmal in der Registry suchen und auch die passenden Einträge löschen.
      Dann auf C:/ alle Dateien und Ordner löschen die gema.exe und mor.exe heißen.
      Danach eine Systemwiederherstellung und gut war’s.

      Mira

    • kla

      Wenn direkt nach dem Start im abgesichertem Modus sowie dem anmelden strg alt entf gedrückt wird geht noch der task manager auf und ihr könnt noch die prozesse rausschmeißen! schnell sein, zeit nehmen und ausprobieren. Dann können aber noch Dateien gesichert werden :D nur woher weiß ich ob nicht noch woanders der scheiß schlummert?
      lg

    • http://servicenetwork24.de Erik

      Coole beschrebung!!!

      Es geht bei w7 mit dvd und dann systemwiederherstellung wieder weg

    • daniel

      Hi, ich habe (glaube ich) noch einen weiteren ordener gefunden der einer betrachtung (unter win7) wert wäre:
      C:\ProgramData\gema\gema.exe

      desweiteren hatte ich die angenehme erfahrung, dass mein McAfee im ersten moment zwar das zuschlagen des virus erlaubt hat. allerdings nach einigen sekunden den virus hat löschen können. als ich in den betroffenen ordneren und reg einträgen gesucht habe war dort nix.

      • Kornelija

        Danke Daniel! Der Tipp in ProgramData zu suchen war sehr hilfreich, da unter Roaming das Gema Virus nicht auftauchte. War schon am verzweifeln!

    • marco

      ich freu mich so hab den f..k trojana auch gehabt. screenshoot gemacht polizei kontaktiert und dann die seite zum glück gefunden. auch bei mir nur mit norton cd gings un dann power eraser.
      vielen vielen Dank ^^

    • Rasha

      Die Reparaturoption von Windows (die man über DVD) startet, bereinigt das System auch bzw schaltet es frei und löscht sowohl die Einträge im Roaming, als auch in der Registry.

      Zur Sicherheit sollte aber trotzdem das System neu aufgesetzt werden.

      • http://www.blogpirat.de/ Dodo

        Eine richtige Reinigung darf man das nicht nennen. Die Dateien auf C: werden nicht verändert, außer die von Windows selbst, somit bleibt die Datei des Virus erhalten, lediglich die Registryeinträge werden wieder auf Standard gesetzt. Eine Virenprüfung oder Neuinstallation kann also nicht von einer Reparaturinstallation ersetzt werden.

    • Marcus

      geht bei mir leider alles nicht.
      Ich kann nicht mal mehr hochfahren, auch nicht im abgesicherten Modus. Der Rechner fällt immer zum Start zurück. Da bleibt wohl nur die Komplette Neuinstallation?

      • http://www.blogpirat.de/ Dodo

        mit Boot-CD versucht?

        • Marcus

          sorry, nein. War etwas voreilig. Da bin ich jetzt noch dran. Hab schonmal mit Knoppix die Daten retten können :)

    • Linda

      Leute! Bei mir war der GEMA-Trojaner im Registry NICHT bei “Shell”=”Explorer.exe” sondern bei Userinit!!! Schaut bei euch genau hin!

    • cas

      hey, ich verstehe noch nich ganz was mit shell = explorer.exe gemeint ist, was soll ich denn da machen ? ^^

    • http://- DerErrichter

      Man kann fürs erste auch über die Tastenkombination Strg. + Alt. + Entf den Taskmanager aufrufen und dann den Prozess gm.exe von GEMA oder den Prozess, der mit einer verqueren Zahlenkombination benannt ist beenden

    • cka

      Hi,
      super Anleitung.
      selbst für Viruskiller-Neulinge geeignet.
      Dankeschön

  • Werner

    Das bezahlte Geld ist unwiederruflich verloren.

    Besonders geil, wenn man seine Rechtschreibfehler auch noch dick markiert.

    • http://www.blogpirat.de/ Dodo

      Vielen Dank für den (mehr oder weniger netten) Hinweis ;)

      • Bernd

        Hi Dodo,
        mach Dir nichts aus diesem mehr als dummen Kommentar von Werner. Anstatt sich darüber zu freuen, daß sich einer hinsetzt und genau erklärt wie dieser Trojaner entfernt wird, mokiert er sich über einen Rechtschreibfehler. Zeigt nur wes Geistes Kind dieser Mensch ist. Solchen Leuten wünsche ich manches Mal, daß Ihr Rechner so verseucht ist und sie nirgendwo Hilfe bekommen!!
        Ich konnte mit Deinen Tipps jedenfalls einem Bekannten helfen.
        Danke!
        Gruß
        Bernd

        • OlliB

          Dem kann ich mich nur anschliessen – form follows function -. Wenn man so einen langen Text tippt, sidn diese Fehler verzeihbar.

          Lass Dich nicht beirren, mir war der text auch hilfreich!

          Gruß

          • ErnstMach

            Grüß Dich,
            der GEMA hat mich auch erwischt. Wie kann ich dem Dodo mein Problem schildern? Da blicke ich nicht durch. Kannst Du mir helfen?
            Herbert

    • Geoschach

      Hallo Werner,
      Ganz besonders „geil“ isses allerdings
      Rechtschreibfehler zu monieren,
      welche lt. Duden und anderer Lexika
      gar keine sind!!!
      Das ist hier allerdings echt ein Fall für´s
      so genannte „Fremd schämen“ ! ! !

      • Vektor

        Hallo Geoschach,

        Werner hat absolut recht und auch der Duden sagt garantiert nichts anderes. Das Wort “wider” hat die Bedeutung von “gegen” und somit ist “unwiderruflich” richtig und “unwiederruflich” hingegen falsch.

        • InuYasha

          OMG. Khorintenkacker! Echt!

          Wenn einer solche Hinweise ”ehrenamtlich” verfaßt, welche uns Usern weiterhelfen sollen… dann kotzt es mich echt an, wenn solche ZENSIERT
          sich über rechtschreibfehler mokieren.
          Da stelle ich mir selber doch die Frage, warum meckert jemand darüber? Will er den Beitrag ins Lächerliche ziehen? Bestimmt. Und warum? Weil der Meckerer selber solche Schadprogramme mag oder gar selber in Umlauf bringt?
          :P :P :P

          Deppen sage ich da nur. Den Rest meines Kommentares spare ich mir hier lieber…

  • Andy

    Habe die Anleitung mit Registirerung gemacht. Die angebeben Dateien hatte ich nicht gefunden. Aber es gibt eine rdiut6i6d.exe. Wenn man die löscht und die Registrie ändert und den Rechner neu bootet, dann freut man sich, genau 5 Sek und die Blockierung ist wieder da. Aber es gibt noch eine adfshare34.exe. Die auch löschen und dann kann man den Rechner wieder nutzen. Einziges Problem: Man hat keinen Desktop mehr mit Icons. Hat jemand einen Vorschlag diesen wieder herzustellen?

    • http://www.blogpirat.de/ Dodo

      Hi Andy,

      danke für den Hinweis zu den neuen Dateinamen.
      Wegen dem Problem mit dem Desktop. Gehe hierfür in folgenden Registryschlüssel:
      Pfad: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
      “Shell”=”Explorer.exe”

      Lösche alles was bei shell steht und ersetze es, wie oben, mit Explorer.exe. Dann wird dein Deskop wieder erscheinen.
      Wenn das auch nicht hilft -> Abgesicherter Modus -> Bei “Administrator” anmelden (nicht dein Benutzer) -> Systemsteuerung -> Benutzerkonten -> Erstelle einen neuen Benutzer z.B. Test -> Lösche deinen alten Benutzer und setze den Hacken bei Daten behalten. Anschliessend befinden sich deine gesamten Eigenendateien immer noch auf C: und der Desktop wird beim neuen Benutzer geladen.

      Hoffe ich konnte helfen ;) und du belohnst uns mit einem Like auf Facebook =) (würde mich drüber freuen ;) )
      MfG Dodo

      • Django

        Hi Dodo,

        ganz herzlichen Dank für deine Hilfe auf dieser Page. Der Rechner meiner Freundin hatte den Gema-Trojaner und nach unzähligen Boot-Recovery-CD’s (Avira, Norton) war ich zumindest soweit in der Lage, die Registry zu ändern. Die finale Wiederherstellung erfolgte dann aber über die von dir angegebene Reg-Änderung. That did the trick. Vielen Dank dafür, jetzt werden die Daten gesavt und dann der Rechner geplättet. War echt hartnäckig dieses Ding!! Also nochmals Danke für deine Zeit und @Werner: shut the fuck up and go to hell!!!

        CU Django

        • GodIsAGabber

          Hi ich wollt nur mal saben das ich es viel einfacher allein geknackt hab und bin ers 16^^ hab 1-3 min. gebraucht ich erzähl euch auch wieso bei mir war er ausgereiter und kahm mit der cmd.exe nicht auf den taskmanager und regedit… als mir dan die idee kahm das ich mein system einfach auf einen vorherigen zeitpunkt zurücksetzten kann das tat ich dann auch und schwups ging er wieder ;) zum glück ich hatte nämlich vor heut zu zocken was aber flach fiel da ich 3 h mit der anleitung gebraucht hab… aber ich hoffe mein eintrag kann euch auch weiter helfen;) MfG GodIsAGabber

          • cas

            Dir is schon klar das das was du gemacht hast ne Systemwiederherstellung gemacht war (Die bestimmt jeder machen würde wenn er die Möglichkeit hat) ? Und das nichts mit übernatürlichen Programmierkünsten zu tun hat ? ;)

  • Tanzfee

    Hallo erst mal!
    Leider haben bei mir die oben genannten Varianten nicht geholfen, da sich der Virus jetzt auch im abgesicherten Modus ausgebreitet hat, nachdem ich den Norton Power Eraser von dort aus ausgeführt habe.
    Besteht da etwa eine Verbindung? Norton hat nämlich die “setup.exe” als malware gefunden und gefixed

    • Klaus

      wenn du nix wichtiges drauf hast also mach ihn platt Treiber CD rein und platt machen ein zurücksetzen muss mann Ahnung haben oder gebe ihn in einer Werkstadt ab die machen Daten Sicherung und werden ihn für ca 50€ wieder herstellen
      mfG Klaus

  • samy

    So bin nun beim ausführen dieser schritte doch wenn ich im explorer bin dann ist bei mir die leiste wo organisieren steht nicht eingeblendet und ich finde keinen weg diese herzustellen :/
    wer kann mir helfen???

    • http://www.blogpirat.de/ Dodo

      Wenn organisieren bei dir aus gegraut ist, dann könntest du als kleinen Tipp, den Pfad der Order direkt über die adressleiste eingeben. So kommst du auch in versteckte Ordner, auch wenn diese nicht angezeigt werden

      MfG dodo

  • flexyo

    bei mir kommt sowas ähnliches wie “administrator blockiert regedit”, wenn ich regedit.exe per CMD eingebe, woran kann das liegen?

    • MrJohnny

      ich hab das gleiche problm bracuhe dringend hilfe !!!! :OO

    • Catweazle

      Hi,

      hatte das gleiche Problem (Win7), aber wenn der Explorer funktioniert, dann kommt man auch in die Systemsteuerung und hier in die Systemwiederherstellung, bei mir hat es geklappt, nachdem ich dort einen Wiederherstellungspunkt vor der Infektion ausgewählt hatte (Win7 stellt ja netterweise selbständig Wiederherstellungspunkte zur Verf. ohne, dass mer das selber machen muss).

      Bisschen warten, während Windows die Daten zusammensucht, dann Reboot und fupp ein “GEMA freies” System ;).

      Hoffe, das hat geholfen.

      Greetz

      Cat

      • oHneHelm

        Yiiiiiiieeeeeeehaaaaaa!
        God save Catweazle, Dodo und die Systemwiederherstellung!

        It works ^^

  • Chris

    Die einzige Anleitung im ganzen www, die funktioniert!
    Ich bedanke mich vielmals. Viel, viel, vielmals :)

  • ilkay

    wenn ich auf den taskmgr gehen will kommt diese nachricht
    “Der Task-Manager wurde durch den Administrator deaktiviert”
    Was muss ich machen damit ich auf den tskmgr reinkomme ??

    • http://www.blogpirat.de/ Dodo

      Melde dich im Abgesicherten Modus unter Adminstrator an und erstelle einen neuen Benutzer (systemsteuerung). Mit dem neuen Benutzer kannst du den Taskamanger wieder öffnen. Übernehm deine wichtigen daten über c: dokumente und einstellungen\benutzer und kopier sie auf deinen neuen benutzer, dann kannst dein altes profil löschen

      mfg dodo

  • ilkay

    Hallo dodo..
    wenn ich mich im abgesicherten Modus anmelden will kommt die Nachricht
    “Es besteht noch keine Internet Verbindung , bitte warten”
    hab jetzt 10 min. gewartet und es passiert nix…
    =(

    • Frank

      Es gibt mehrere “abgesichert” Modi.
      Einen ganz normalen, einen mit Netzwerktreibern und einen mit Eingabeaufforderung.
      Es muß der mit Netzwerk genommen werden, wenn man Zugriff auf das Internet haben will.

      Die Meldung ““Es besteht noch keine Internet Verbindung , bitte warten” auf dem Monitor deutet darauf hin, daß der Virus auch im abgesicherten Modus aktiv ist und jetzt auf seine Verbindung wartet. Man sollte die Anmeldung über einen anderen Benutzer probieren oder, falls nicht möglich, eine andere Reparaturvariante versuchen, ggf. Neuinstallation.

  • sejbar

    Gleiches Problem wie ilkay… sagt auch es besteht keine Internetverbindung, bitte warten. Benutze nen web-stick kann es daran liegen. Wieso muss das sch… Virusprogramm auch jetzt gerade erst ausgelaufen sein, mist. Bitte um Hilfe brauche den Pc für die arbeit was kann ich tun?

    • Frank

      Der Web-Stick hat nichts damit zu tun.
      Leider hilft hier auch nur die Anmeldung als anderer Benutzer oder ein anderer Reparaturversuch.

      Eventuell kommt man über die Anmeldung “Abgesichert mit Eingabeaufforderung” auch mit dem aktuellen Benutzer rein. Dann sollte man den einen oder anderen DOS-Befehl noch kennen …
      (regedit zum starten des Registrierungseditors, del zum löschen von Dateien, rmdir zum Löschen von Verzeichnissen, cd zum Verzeichniswechsel …)

      • retzi

        aber wie kann ich einen neuen benutzer machen wenn ich nichts machen kann der aht mich komplett gesperrt ich aknn nichts machen nich das menu öffnen garnichts und ich bin so langsam am verzweifeln weil bei euch allen immer geschrieben wird das ihr noch was machen könnt und ich total geblockt bin

        • http://www.blogpirat.de/ Dodo

          Les den Artikel nochmal sauber durch. Du sollst den abgesichertenmodus mit eingabeaufforderung verwenden. Und für eine BootCD brauchst du keine Zugriff auf deine Benutzer.

          • retzi

            ok danke aber kannst du bitte auch noch meinen anderen kommentar unten beantworten. danke.

          • http://www.blogpirat.de/ Dodo

            Mit dem neuen pc? Also besser ist eine neuinstallation immer. Wenn du keine wichtigen Daten hast, dann würde ich die Recovery des Herstellers bevorzugen, dann bist du auf der sicheren Seite ;)

          • CESS

            naja leute… dieser hacker hat sehr gute arbeit gemacht… denn der scheiss ist echt hart -.-***

            und danke an den dodo… denn der hat sich mühe gegeben den hack angriff auf minimalen schaden zu reduzieren…
            allerdings was auch gut ist:
            meine möglichkeit…
            sprich eine zweite festplatte als main herzurichten mit betriebssystem usw.
            anschliessend die infizierte platte als sec. anschliessend und diese platte (meist) f: mit einem anti virus progr. durch suchen lassen…
            anschliessend alle wichtigen dokumente fotos audios usw auf die main platte kopieren und die infizierte dann (bestmöglich 3 mal) zu formatieren… somit rettet ihr eure daten und könnt zu 99% sicher sein das der kack weg ist.
            naja.. so machte ich es und klappte logischer weise… ist zwar eine radikale aber meiner meinung nach die beste möglichkeit.
            mfg

          • Samira

            hallo cess, deine variante hört sich gt an, denn es wäre mir wichtig meine daten behalten zu können, die sache ist, der befallene pc ist ein notebook. hast du vielleicht einen tipp für mich???
            mein problem habe ich einige kommentare tiefer schon beschrieben.
            es wäre lieb wenn mir jemand helfen kann, da ich nicht wirklich ahnung von pc´s habe und meinen ungerne aus den händen geben würde. wenn jemand vorschläge hat kann sich dieser auch privat melden, es würde mich sehr freun.
            e-mail: Avril_@hotmail.de

            liebe grüße und danke im vorraus
            Samira

  • Axel

    hi dodo,
    ich habe deine anleitung soweit befolgt und die besagten daten rausgeschmissen.
    jetzt bin ich im Registry Editor und bin ehrlich gesagt überfordert. du hast geschrieben dass ich shell mit explorer.exe ersetzen soll. das einzige was ich sehe (mit shell) ist “AutoRestartShell”. aber da kann ich nichts ersetzen. wäre echt nett wenn du mir helfen könntest.
    mfg

    • Frank

      Wenn unter dem Pfad
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
      kein Key “Shell” existiert, füge ihn einfach hinzu.

  • Hemsbaecher

    Tausend Dank für die Anleitung!!!! Kleiner Tip für alle, deren Programme nicht mehr auf dem Desktop erscheinen: Wenn das Drecks- GEMA- Virus runter ist: System- Wiederherstellung über Zuberhör – Systemprogramme und alles ist wie neu!

  • Kinaru

    Der Norton Power Eraser hat mir zwar nicht geholfen, dafür aber die geniale Anleitung für das löschen der Programme über den Explorer und regedit.
    Vielen Dank, nach nichtmal 10 Minuten lief alles wieder super !

    • Test

      Hey Leute brauche bitte unbedingt eure hilfe…habe vorhin mit dem DE Cleaner von Antivir 3 Dateien löschen können, jedoh habe ich den Virus immernoch drauf.
      Im Verzeichnis C:\Windows\System32\config\systemprofile\AppDara\Roaming\ kann ich keine der genannten Dateien finden, obwohl ich die versteckten Ordner/Dateien aktiviert habe.
      Und im Schlüssel bei Shell steht auch die explorer.exe drinn, was kan ich denn jetzt noch tun?
      Es ist doch eigentlich alles ok oder hab ich jetzt etwas übersehen ?
      Danke im vorraus

  • http://www.glasundbeschlag.de André

    Hallo,

    ich hatte auch Den “GEMA-Virus”, leider aber nicht unter oben genannter Beschreibung gefunden.

    Schaut mal in folgendem Verzeichnis nach:

    c:\users\[profilname]\appdata\roaming\

    bei mir hieß die Datei: hrt54is56ijfgte.exe und darüber hatte ich noch eine Datei mit Endung *.dll.
    Habe beide gelöscht, nun geht der PC wieder.

    Tipp den ich vorher noch bekam, Win unter abgesichertem Modus mit Eingabeaufforderung starten und dann “msconfig” aufrufen, im Reiter “Systemstart” mal alle deaktivieren….und darüber habe ich auch die o.g. exe gefunden und den Pfad dazu…

    Viel Glück beim Entfernen und Danke an die Mühe die hier drin steckt und sich viele User gemacht haben, insbesondere aber auch an “Dodo”.

    LG
    André

    • basti

      Hallo ich habe deinen Weg benutzt.

      Ich habe die Datei hrt54is56ijfgte.exe gefunden und auch darüber eine…*.dll Datei. Beide habe ich gelöscht.

      Jetzt beim Neustart habe ich nur einen blauen Hintergrund. Wie soll ich weiter vorgehen.

      Danke für eure Hilfe ohne euch wäre ich ziemlich verloren.

  • http://www.boerse.bz/boerse/software-angebote/windows-software/dauerangebote/48984-mtdvd-rescue-troubleshooting-multi-tool-dvd.html# Teichmann Uwe

    mit der MTDVD Booten, Avast Boot starten Passwort:adminadmin
    Registrie bereinigen. Neustart.

    Wenn das nicht geht:
    mit der MTDVD booten: Windows Bartbe (LiveWindows) starten.
    Start -> Ausführen Regedit
    Pfad ändern.
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    “Shell”=”Explorer.exe” (warscheinlich steht hier eine der drei oben genannten Dateien, 4aygerhye4.exe (oder Ähnliche), 54uhjseiu6rtjut.exe (oder Ähnliche), mahmud.exe, rdiut6i6d.exe, adfshare34.exe)

    http://img14.imageshack.us/img14/3628/gemavirus.jpg

  • Philipp Wolfenstädter

    Hallo,
    ich hbe mal eine Frage: ich hatte diesen obengennanten Virus.
    Anti Vir Free hat leider nicht geholfen.Alles neuinstalliert und Microsoft Essential installiert. Meine Frage: Ist Microsoft Essential gut und wenn nicht was ist eine gute kostenlose Alternative?

    Mfg
    Philipp W.

    • http://www.blogpirat.de/ Dodo

      Avira ist im Vergleich zu anderen kostenfreien Produkten wohl eines der besten, wenn nicht sogar das beste Produkt. Aber eben nur leider im Vergleich zu anderen konstenlosen Alternativen. Einen besseren Schutz bietet dir hier nur ein Premiumanbieter ala Norton, Kaspersky etc. Wenn dir das nicht Wert ist, dann bleib bei Avira, dann darfst du dich aber auch nicht ärgern, wenn du das gleiche Problem wieder einhandelst. MSE ist keine bessere Alternative als Avira, dafür aber Werbefrei.

  • retzi

    also aber wenn man nen einigermaßen neuen pc hat auf dem keine wichtigen datein sind kann man einfach die windows seven cd einlegen und den pc neu aufsetzten oder was?
    würde mich auf schnelle antwort freuen weil ich habe im moment auf meinem anderen computer den virus drauf.
    und wie könnt ihr überhaupt was löschen ich meine ich kann den taskmanager nicht öffnen oder mit tab und alt auch nicht und im abgesicherten sowie mit netzwerk hab ich den selben sperrbildschirm.
    danke im voraus
    retzi

  • Markus

    Hab auch den sch… auf meinem rechner gehabt und nichts von den oben beschriebenen Lösungen hat geholfen!

    Hab dann bei meinem Win 7 Rechner beim Start mit F8 ein fenster aufgerufen, bei dem man eine Systemwiederherstellung durchführen kann. Den letzten Wiederherstellungspunkt vor dem Trojaner ausgewählt und nun funktioniert alles wieder. Für alle die wie ich mit den oben genannten Punkten nicht weiter kommen. Viel Glück

    • Sethnow

      Ja hab ich auch so gemacht markus und wenn mann schlau ist erstellt man spätestens dannach ein system abbild dann hat mein keine probleme mehr.

    • Samira

      hallo markus, geht das auch mit einem windows xp???

  • Jutta Brandt-Scheu-Schneider

    Herzlichen Dank, Dodo! Mein Mann hatte den Virus heute früh auf dem Rechner und Dank deiner Anleitung läuft er wieder einwandfrei. Ich habe gleich mit dem abgesicherten Modus mit Eingabeaufforderung gestartet und ab da lief alles wie am Schnürchen. Danach war zwar auch der Desktop leer, aber wenn man unter “Start” rechts “Computer” öffnet, gibt es links in der Spalte des Fensters oben den Stern mit den “Favoriten”. Mausklick rechts, auf “Favoriten wiederherstellen” klicken und alles ist wieder da, wo es hingehört. Nochmal vielen, vielen Dank für die Hilfe; irgendwie ist mir die Angst vor Viren jetzt ziemlich genommen worden.

    Herzliche Grüße

    Jutta BSS

    • Jutta

      Hier noch ein Hinweis zu “meinem” Virus. Die Datei hieß “hrt54is56ijfgte.exe” und dazu gab es mit gleichem Datum eine DLL mit dem Namen “dwlGina3″ von der Firma Kassl Gmbh. Wegen der Dateibeschreibung (dWinlock API to limit the access to Windows) habe ich diese DLL auch gelöscht. Wenn das ein Fehler gewesen sein sollte, habe ich Pech gehabt. :-)

  • Mustafa Piri

    Hier ein/zwei schöne Videos von SemperVideo dazu !
    http://www.youtube.com/watch?v=yzTKfL9aS3M
    http://www.youtube.com/watch?v=i7kWkcu2H0o

    P.S.: Dies ist keine Werbung, sondern eher eine Empfehlung ;-)

  • MrJohnny

    Ich bracuhe dringend Hilfe!!
    iCH HAB ALLES GELÖSCHT UND JETZT HAB ICH STATT DER GEMA MELDUNG NUR MEHR EINEN SCHWARZEN BILDSCHIRM
    “Da der Gema Virus sich nicht nur in Form von Dateien ablegt, sondern auch Einstellungen und Registryschlüssel ändert, müssen wir nun noch in die Registry von Windows und folgenden Eintrag korrigieren:”
    zu diesen schritt bin ich nicht mehr gekommen weil wenn ich regidt schreibe sagt er das es deaktiviert ist.
    hoffe ihr könnt mir helfen danke im vorraus!!
    LG JOHNNY

  • Saint-j

    Hallo DODO :)Ist mein MAC auch von dem Virus betroffen, und wenn ja, wie bekomme ich ihn dann weg????

    • http://www.blogpirat.de/ Dodo

      Hallo Saint-J,

      eine Mac-Version des Virus ist mir bis jetzt noch nicht bekannt. Demnach gibt es auch kein Lösung :) Wenn es soweit sein sollte, dann mach ich mich schlau, wie man den Virus entfernen kann.

      mfg
      dodo

  • Vecqueray

    Danke Danke. cool das es so geile Typen wie dich gibt, die uns armen schweinen helfen ;-)
    Danke

  • Vic

    Hallo an alle!
    Also ich hab beide Dateien gefunden und entfernt, trotzdem ging immer noch nichts….Nun hab ich schon meinen Benutzer gelöscht und neuen Benutzer erstellt und die Daten übernommen.
    Bei diesem regedit hab ich den Schlüssel auch gefunden und dort Stand die Datei natürlich auch….den hab dort auch entfernt….Nun meine Frage: ich habe immer noch blauen Bildschirm und bei diesem Shell Ordner steht mein alter Benutzername….was soll ich denn noch tun???? Bitte helft mir

  • Mike

    Hallo,

    ich möchte mich nur herzlich bedanken dass mir geholfen wurde, diesen idiotischen wurm wieder loszuwerden
    Danke, dass es Profis wie euch gibt.
    Als nur Computer – User ist man sonst schwer getroffen.
    dank des Norton Bootable Recovery Tool läuft er wieder wie ein glöckchen. Jetzt aber erst nochmal alles scannen.

    Nochmals herzlichen Dank!

  • Bernd

    Danke für die sehr anschauliche Anleitung.
    Nach ein paar Anläufen ist es selbst mir als Nichtinsider über die Registry gelingen den Rechner wieder betriebsfähig zu machen.

  • friedrich

    Hallo liebe Community,
    ich hab probiert meinen computer im abgesicherten modus zu starten. Jedoch habe ich feststellen müssen, nachdem ich mich beim administrator angemeldet habe, dass mein rechner keine verbindung zum internet herstellen kann :/! Was soll ich jetzt machen?

    • http://www.blogpirat.de/ Dodo

      Wenn du im abgesichertenmodus nichts machen kannst, dann lade die eine der genannten BootCDs. In der neusten bootcd von Norton ist sogar der Norton powereraser integriert.

      MfG dodo

      • friedrich

        also auf nen usb stick oder auf ne cd? und dann einfach die cd oder usb stick in den infizierten rechner stecken?

        • http://www.blogpirat.de/ Dodo

          ist egal ob USB oder CD. Manche älteren Rechner unterstützen das Booten von USB nicht. CD ist also etwas sicherer. Falls dein Computer nicht automatisch von der CD bootet, so schau dir diese Anleitung kurz an:

          mfg dodo

      • Carina Bobek

        Hallo.Mit viel Interesse und Eifer las ich all diese Beiträge,denn heute hat es auch mich erwischt:gemavirus.Ich hab aber das problem dass weder die Maus noch die tastatur funktioneieren und ich mir bei der F8 einen “Wolf” drücken kann.Meine Tochter ist den Tränen nahe und ich mit meinem Latein am Ende.Hättest Du vielleicht eine Idee?Hab schon eine andere Tastatur,und sogar einen Joystick von der PS2 ausprobiert,aber da geht nix und so kann ich ja weder irgendwas anklicken noch sonstwas.Ich wäre für einen Tipp echt sehr dankbar…

        • http://www.blogpirat.de/ Dodo

          Hallo Carina,

          gerne helfe ich dir, kann ich ja nicht verantworten, dass deine kleine weinen muss ;)
          Ich kann dir auch schon sagen, warum du nicht in den Abgesicherten Modus kommst. Du hast mit sicherheit eine USB-Tastatur an deinem Computer angeschlossen? Wenn das der Fall ist, dann ist in deinem BIOS die Option “Legacy USB Support” auf “disabled”. Manchmal nennt sich diese Option auch “USB Keyboard Support”. Wenn diese Option deaktiviert ist, dann werden USB-Geräte erst nachdem Start des Betriebssystems angesprochen. Genau aus diesem Grund reagiert deine Tastatur nicht beim drücken der F8 Taste. Da hilft auch kein Gamepad weiter. Manche Mainboards sind mehr oder weniger “klug”. Wenn der legacy Support deakticiert ist, dann gibt es trotzallem einen sehr kleines Zeitfenster, in dem deine Tastatur angesprochen wird, damit du ins BIOS gelangen und diese Option umstellen kannst. Versuche doch einfach mal, ob dein Mainboard “klug genug” ist. Schalte den PC ein und drücke sofort abwechselnd die Taste “F2″ und “Entf”. Wenn alles klappt, dann kommst du in ein blau/weises Menü. Suche die von mir genannte Option und stell diese auf “Enable”. Danach solltest du über F8 in den abgesicherten Modus gelangen. Solltest du wieder erwarten nicht ins BIOS kommen, dann bleibt dir nur die Möglichkeit auf eine PS/2 Tastatur zu setzen (nicht zu verwechseln mit PS2/Playstation 2). PS/2 Tastaturen sind das Vorgängerformat von den USB Tastaturen mit den runden Anschlüssen. Eine PS/2 Tastatur bekommst du für ca. 10€ beim Fachhandel oder auch MediaMarkt (ich persönlich wäre für die Wahl des Fachhändlers dankbar ;) komme selbst aus dem Fachhandelsbereich).

          Ich hoffe ich konnte euch helfen, das Weihnachtsfest zu retten ;)

          Liebe Grüße

          Dodo
          Arrrgh!

  • sarah

    Wie kann ich das alles machen wenn ich mein Passwort als Administrator vergessen habe? Über die anderen Benutzer finde ich die Dateien nicht?!

    • http://www.blogpirat.de/ Dodo

      Du kannst mit Hilfe des nt offline passwordchanger das Passwort vom Admin entfernen. Google einfach nach NT Offline Passwordchanger oder nach Hirens BootCD (beinhaltet den Passwordchanger). CD Brennen und davon Booten. Dann kannst du das pw entfernen. Allerdings werden diverse englisch Kenntnisse vorausgesetzt.

      MfG dodo

  • Möffi

    Hey leute,

    man hab ich mich erschrocken, :D
    ich dachte shit was hab ich getan??

    naja nachdem ich einfach runterfahren wollte zeigte er mir an
    folgende Programme laufen noch : sbcvvhost_win89
    kam mir komisch vor.

    Da bin ich im Gesicherten Modus hochgefahren mit eingabe, explorer.exe, habe die datei gesucht und gelöscht.

    nu is es wieder weg :D
    vllt auch eine möglichkeit

  • http://- Andreas

    ich habe den Virus leider auf meinem Netbook und da ist ja kein cd laufwerk dran … und eine systemwiederherstellung war jetzt auf meinen blick auch nicht zu sehen ….
    habe ich da noch eine Chance?
    ich bitte um Hilfe

  • Julian

    Hallo,
    erstmal vielen dank für die hilfe hier, echt super das es noch menschen gibt die einen so helfen wollen :) ! die gema meldung kommt bei mir jetzt nicht mehr. :) … ich habe ausversehen die shell datei gelöscht, anstatt in explorer.exe umzubennen… und ich komme jetzt nicht mehr ins internet da wird mir bei der diagnose angezeigt das es am DHCP- clientdienst liegen kann.
    Kann mir da jemand helfen? hab selber nicht wirklich viel ahnung…..

    • http://www.blogpirat.de/ Dodo

      welches Windows hast du denn?

  • Viktor

    Dankeschööön! ich habe mit AVIRA alle Viren gelöscht mit eure Hilfe!!!

  • teadrinker

    Also ich hab mir auch den Virus zugezogen, hab aber immer schon in weiser voraussicht meine Festplatte partitioniert.

    Hab also mein Windows XP in einer anderen Partition (leider die Spiele Partition)neu instlliert.

    Nach erfolgreicher Installation habe ich einfach alle wichtigen Daten und Dokumente aus dem versäuchten Windows in das neue gezogen.

  • http://seotexter.wordpress.com Sebastian

    Super, vielen Dank, es lebe die Blogosphäre :)

    Ich bin grad noch auf ein hilfreiches Video mit Anleitung (mit deutscher übersetzung)!gestoßen:

    http://www.youtube.com/watch?v=9d3uz43th_0&feature=youtube_gdata_player

    Wenns klappt werd ich die Anleitung gegen dieses Mist-Ding auch direkt bloggen.

    Nochmal Danke Dodo!

  • Pingback: Achtung, Gema Virus! « SEO – Erste Schritte live

  • Regina

    Also nachdem ich bez. Habe bin ich auf dieser Seite gelandet habe sofort bei paysafe angerufen und dort das Geld sperren lassen. Es wird mir auf mein Konto zurück überwiesen.
    Mir hat geholfen eine System Herstellung. Danach noch das norton nun ist alles wieder ok.
    DANKE.

  • C-A

    Danke, fremder Mensch, der sich unfassbar viel Mühe für Leute Macht, die er nicht kennt! Dank dir kann ich weiter an meinem Examen arbeiten!

    Ich bin froh, dass es noch Menschen gibt, die einfach anderen helfen ohne etwas dabei raushaben zu wollen. Dieser blog ist ein Beispiel für wahren Altruismus. Danke!

  • Tim

    Vielen Dank für die Sehr gute Anleitung! Habe damit den Laptop meiner “besseren” Hälfte erfolgreich vom GEMA Trojaner befreien können!

    Gruß
    Tim

  • virentöter

    was soll ich sagen? Du bist rin Held

    UND im abgesicherten modus antimaylwarebytes suchen zu lassen machts auch ;D

    Thx bro hast was gut bei mir

  • Phil McGain

    Vielen Dank für die gute Anleitung. Ich konnte meinen Laptop nur im gesicherten Modus mit Eingabeaufforderung starten und den Virus manuell entfernen. Nach Änderung der Registry ist der PC wieder normal hochgefahren. Der Norton PowerEraser und Malwarebytes haben die letzten Spuren beseitigt.

    Super Anleitung – 1000 thx!

    Phil

  • Domifax

    Ich hatte diesen GEMA Virus auf meinem PC ich und mein Freund (beide 12 Jahre alt) schafften diesen Virus zu löschen benutzt das Anti Vir und sucht die übel Täter erst einmal (vorsicht bei uns waren es sieben macht das alles was euch gesagt habe über einen anderen Benutzer danach müsst ihr die Viren unter quaratäne stellen und sie dann EINZELN löschen.
    Gruß,
    Dominik und Felix
    Domifax

  • Rudi

    Windows Vista
    Gegeben sperre auch im Abgesicherten modus
    Regedit Taskmanager usw. durch Admin gesperrt

    Starten per F8 Abgesicherter Modus mit Eingabeaufforderung

    im Verzeichniss C:\Users(Benutzer)\(Benutzename)\AppData\Roaming die hier überall angegebenen dateien löschen bei mir war es eine v7****.exe und eine .dll datei

    dos befehl del zum löschen
    dir verzeichnissinhalt anzeigen
    cd verzeichnissname in das verzeichniss wechseln
    cd.. 1verzeichniss zurück

    also “cd C:\users” enter
    “dir” enter //anzeigen der benutzerordner
    “cd benutzerordner\AppData\Roaming” enter
    “dir” enter //nun werden die daten im verzeichniss angezeigt
    die übeltäter mit
    “del dateiname” enter //löschen der übeltäter
    “dir” enter //noch mal nachschauen ob sie wirklich weg sind
    dann mit
    “cd C:\Windows\system32″ ins system32 verzeichniss wechseln
    “msconfig” eingeben
    unter dem reiter Tools
    Systemwiederherstellung wählen
    einen widerherstellungspunkt von vor paar tagen wählen
    ihn alles machen lassen
    Nach dem Neustart sollte der Rechner wieder laufen
    mit einem aktuellen Visenscanner die komplette festplatte prüfen
    zusätzlich habe ich im Browser noch alle Cookies gelöscht
    Updates von windows Installieren
    und ganz wichtig die Dunklen seiten der macht in ruhe lassen^^

    Gruß
    Rudi

    • http://www.blogpirat.de/ Dodo

      einfachste Methode: erstelle einen neuen Benutzer und kopiere deine Benutzerdaten vom alten Benutzer auf den neuen.

      • Rudi

        und wie legst du einen neuen Benutzer an wenn du auf die Benutzerverwaltung keinen zugriff hast?

        Gruß
        Rudi

  • Christian

    Hallo an alle Betroffenen,
    Nach den Befall mit den Gema – Trojaner: Ich habe den Rechner mit F12 gestartet und mit der recuver CD des Herstellers komplett neu hochgefahren. Alle aktuellen Daten sind weg, – Datensicherung ist ein muss!!!
    Ich konnte den Rechner auf keinem anderen Weg wieder in Gang bringen.
    Kosten ca 50 € für Hoffnung und 37 € Kaspersky – alternativ wäre ein neuer Rechner gewesen. Die Rekonstruktion der Daten wird teurer werden.
    Hausaufgaben sind Datensicherung & Internetsicherheit – Hatte ich alles gemacht, hat trotzdem nichts genützt.

    Wenn man das gema – Dokument ausdruckt kommt eine Fußzeile:
    http.//geilebezahlung.eu/soswirbrauchengeldbezahlung/index.php
    Vielleicht hat jemand den Mut, das mal aufzurufen… Ich habe nur den einen Rechner.

    Liebe Grüße!!

  • Nastrasz

    Hi Dodo,

    leider habe auch ich mir diesen “netten” Trojaner eingefangen.
    Die beiden Varianten die oben beschrieben sind konnte ich leider so nicht anwenden, da bei dem Versuch den Laptop im abgesicherten Modus (egal welche der 3 Varianten) hoch zufahren, nur eine Fehlermeldung (leider kann ich nicht sagen was da steht, da diese nur ca. 1 Sekunde sichtbar ist)mit weißer Schrift auf blauem Hintergrund erscheint und der PC dann einfach neustartet. Den Trojaner konnte ich anscheinend mit Hilfe der Boot CD von Avira löschen (er hatte bei der Systemprüfung 2 Trojaner entdeckt und entfernt), aber jetzt habe ich das Problem das mein Desktop schwarz bleibt, keine Taskleiste, keine Icons, nur die Mausanzeige ist sichtbar aber auch funktionlos. Also um es kurz zu machen, der Trojaner ist mit der Hilfe von der Boot CD wahrscheinlich gelöscht, aber mein Desktop ist schwarz, Taskmanager ist deaktiviert und der Versuch über abgesicherten Modus die Einstellungen rückgängig zu machen ist zur Zeit unmöglich da beim starten des Modus der PC einfach neustartet.
    Ich hoffe das du mir evtl. noch helfen kannst, ich bin mit meinem Latein schon lange am Ende, aber wahrscheinlich wird es auf eine komplette Erneuerung von Windows (XP Home) hinaus laufen.

    • http://www.blogpirat.de/ Dodo

      Du könntest noch eine reparaturinstallation von Windows xp versuchen. Hierfür bootest du wie bei einer neuinstallation von der Windows xp cd. Drücke im ersten Fenster die eingabetaste, bestätige im zweiten Fenster mit F8 den Lizenzvertrag. Im nächsten Fenster scannt Windows nach Festplatten und vorhandenen Windows Installationen. In den meisten Fällen sollte nun dein altes windows angezeigt werden. Drücke dir R-Taste. Die installations CD fängt jetzt an die Windows Dateien neu zu bespielen.

      MfG dodo

      • Nastrasz

        Vielen Dank, das werde ich versuchen.
        Echt super das es noch Menschen wie dich gibt die ohne eine Gegenleistung zu erwarten, Anderen die Probleme haben, helfen, klasse.
        Ich wünsche Dir einen guten Rutsch ins neue Jahr und mach bitte weiter so.

        MfG Nastrasz

  • Luis

    Erstmal, vielen Dank für die rettende Anleitung.
    Bei mir ist aufgefallen, das der Virus, den Task Manager Blockiert hat, wenn ich versuche den aufzurufen kommt dann “Task Manager vom Admistrator deaktiviert” Ich habe alle anderen Schritte ausgeführt, und, als der Laptop wieder Beuntzbar war, einfach eine Systemwiederherstellung durch geführt, das hat das Problem behoben. Vielen Dank nochmal für die Anleitung!

  • chris

    Hallo,

    danke für die anleitung. Bei mir war von den angegebenen Dateien nur die dwlgina3 und eine sbcvvhost_win86.exe im anwendungsdaten ordner. Die sbcvvhost_win86.exe ist auch die Datei, die in der Registry stand. Viell. hilfts ja jmd weiter…

    • Simon

      Bei mir war auch die Datei sbcwhost_win86.exe
      Mir hats weiter geholfen. Supi. Danke

  • Simon

    Super. Das hat mir sehr geholfen. Vorallem der Tipp mit dem Problem Taskmanager. Kann mein PC wieder normal benutzen. Danke :-)

  • Abdullah

    HIFLE!!!!
    Ich kann das alles net
    Mein Taskmanager kann ich net öffnen!!!

  • Morris

    hey danke für die infos! bin selber admin. bin einfach nicht darauf gekommen wie sie den virus direkt an den logon hängen… aber klar explorer.exe… danke jedenfalls und weiter so. alle die sich hier über schlechtschreibfehler beschweren denen sei gesagt das hier die info das wichtige ist und nicht die form wenns ihnen nicht zusagt sollen sie sich ihre infos woanders holen.

    mfg

    Morris

  • http://keine Steffi

    Es geht auch einfacher, zumindest wenn man in einem Domänen-Netzwerk ist.
    Ich hatte den Trojaner gerade auf dem Rechner. Er sperrt den Zugriff für den lokalen Benutzer, und trägt sich auch bei allen lokalen Konten als Shell ein. Allerdings kommt man mit Strg+Alt+Entf noch an den Anmeldebildschirm. Wenn man sich von hier aus über den Domain Controller anmeldet, dann hat man ein “sauberes” Profil, weil dieses auf dem Server liegt und somit für den Trojaner unerreichbar ist.
    Von diesem Konto aus kann man dann den Trojaner-Prozess mit dem Taskmanager identifizieren und entfernen, sogar ohne Neustart. Man muss natürlich aufpassen das man auch alle Spuren beseitigt, aber das ist ja hier recht gut beschrieben.

    LG,
    Steffi

  • Thomas Grüber

    Super Infos, DAU-sichere Beschreibung. Haben mich und mein Notebook gerettet!

    Danke und weiter so.

    VG, Thomas

  • Cedric

    Hey. Bei dem schritt wo man die dinger mit ja und ok beantworten soll, kommen bei mir nicht.

    Gruß Cedric

    • http://www.blogpirat.de/ Dodo

      welche dinger sollen bantwortet werden? bitte etwas näher beschreiben was du meinst und was für ein problem du hast ;)

      • Cedric

        Sorry :D
        Ich meinte die meldungen wie du oben beschrieben hast, dass man die mit ja und ok beantworten soll tauchen bei mir nirgends auf.

  • andy

    also bei mir hat gar nix geholfen—hab win xp mit w7 überschreiben müssen. jetzt funzt er wieder.trotzdem danke für die viele arbeit die ihr euch gemacht habt

  • Wolle

    Hi Leidensgenossen, ich hab genau diesen Virus – leider funktioniert bei mir nicht mal die XP Neuinstallation:
    Im Bios funktioniert meine Tastatur noch einwandfrei – sobald das Menü erscheint wo ich den abgesicherten modus auswählen kann geht leider nix mehr….hat das auch Jemand gehabt?
    Oder hat das vielleicht mit dem Virus gar nichts zu tun und der Fehler liegt woanders???

    Mit Dank vorab
    Grüße von wolle

  • Florian

    Ich habe bis jetzt nur die Datei “dwlGina3″ gefunden, die anderen jedoch nicht. Habe dann probiert die Registry bzw. den task manager zu öffnen, wird jedoch beides vom “administrator” geblockt… Wenn ich meinen pc neustarte sehe ich zwar meinen Desktop aber kann rein garnichts machen… Ich hoffe ihr könnt mir helfen, vielen dank schon mal.

    Mfg
    flo

  • Schattenkind

    Moin Moin!
    Bin wegen diesem Virus in der Verwandtschaft zu Hilfe gerufen worden, jedoch bekomme ich das nicht in den Griff, Mit der Bootcd von Avira findet er die Gina3 Datei und löscht sie auch, allerdings hilft das nichts die Gema-Meldung kommt trotzdem…
    Windows im abgesicherte Modus starten geht nur mit Eingabeaufforderung, die beiden anderen Varinaten enden im Gema-Virus Bild… Die oben aufgeführten Dateien sand allerdings auch nicht aufzufinden, habe mich über das Adminkonto, sowie die einzelnen Userkonten bei Windows angemeldet und bei keinem einer der genannten Dateien gefunden auch die Dateisuche erbrachte keine Resultate…
    Ich weiß nicht ob es evtl am Win-XP liegt, aber z.B. der oben genannte Roaming Ordner existiert unter keinem der Buntzer…
    Hat von Euch evtl noch jemand eine Idee?

    • Schattenkind

      Bei mir hieß die Datei ActiveX32_64lo.exe
      Habe sie entfernt, die Registry gesäubert und Windoof läuft wieder, bis auf die Tatsache das der Desktop jetzt leer ist und ein Rechtsklick auf den Desktop keine Wirkung hat…

      • asdf

        bei meinem opa hiess die datei genauso, weshalb ich sie bei den ersten durchläufen gar nicht erkannt habe. erst die registry hats mir verraten

  • Cedric

    Okay. Jetzt hab ich es aber da gibt es wieder ein neues problem.
    Ich kann nix mehr auf meinem desktop machen. Die taskleiste und alles ist da aber die ganzen programmverknüpfungen auf dem desktop sind weg und wenn ich rechtsklick mach müsste sich ja was öffnen wo ich es einstellen kann aber das geht auch nicht.
    Weiß jemand an was es liegt?
    Gruß Cedric

    • http://keine Steffi

      Das liegt daran, weil der Virus einige Registry-Keys umschreibt. Versuch es mal damit, einen neuen Benutzer anzulegen, wie oben beschrieben.

  • B_M

    Ich hab jetzt den 2. Tag versucht irgendwie wieder an meinen Comp und vor allem an meine Dateien zu kommen. Ich hatte mit Kaspersky Boot-CD / USB-stick angefangen was aber nicht funktioniert hat (ich bin max. bis zu einem schwarzen Bildschirm mit Eingabecursor oben links gekommen konnte da aber nichts eingeben und nach 15-20 Sekunden kam der GEMA-Trojaner Bildschirm wieder hoch. Einzige Möglichkeit hier nur noch über STRG+ALT+ENTF den Taskmanager aufrufen den ich natürlich nicht öffnen konnte, aber zumindest konnte ich von hier den Comp wieder herunterfahren). Damit will ich natürlich überhaupt nichts zu Kaspersky sagen, aber bei mir hats so nicht funktioniert. Vorhin dann bin ich der oben beschriebenen Anleitung via Registryeditor und Eingabeaufforderung gefolgt und siehe da “es lebt”. Hab mit “explorer.exe” den Explorer geöffnet und wollte die Ornerooptionen öffnen um alle Dateien incl. versteckter anzeigen zu lassen, hatte aber kein Menü wie in der Abbildung. Ein Anruf bei der Hotline hat mir weitergeholfen: die ALT-Taste öffnet das Menü und wenn die Maus es dann nicht tun sollte hat man noch die unterstrichenen Buchstaben im Menü um diese zu öffnen. Danach gehts dann auch mit der Maus weiter. Dann zu Fuss die o.a. Dateien in den entsprechenden Verzeichnissen gesucht (bei mir war es nur “dwlGina3″ ). Wollte dann in den Registryeditor aber der Zugriff wurde mir selbst als Administrator verwehrt( > “Die Bearbeitung der Registrierung wurde durch den Administrator deaktiviert”). Vielleicht fällt dazu ja noch jemandem was ein. Aber zumindest konnte ich nun über den Explorer erst mal all meine Dateien auf eine externe Festplatte sichern!!! Das war für mich das Wichtigste und mit Sicherheit werde ich in Zukunft regelmässig Backups machen … und dir DODO … vielen, vielen, vielen, herzlichen Dank, dass du dir die Arbeit gemacht hast die Anleitung hier aufzuschreiben. Ich denke, ich werde mir jetzt ein gutes Glas Whisky genehmigen – und dann noch eins auf dich ;)
    Bo

    • http://www.blogpirat.de/ Dodo

      Freut mich, dass ich dir helfen konnte ;) Na, dann prost! :D

  • Tojo1968

    Mich hat dieser Virus auch lahmgelegt. Meine Frage : Bei mir geht auch der Start im Abgesicherten Modus nicht, nun möchte ich mir das Kaspersky Tool für den USB-Stick herunterladen, aber wie kann ich meinem PC sagen, das er vom Stick starten soll und das Programm ausführt ? Bitte bei der Antwort Idiotensicher vorgehen, habe nur Grundwissen :-), Danke

    Gruß
    Tojo

    Ach, was vielleicht noch wichtig ist. Ich habe auf meiner zweiten Partition XP Pro installiert und funktioniert aus, habe aber dann keinen Weg gefunden die befallene Partition zu scannen, denn ich das Virenprogramm auf C nicht starten.

  • Fabi

    Hallo Dodo,
    danke erst mal für deinen sehr ausführlichen Beitrag! :)
    Hat alles geklappt, musste auch neuen Benutzer anlegen etc.
    Nur heute haben ich den PC neu gestartet und jetzt bleibt er bei der Begrüßung einfach hängen. Direkt bei “Herzlich Willkommen”. Maus kann ich auch nicht mehr bewegen.
    Woran kann das liegen?
    Schon einmal Danke im Voraus.

    MfG Fabi

  • max

    ich konnte dieses Programm garnicht erst downloaden trotz abgesichertem modus übrigens hab ich keine Boot cd

  • Stefan

    Bei mir ist es so, dass ich die versteckten Elemente gar nicht einblenden kann. Dummerweise sage ich übernehmen und ok und dann blended er aber die Dateien trotzdem nicht ein, sondern beim nächsten Klick auf Ordneroptionen sind diese direkt wieder als ausgeblended angezeigt!

    Und nu? Hat jemand noch einen Tipp für mich?

  • Claudi

    Hallo,
    ich habe alles probiert mit antivr recue ist zwar der Gema Popup weg aber ich kann nicht machen. Kann nicht in den abgesicherten Moud weil ich mit den Pfieltasten nicht mehr auswählen kann dann. Kaspersky Recue läuft an aber ich kann nichts machen mit dem Keyboard. Ich kann nur auf F11 oder F8 aber dann geht mein Keyboard nicht mehr kann nichts mehr auswählen. Bitte helft mir. Eindows repaperatur geht auch nicht.

    Claudi

  • nininaceur

    Danke, jedoch habe ich weiterhin folgendes Problem:
    Habe gestern Computer Bild Notfall Disk rüberlaufen lassen. Heute morgen will ich den Computer neustarten, was kommt: Bluescreen kurz nachdem der Ladebalken für eine Sekunde erschien. In den Abgesichterten Modus komme ich auch nicht rein.
    Danke im Voraus, nininaceur

  • Florian

    Ich bin jetzt über das Programm TuneUp in die Registry gelangt, wo unter shell die Datei ActiveX32_64lo.exe jedoch kann ich diese nicht ändern, weil ich keine Administratorrechte besitze… Kann mir bitte jemand sagen wie ich mir unter XP Administratorrechte beschaffen kann?

    Danke schonmal
    Flo

  • Pingback: Das Gema Virus Windows XP verbreitet sich hauptsächlich über Facebook » PC Tipps

  • Mia

    Hallo,
    ich habe auch versucht den abgesicherten Modus zu wählen (Betriebssystem windows xp), jedoch macht sich dann immer für 1-2 sekunden ein blaues Fenster auf und sagt mir,dass ich den computer nicht im abgesicherten modus starten kann. Ich habe auch kein CD-Laufwerk und kenne mich überhaupt nicht mit Computern aus. Hat jemand einen Rat für mich was ich jetzt tun kann?

  • Manuel

    Juhuu ich habs geschafft das ich die Icons wieder bekomme und zwar ohne einen neuen Benutzer zu erstellen. Funktioniert nur wenn man Zugriff auf 2 Konten des PCs hat :).

  • Shock3r

    Ich hab gelesen das es bei einigen Probleme gab mit den Desktopsymbolen, dies hatte ich bei W7 auch.

    Was ich gerade zufällig gesehen habe, rechtsklick auf den Dektop -> Ansicht-> Sesktopsymbole anzeigen. Bei mir waren alle vermissten Symbole danach wieder da :)

    Vielleicht kann es so manchen den Aufwand mit dem neuen Account ersparen :)

    Lg Shock3r

  • http://speedcraft.me Lars

    Und wie bekommt man den Virus? Habe einen Mac und bin auch unter Windows generell recht vorsichtig, 3 Virenschutzprogramme und komme so gar nicht in Kontakt mit diesen Dingern. Daher interessier es mich so langsam doch, wer soetwas verteilt und wo.

  • frank

    Hey blogpirat. super afbeit die du machst. hast mir sehr geholfen. beste gruesse frank

  • Nadine

    hallo, mich hat der virus heut aufgesucht! :( was mache ich wenn ich kein cd laufwerk habe?!? ich kann auch komplett nicht rein ins programm!

  • http://www.online-wohlstand.de Andreas

    Hallo Ihr lieben, ich habe den Virus seit heute, und bin wirklih verzweifelt. ih komme weder in abgesiherten modus noh sonst wo hin :( was kann ich tun? habe zwar nen zweiten Not PC aber die Daten zum Arbeiten sind alle auf dem befallenen Notebook. Kann ich die irgendwie retten?
    Gruß Andreas

    • http://www.online-wohlstand.de Andreas

      So, habe es dann im Abgesicherten Modus doch irgendwie hin bekommen, und einige der oben beschriebenen dateien gefunden und gelöscht.

      Beim nächsten Schritt, habe ich allerdings ein Problem :(

      Öffnet die Registry über den Taskmanager -> Neuer Task -> regedit, oder über CMD -> regedit

      Pfad: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

      Read more: http://blogpirat.de/vorsicht-vor-gema-virustrojaner-so-bekommt-ihr-den-virus-wieder-weg/#ixzz1kF3DamrV

      Den Taskmanager bekomme ich nicht aufgerufen, es kommt die Meldung, Der Taskmanager wurde durch den Administrator deaktiviert :( komme ich noch irgendwie anders in die regestry? oder gibts gar ne Tastenkombination?
      Ich habe leider nur einen Black Screen, ohne Windows Startleiste, sonst könnt ich über suchen dahin kommen, aber dies fehlt mir leider…
      bevor ich die dwlGina3 datei gelöscht hatte kam ich noch in den Task Manager ohne Probleme.
      Wäre über jede schnelle Hilfe sehr dankbar!

  • Dave

    Hey!! hab den virus auch bekommen!! ich hab die variante mit norten power eraser gemacht!! war eigentlich recht schnell fertig!! nur bekomm ich jetzt jedes mal nen blue screen wenn ich den rechner starte!! hab auch die setup.exe nicht entfernt weil sie makiert wurde!! und mit dem wiederherstellungsprogramm von windows geht auch nichts mehr!! nichtmal in den abgesicherten modus komm ich rein!! muss ich jetzt formqtieren??

    mfg dave!!!

  • uwe

    hab alles ausprobiert , rescue von cd o. usb , in normal o. iso , notfall cd basic linux , versuche
    durch task in abges. modus mit eingabeaufforderung :
    da geht tastatur nich mehr . pc bootet auch unter keiner möglichkeit von orgin. xp cd.
    ich glaub der pc is reif für den gnadenschuss

    • Marcel

      Mahlzeit,

      so ich habe glaube ich das lustigste Problem überhaupt. Nach ein paar kniffe und auf der Tastatur rumkloppen habe ich dann doch das Eingabefeld bekommen. regedit eingegeben und bin dann den oben genannten Pfad abgelaufen bis Winlogon… Dann soll ich eines der Viren suchen. Problem jetzt… es gibt keinen dieser hier genannten Viren in diesem Ordner :) klingt komisch ist aber so.
      Wer kann mir da ein schnellen Tipp geben?
      Oder ein anderen Virus nennen… ich will irgendwas löschen hier :D Selbst über die suche findet er nichts

      • http://www.blutfrost.de tim99

        such mal in der Registry und auf allen Laufwerken nach “InetAccelorator” (kann sein dass ichs falsch schreibe, vielleicht siehst du was wie “InetAcelerator” oder “InetAccelerator”.

  • http://www.blutfrost.de tim99

    Hallo,
    ich hatte wohl eine besonders aggressive Form.
    Im abgesicherten Modus kam der Virus hoch, selbst bei einem neuen User (mit Linux Boot) angelegt bekam ihn sofort.
    Im abgesicherten Dos-Modus kam er ebenfalls, allerdings konnte ich da mit ALT TAB zurück ins Dos wechseln.
    Von deinen Dateien hat er keine einzigste gefunden (gesucht mit dir mahmud* /s /p )
    Jetzt mein Glück… ich hatte RogueKiller drauf und startete diesen im dos. Der Virus und Rogue kämpften ein bisschen um den Desktop (kamen beide mehrmals in den Vordergrund und zurück), dann gewann Rogue und ich machte hintereinander alle Möglichkeiten durch (Scann, Delete, FixHosts, FixDNS, FixProxy, FixShortcuts).
    Danach hatte ich sofort wieder einen Gesktop mit Icons und konnte alles starten (Explorer, Regedit…)
    Ich suchte manuell nach den Files (über Windows Suche), und die Registry ab -> nix gefunden.
    Dann guggte ich in die Rogue Logdateien und sah, dass er immer wieder etwas namens “InetAccelorator” löschte (Dateien und Registry). Auch gabs einen Ordner in Applikationsdateien mit dem Namen. Darin war eine Exe mit gleichem Namen mit Description “Paint” und einen russischen Hersteller (zumindest waren da ewig viel russische Buchstaben bei Author drin)
    Den Ordner hab ich dann im Windows gelöscht mit STRG DEL.
    Dann gabs im c:\windows\system32 ebenfalls noch eine inetAccelorator.exe -> auch gelöscht.
    In der Registry habs nix mehr mit dem Namen (hat Rogue alles erwischt laut Logfiles und meiner Suche danach).

    So jetzt hab ich Windows neu gestartet und bin wieder normal reingekommen. Werd jetzt mal alle Daten sichern und notieren und das System neu aufsetzen.

    Vielen Dank trotzdem an Dich und Deinen Artikel. Dadurch bin ich erstmal überhaupt auf die Idee mit dem abgesicherten Modus gekommen und hatte den Mut das Ding zu suchen ohne gleich neu aufzusetzen und mich mein Leben lang über die verlorenen Dateien der letzten 33 Jahre zu ärgern :)

    Bekommen hab ich ihn übrigens auf der Seite model-joanna.de
    Einfach durch Aufruf der Seite. Der FreeAvira hat ihn zwar erkannt und auch entfernt laut Popup, aber Sekunden später war er im Vollbild am Monitor und nix ging mehr. Danke hierfür an Avira. Wenn ich “entfernen” klicke, entfernt das Teil doch auch!!!
    Achja, nach dem Aufruf der Seite hat Browser noch versucht eine PDF aufzumachen mit dem AdobeReader. Ich denke da war er drin.

    Und zu erwähnen wäre noch dass ich in der registry unter winlogon/shell sowieso schon meine eigene Exe eingetragen hatte die in einem anderen Verzeichnis stand als ursprünglich (hatte nur den Text “Start” vom Windows mit ResourceHacker geändert. Vielleicht war auch das mein Glück… Oder Rogue hat es wiederhergestellt. Irgendwas hab ich gelesen in der Richtung aber war zu aufgeregt mir das wirklich zu merken.

    Gruss
    tim99

    • tim99

      Hier mal meine Auszüge:

      ¤¤¤ Bad processes: 1 ¤¤¤
      [SUSP PATH] InetAccelerator.exe — C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InetAccelerator\InetAccelerator.exe -> KILLED [TermProc]

      ¤¤¤ Registry Entries: 6 ¤¤¤
      [SUSP PATH] HKCU\[...]\Run : InetAccelerator (C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InetAccelerator\InetAccelerator.exe) -> DELETED
      [PREVRUN] HKLM\[...]\Run : InetAccelerator (C:\WINDOWS\system32\InetAccelerator.exe) -> DELETED
      [SUSP PATH] HKLM\[...]\Run : InetAccelerator. (C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InetAccelerator\InetAccelerator.exe) -> DELETED
      [SUSP PATH] HKCU\[...]\Winlogon : shell (C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InetAccelerator\InetAccelerator.exe,Explorer.exe,) -> DELETED
      [SUSP PATH] HKLM\[...]\Winlogon : Userinit (C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InetAccelerator\InetAccelerator.exe,C:\WINDOWS\system32\InetAccelerator.exe,C:\WINDOWS\system32\userinit.exe,) -> REPLACED (C:\WINDOWS\system32\userinit.exe,)
      [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

  • User223

    Ich habe bei meinem PC eine wiederherstellung von ner woche gemacht. Brauch ich dann noch nach dem VIrus suchen oder ist er schon weg?

  • Emre

    es geht doch viel einfacher oder einfach auf zubehör – systemprogramme – systemwiederherstellung hab es noch nicht ausprobiert also tut mir leid wenn es falsch ist denn bei dem bundespoöizei virus der ja so ähnlich ist wie dieser hat es geklappt (im abgesicherten modus natürlich)

  • TomTom

    Hi, ich habe mir heute den Virus eingefangen. Norton, Avira usw haben versagt. Über Systemsteuerung den !vorletzten! Wiederherstellungspunkt gewählt, und siehe da, mein System läuft wieder…
    Mfg

  • http://- Elbflorenz

    kleiner Hinweis:

    Windows im abgesicherten Modus incl. Netzwerkunterstützung hochfahren, dann einfach dauerhaft auf Strg + Alt + Entf drücken und mit der Maus im Taskmanager die betreffenden Prozesse beenden. Funktioniert problemfrei, weil sich immer wieder der Taskmanager öffnet, durch dauerhaftes gedrückt halten der Tasten. Es gibt keinen Speicherüberlauf, weil der Virus die Tastatureingabe in Echtzeit verarbeitet. So kann man entspannt auf sein System zugreifen und den Virus anschließend beseitigen.

    Gutes Gelingen!

  • Wolle

    Moin,

    ich hatte die von Tim99 beschriebene Variante mit der InetAccelerator.exe

    Habe sie mir auch auf irgendeiner Webseite eingefangen (welche ist mir nicht klar).

    Lösung: PC ausgeschaltet (über Netzschalter), über Zweit-PC das Kaspersky Tool WindowsUnlocker (http://support.kaspersky.com/de/faq/?qid=208641247) heruntergeladen, auf CD gebrannt, dann von dieser den infizierten Rechner gebootet, den WindowsUnlocker ausgeführt und zusätzlich (Unlocker ohne Dateilöschungen war der erste Versuch und der hat nichts gebracht!) die gefundenen Dateien (1 im System32 Verzeichnis, je 1 im Anwendungsdaten/InetAccelerator/-Verzeichnis aller User) manuell gelöscht, da der Unlocker offenbar nur die Registry aufräumt…

    Danach den Rechner normal gestartet, AntiVir runter, Kaspersky 2012 rauf, und der hat bis jetzt noch 7 infizierte Dateien gefunden, hat aber erst 15% des Vollscans geschafft ;)

    Der WindowsUnlocker alleine brachte gar nichts (s.o.), die Kaspersky Rescue Disk 10 hat (ohne Update) gar nichts gefunden (!).

    2 weitere verdächtige Dateinamen: yxumy.exe und A0000221.exe

    Viel Erfolg,
    Wolle

    • Wadim

      Erstmal Danke an alle.

      Ich hatte auch diesen Virus,konnte ihn aber nicht einfach löschen.

      Ich konnte das Programm nicht beenden (TSKILL).

      Löschen konnte ich die Dateien auch nicht (del).

      Allso habe ich sie einfach umbennant in irgend ein schwachsinn (z.b. aaa.txt ). Die Dateien waren genau an den selben Orten wie bei Wolle (siehe Post über mir).

      Neustart ausgeführt und es ging.

      Danach habe ich die Umbenannten Dateien gelöscht und und in der Regestrie auch noch gelöscht.

      Danke euch allen

  • ganz einfach

    Dieser GEMA Virus/Trojaner nennt sich einfach InetAcclerator, im abgesicherten Modus Starten mit Bestätigung “Explorer.exe” eingeben, nach genau “InetAcclerator” auf allen Laufwerken suchen und die Ergebnisse löschen, alle! Danach sicherhaltshalber auch noch mal unter “regedit” suchen. Gegenbenesfalls löschen, hab nicht gefunden bei mir! Gut, ausschalten…neu starten…und alles ist wieder i.o!

  • Lisa

    brauche dringend hilfe hab auch diesen virus komme aber nicht in die task leiste da es immer wieder vom virus verdeckt wird. kann mir jemand helfen? Danke

    • http://www.blogpirat.de/ Dodo

      verwende, wie in der anleitung beschrieben, eine boot cd um den virus zu löschen.

      mfg dodo

  • Niklas

    Hi, vielen Dank für die Anleitung.
    eigentlich alles klar und sieht auch so aus als würde es mir helfen, aber leider habe ich ein Problem :(

    Mein Kaspersky Security Boot, oder wie es heißt, habe ich auf einen USB Stick gepackt und dann mit F12 von diesem gestartet. Soweit alles klar.
    Leider aber hängt sich das System immer auf wenn es zu “remounting read only files” oder so ähnlich im Ablauf des Durchlaufs von Kaspersky kommt?

    Irgendeine Idee wie ich das Programm zum gesamten Durchsuchen bringen kann / Das Problem beheben kann?

    Danke im Voraus und danke für den Artikel

    • http://www.blogpirat.de/ Dodo

      hmmm, kenne diesen fehler selbst jetzt nicht. du könntest aber zum Beispiel die norton boot cd verwenden.

      lg dodo

  • Corsa500

    Hey, habe den Virus auf gleich 2 PCs.

    Beim ersten konnte ich mithilfe des abgesichtern Modus mit Eingabeaufforderung die Dateien an diversen Orten ausfindig machen und löschen – allerdings erst, als ich von meinem normalen Benutzer (mit Admin-Rechten) auf den Benutzer “Administrator” gewechselt bin. Warum das so geklappt hat verstehe ich allerdings auch nicht so ganz…

    Beim zweiten PC, bei dem ich den Virus erst seit kurzem (gestern Nacht) habe, funktioniert diese Variante NICHT da die Dateien nicht existent scheinen. Und auch die vielversprechende Variante mit dem Internet-Accelerator hat wider Erwarten nicht geklappt – nirgendwo (auch nicht in der Registry IRGENDEINE Spur vom Virus! Bei Shell steht einfach “explorer.exe”, theoretisch scheint also alles okay zu sein – noch irgendwelche Vorschläge bevor ich losziehe und CD-Rohlinge nachkaufe um Boot-CDs zu brennen (bei denen ich allerdings auch nicht so recht glauben kann dass es was bringt…)?

  • anonymous

    Es heißt “Lizenz”, nicht “Lizens”.

    Danke für den Artikel.

  • Dungeonsuit

    Hallo erstmal
    ich habe ausversehen die goldene regel gebrochen und jetzt steht immer wenn ich den computer starte “Diese Webseite kann nicht angezeigt werden”die webseite wird sofort im vordergrund aufgebaut genau so wie vor dem bezahlen der 50 Euro und ich bekomme sie auch nicht verschoben/geschlossen wenn ich im abgesicherten modus starte öffnet sich das programm trotzdem noch somit kann ich auch nicht die oben angegebenen punkte machen bin für jeden nützlichen tipp dankbar.

    • http://www.youtube.com/toysONE facebook.com/toysONE

      bei bekannten/freunden Die oben genannte boot-cd erstellen! danach die oben genannten schritte ausführen

      mfg

  • ErnstMach

    Grüßt Euch,
    den GEMA-Trojaner habe ich auch gefangen. Zum Glück nur auf meinem Reserve-PC, einem Compaq-Notebook.
    Also Einschalten, es erscheint Benutzereinstellungen werden geladen … dann nach 2 Minuten dieser Typ. Braucht den ganzen Bildschirm. Und er bleibt. Keine Chance für den Mauszeiger irgend etwas anzuklicken. Weder CD,DVD noch USB. Tastatur: Fehlanzeige. Auch Taskleiste, da wäre MS Security Essentials stationiert. Strg + Alt + Entf bringt ein bisschen Geblinke,
    dann nix mehr. Ich abe alle Eure Vorschläge ausprobiert.
    Also Ausschalten. Geht auf Standby, die Benutzer werden angezeigt. Anklicken Fehlanzeige, denn der Mauszeiger hat sich rechts unten festgesetzt und will nicht mehr. Rien ne va plus!

    Neuinstallation von Windows XP …? Wie soll das gehen, wenn ich nicht auf eine CD/DVD zugreifen kann! Weiß jemand einen Ausweg …?

    ErnstMach

    • http://www.youtube.com/toysONE facebook.com/toysONE

      pc einschalten – windows cd einlegen – neustart mit eingelegter windows cd – installation kann beginnen!

      bei problemen nochmals nachfragen

      mfg

  • Tobias A.

    Erstmal Hallo alle zusammen ,

    Als erstes möchte ich Dodo dafür loben, dass er das Durchhalte-Vermögen hatte, solche Textmassen zusammenzuschreiben.

    Aber da ist noch etwas, das ich ansprechen möchte.
    Meine Schwester den den “GEMA” Virus auch auf ihrem Laptop ( Windows 7 ) und ich habe schon alle Methoden ausprobiert, außer die Neuinstallation von Windows.

    Bei der Methode mit der Registry, sind keiner der oben genannten Dateien vorhanden ( auch nicht in ähnlicher Schreibweise ).

    Bei der Methode mit dem Norton Power Erase, komme ich nicht ins Internet, weil wenn ich den Laptop im Abgesicherten Modus mit Netzwerktreibern starte, öffnet sich sofort die “GEMA” Meldung.

    Ich bitte um möglichst schnelle Rückmeldung, da meine Schwester fast am Weinen ist, wegen ihrem neuen Laptop. :)

    Lg, Tobias.

    • Tobias A.

      *hat den
      *Norton Power Eraser

    • http://www.blogpirat.de/ Dodo

      Versuchs mit der Kaspersky Rescue CD. Damit solltest du den Virus auch entfernen können.

      mfg dodo

    • http://www.youtube.com/toysONE facebook.com/toysONE

      erstelle bei einem bekannten/freund die oben genannte boot-cd ! danach die oben genannten schritte ausführen und das problem sollte behoben sein

      mfg

  • http://www.youtube.com/toysONE facebook.com/toysONE

    Hallo Dodo, hallo Leser!

    Ich hatte heute ebenfalls das Vergnügen mit dem “GEMA-Virus”.

    Da ich ein wenig Erfahrung in der Erstellung solcher Ärgernisse habe, war es für mich ein leichtes, das Ding ins Jenseits zu befördern.

    Hier werde ich euch meine Vorgehensweise detailiert (naja, nicht ganz, aber zumindest das wesentliche ;) ) schildern. Anschliessend folgen noch einige “schöne Entdeckungen” zu diesem Thema.

    MEIN PROBLEM:

    - Windows starten –> GEMA Bildschirm
    - Windows Abgesicherter Modus –> GEMA Bildschirm
    - kein funktionierender zweit-PC
    - folgedessen kein Internet
    - kein Zugriff auf Reparatur-CD da bei meinem Netbook kein CD Laufwerk existiert

    WAS TUN?

    - Windows normal starten
    - sobald vom Windows Bildschirm in den GEMA-Bildschirm gewechselt wird, “STRG+ALT+ENTF” drücken um den Task-Manager zu starten

    - ganz schnell ein Foto der Prozess-Liste machen, da sofort in den GEMA-Bildschirm gewechselt wird
    - Foto ansehen und unbekannte bzw. auffällige Prozesse finden
    (bei mir war der “Virus” als “InetAccelerator.exe” getarnt

    - PC neu starten nochmal sobald vom Windows Bildschirm in den GEMA-Bildschirm gewechselt wird, “STRG+ALT+ENTF” drücken um den Task-Manager zu starten
    - nun ganz schnell den “Entdeckten” Prozess (bei mir InetAccelerator.exe) per “Rechtsklick –> Prozess beenden”, beenden

    Nun sollte der GEMA-Bildschirm verschwinden bzw gar nicht erst auftauchen (ihr müsst wirklich schnell vorgehen!!!) und somit der Desktop wieder frei zugänglich sein.
    Anschliessend werden die von Dodo beschriebenen Schritte mit “NortonPowerEraser” durchgeführt.

    GEFUNDENE/BEFALLENE DATEIEN/PROZESSE:

    INETACCELERATOR.EXE
    - dokumente und einstellungen\all users\anwendungsdaten\inetaccelerator\inetaccelerator.exe
    - dokumente und einstellungen\all users\anwendungsdaten\inetaccelerator
    - \REGISTRY\MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\”InetAccelerator.”

    WINLOGON.EXE
    - dokumente und einstellungen\user\winlogon.exe
    - \REGISTRY\USERS\S-1-5-21-606747145-838170752-682003330-1004\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\”Shell”
    - \REGISTRY\USERS\S-1-5-21-606747145-838170752-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run\”winlogon”

    CRRSS.EXE
    - windows\system32\crrss.exe
    - \REGISTRY\MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\”UserInit”
    - \REGISTRY\MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\”crrss”

    BEOBACHTUNGEN/ENTDECKUNGEN/AUFFÄLLIGKEITEN:

    Nachdem ich zum ersten mal den “GEMA-Bildschirm” gesehen habe, trennte ich sofort die Internetverbindung (Router abgeschaltet, man weiss ja nie ;) ).
    Beim erneuten Neustart des Systems fiel mir auf, das der “GEMA-Bildschirm” im Grunde nichts anderes als eine Internetseite ist. Dadurch das die Internetverbindung getrennt wurde, konnte die Seite nicht angezeigt werden, sondern anstelle des “GEMA-Bildschirm”, “Verbindung nicht möglich (oder so ähnlich). Allerdings war der Zugriff auf den Desktop immernoch gesperrt….

    Also machte ich mich auf die Suche nach dem Übeltäter und wurde auch fündig… Die “InetAccelerator.exe”!!!

    bevor ich den Schädling unsicher machte, musste ich unbedingt herrausfinden wo die verdammte Website zu finden ist. Nach langem auslesen der “InetAccelerator.exe”-Datei wurde ich wiederum fündig :)

    “http://www.gema-lock4.in:8090/popka/?submit”
    (diese Seite kann aufgerufen werden, OHNE sich zu infizieren!!!) Insgesamt habe ich 15 (!) dieser Seiten ausfindig machen können und auch an die Polizei weitergegeben.
    Da ich keine Zahlungen geleistet habe, wird nun gegen “VERSUCHTEN” Betrug ermittelt.

    JEDER DER DAVON BETROFFEN IST/WAR FORDERE ICH HIERMIT AUF, ANZEIGE WEGEN BETRUGS / VERSUCHTEN BETRUGS ZU ERSTATTEN!!!
    Bitte gebt auch die URL zur vermeintlichen “GEMA”-Seite an.
    Zuständig dafür, ist die örtliche KRIPO.

    Desweiteren ist mir aufgefallen was alles blockiert, deaktiviert, geändert, ausgeführt usw wird.
    DA HAT JEMAND GANZE ARBEIT GELEISTET UND KEINE ZEIT UND MÜHE GESCHEUT!
    Das alles aufzuzählen wäre endlos und würde den Rahmen dieser Textbox um Welten sprengen (mein Text ist ohnehin schon zu lange xD, Respekt an die Leser die bis zum Ende durchhalten^^ ).

    Was ich damit sagen will: Das alleinige “Reparieren” und ausführen verschiedener Programme reicht nicht mal ansatzweise aus um das System zu bereinigen. Funktionsfähig kann man es damit machen. Zum sauberen System wird es dadurch leider nicht! Nutzt nach der Datensicherung die möglichkeit der Neuinstallation. So seid ihr auf jeden Fall auf der sichersten Seite.

    Nun endlich zum Ende ;)

    ABSPANN:

    Ich bedanke mich herzlich bei allen die durchgehalten haben und bei Dodo für den tollen Blog, die Arbeit und Zeit die er inverstiert und seinen Infos die er der Öffentlichkeit zu Verfügung stellt!

    Mit freundlichen Grüssen

    toysONE
    KBR;MOScrew;c`N´s;inTeaM;50ULMU51C;

    • http://www.blogpirat.de/ Dodo

      vielen Dank fürs Kompliment ;) Danke auch dafür, dass du uns deine Erfahrung mitteilst, dürfte für den ein oder anderen ebenfalls nützlich sein

      lg dodo

  • Frank

    Hallo Leute.

    Mein Kumpel hat auch das Glück sich den Gema-Trojaner eingefangen zu haben.

    Wir haben unterschiedliche Varianten probiert, kommen aber zu keinem Ergebnis :(

    Die angegebenen Programme (wir haben alle probiert) funktionieren nicht, da im abgesicherten Modus (mit Eingabeaufforderung) die CDs, auf die wirs gebrannt haben, nicht starten oder die Dateien vom USB Stick sich nicht öffnen lassen.

    Wenn wir den Pfad in der Reistry nehmen, kommen wir zwar bis zur “shell” Datei, jedoch passiert nach der Eingabe von “Explorer.exe” nichts. -.-

    Dann haben wir versucht über Systemkonfigration -> Autostart ein verdächtiges Proigramm zu finden, jedoch ohne Erfolg.

    Unter den angegeben Pfaden liegt bei besagten Rechner die Datei “InetAccelerator”, welche laut google allerdings ihre Berechtigung zu haben scheint.

    Allerdings startet offensichtlich über diese der Gema-Virus. Entfernen oder deaktivieren kann man sie allerdings nicht…

    Mit einer BootCD hat es auch nicht funktioniert, da nach der Angabe von “über CD booten” nichts mehr passiert ist.

    Ich hoffe ihr habt noch eine Idee was wir machen können, wir sind inzwischen echt ratlos :-/

    Grüße

  • Tobias A.

    Leute, das Problem ist gelöst !

    Ich bin diesem Pfad gefolgt : C:\Users(Benutzer)\(Benutzename)\AppData\Roaming und da existiert, ohne witz, ein Ordner namens “gema” hab die Datei ausgeführt und was ist es ?
    Der “Virus”.
    Habe den Ordner entfernt und Der Laptop funtioniert wieder einwandfrei. lächerlich xD

  • BootCd

    Ladet euch die boot cd
    Kaspersky notfall cd 10 runter update machen wenn mit cd gebootet und alles geht

  • Fonsi

    Vielen Dank für die Hilfe,
    dieser Drecksvirus wurde bei mir unter dem Namen y4w5uyh5 sowie dwlgina3 im roaming Ordner geführt

  • Manuel S.

    Vielen dank :)
    ich hab mir das von anti vira runtergeladen, also das vira rescue system. danach auf cd gebrannt. anschließend nur den viren scanner durchlaufen lassen und dann hat mein pc sich neu hoch gefahrn und ja bis jetzt kam mal nichts. hoff es bleibt so

    nochmals vielen dank :)

  • Alex

    Danke Für die Hilfe

  • stefan

    Bei mir geht es über das Recovery Tool nicht.. Und für die anderen Wege ist die Meldung im weg. Weiß nicht mehr weiter -.-

  • Manuel S.

    ich hab noch eine frage und zwar.
    der virus/trojaner wurde bei mir in einen ordner reingespeichert, inden ich nicht einfach so eingreifen kann. heißt den pfad zu der datei find ich nicht..
    was kann ich da jetzt machen?

    • http://www.blogpirat.de/ Dodo

      Lade dir doch die kaspersky rescue

  • Manuel S.

    sorry für doppel-post :/
    kann ich jetzt wenn ich normal auf meinem pc angemeldet bin auch einfach ein neues konto erstellen und den alten löschen? Danach den hacken bei alle dateien erhalten setzen. ist das ne sichere lösung den virus zu beseitigen..
    hoffe um schnelle Antwort :)
    mfg
    Manu

  • Domenik

    Trojaner bekam ich am 18.02.2012 über Webseite. Welche weiß ich leider nicht. Abgesicherter Modus etc. keine Chance. Auch keine Tastmanager Funktion im Windows möglich gewesen. Neustart und nach Anmeldung den Tastmanager geöffnet und siehe da, Gema.exe
    Beschreibung der exe ist “Edge Watts Maps” der Ort war natürlich wieder System32. Es geht ihn zu schließen wenn keine Internetverbindung besteht. Lasst euch nicht von dem Trojaner beeindrucken.

  • darkboy

    Hallo Leute, ich will erstmal sagen das mir die Anleitung echt geholfen hat, jedoch versteh ich den Punkt mit dem shell und explorer.exe am ende nicht… Ich bin auf dem richtigen Pfad und rechts steht auch Shell und explorer.exe aber auch noch ganz viele andere Sachen (der name der gelöschten Datei nicht), wasa mache ich denn jetzt? dieses shell löschen oder was umbennen? Bitte ums chnelle Hilfe

  • unwichtig

    Hey Leidengenossen,
    den Trojaner hab ich mir heute auch eingefangen (win7 64bit). Auf den Computer zugreifen ging nur im abgesicherten Modus über die Eingabeaufforderung. Bei mir hat der Virus unteranderem auch alle Dienste deaktiviert, so dass ich keine Internetverbindung mehr hatte und keinerlei Malwarebytes, de-cleaner, stinger & Co runterladen konnte. Sollte jemand ein ähnliches Problem haben und absoluter Computer-Laie sein hier meine Lösung bzw die meiner netten Helferlein:
    1. Im abgesicherten Modus mit Eingabeaufforderung (mit Netzwerktreibern war bei mir ebenfalls gesperrt) den taskmanager aufrufern
    2. Neuer Task: msconfig
    3. Unter dem Reiter Systemstart nach “gema” suchen (bei mir das einzig aktive Programm – sogar mehrere Male) und sowohl den Ort als auch den Befehlspfad aufschreiben
    4. Neuer Task: regedit
    5. Der Registrierungs-Editor geht auf: im linken Fenster den Key Ort aufsuchen (den ihr vorher aufgeschriben habt)
    bei mir war das ding in Local Machine und Current User
    6. Wenn ihr den richtigen Ordner habt draufklichen und im rechten Fenster erscheint die gema.exe Datei –> diese löschen
    7. Jetzt auch noch die .exe Dateien aus ihrem Speicherort löschen den ihr euch von vorher gemerkt bzw aufgeschrieben habt (z.B. C:\Programm Data\gema\gema.exe oder C:\Users\euerusername\AppData\Roaming\gema\gema.exe]
    8. Nun unbedingt den Papierkorb löschen
    9. Wenn ihr jetzt dem msconfig ruft dürften die Programme nicht mehr drinn stehen
    10. Alle Dienste aktivirien falls sie bei euch auch deaktiviert waren und auf “OK” drücken nich auf “Übernehmen” das hat bei mir die Häckchen immer wieder raus
    11. Ihr werdet augfordert den Computer neu zu starten
    12. Dann dürfte alles wieder funktioenieren (auch Internet)
    13. Jetzt die ganz oben erwähnten free Software alle runterladen und den Computer durchscannen
    14. Möglichst bald mal den Computer ganz platt machen und alles neu installieren, dann läuft er wieder schenller und Viren sind mit Sicherheit auch keine drauf

    Ich hoffe es hilft einigen,
    mich hats viele Nerven und einen ganzen Tag gekostet :(

  • white_shadow12

    bei mir war er besonders witzig: zunachst diese seite, had sofort ausgeschaltet, wieder eingeschaltet, siehe da: die seite war aufm eingeschränkten konto weg. Jetzt das Problem: Ich gehe in mein Administratorkonto und… endlos laden. Nach einer Weile is der Desktop da – oder eher ein Schwarzer Bildschirm: nix da, gar nichts! Keine Taskleiste, keine Programme. Nur der Cursor war da. Also Strg+Alt+Entf
    um mal nachzuschauen. Auch nix! Keine verdächtige Datei oder sowas. Danach hab ich mich Stunden abgemüht überhaupt die Systemsteuerung aufzubekommen! Nachdem sie also endlich da war habe ich eine Systemwiederherstellung vorgenommen. Und siehe da: Alles in Butter. Was mich verwundert hat war der schwarze Bildschirm. Ist das selbstfür diesen Virus normal? Würd mich gern interessieren.

  • Klaus123

    Kleiner Hinweis: Bei mir hat nach einigem Hickhack der Rumprobererei im abgesicherten Dos-Modus und mit Boot CDs der Norton Power Eraser das Problem dann doch ziemlich zügig erledigt.

  • Gabi

    Hallo zusammen,

    auch mein PC war durch den GEMA-Trojaner plötzlich gesperrt – ich war verzweifelt! Ich kam gar nicht in den abgesicherten Modus! Ich habe dann alle Möglichkeiten durchprobiert (mit Eingabeaufforderung, mit Netzwerk was-weiß-ich usw.) und plötzlich war der schwarze Deskop da und ich konnte den Internet-Explorer starten! Langer Rede kurzer Sinn – das runter geladene Malwarebytes AntiMalware Programm hat den Virus erkannt(Norton übrigens nicht) und er ließ sich problemlos eliminieren. Warum ich das hier poste? Ich bin fast 60 Jahre alt und kenne mich mit den vielen Fachausdrücken nicht aus! Diese Seite hier war für mich als einzige war klar verständlich und hat mir geholfen!! DANKE Blogpirat!!!

  • Fips

    Also erstmal vielen dank für die Haufen Vorschläge! Nur komm ich in keinen der 3 möglichen abgesicherten Modi rein und Norton und antivir Boot CDs konnten auch nicht helfen…ich komm über Norton zumindest zur eingabeaufforderung und in den taskmanager, nur Explorer.exe geht wiederum nicht…in der eingabeaufforderung komm ich nicht weiter, v.a. Sind die Dateien na wahrscheinlich versteckt :(

  • marienkäfer

    Also mich hat nun leider diser Virus auch erwischt! Egal in welchem der 3 Modi ich den Laptop hochfahre erscheint sofort wenn ich nun eine BootCD herstellen möchte speichere ich doch die heruntergeladene Datei einfach auf eine CD und schiebe diese in meinen Laptop oder? Ich kann leider garnicht mein Desktop sehen sonst würde ich einfach ne Widerherstellung machen( so hab ich den letzten weg bekommen)….hat noch irgendjemand tipps die mir helfen könnten….bräuchte meinen laptop dringend wieder zum arbeiten!

    • http://www.blogpirat.de/ Dodo

      Du musst das image als bootbare cd brennen, nicht als datei. Das machst du zum beispiel mit imgburn. Das tool ist freeware. Einfach installieren, dann auf das image doppelkliken, den rest macht das tool automatisch. Natürlich im programm noch auf burn drücken und ne leere cd nicht vergessen ;)

  • naseweis

    Die Sache ist eigentlich ganz einfach:
    System auf DOS-Ebene booten zB mit Norton-Rescue-Disk oder einer Rettungsdisc auf Linuxbasis usw. also irgendetwas damit ihr an einen Dateimanager (Explorer) kommt, mit dem Ihr, wenn ihr zB Windows XP habt, unter C/Windows/System32 sowie unter C/Dokumente und Einstellungen/all users sowie …alle anderen Benutzer alle vorhandenen Ordner mit der Bezeichnung “GEMA” (beinhaltet die datei “GEMA.exe”) löscht. Wenn vorhanden eine Suchfunktion benutzen, damit ihr alle Ordner/Dateien mit dieser Bezeichnung erwischt, das ist wichtig. Dann Windows neu starten und dieses blöde GEMA-Fenster ist weg. Dann, bestenfalls noch die Registry säubern (Nach “GEMA”-Einträgen suchen).

  • b0tR

    hallo dodo,

    erstmal vielen Dank für die mühe die du dir hier machst.
    Habe den Virus auch drauf und alles nach deiner Anleitung gemacht. (Abgesich modus mit eingabeaufforderung)
    Nun bin ich aber auf ein , für mich, unlösbares Problem gestoßen:

    Ich habe alle Dateien mit den genannten verdächtigen Namen gelöscht.
    Jedoch kann ich den Schritt mit dem Taskmanager nicht ausführen, da (trotz abgesicherter modus und als admin eingeloggt) die fehlermeldung : “taskmanager duch administrator deaktiviert” erscheint.
    Dies wollte ich in der registry wieder beheben, aber auch hier dieselbe Meldung, sprich ich komme weder in den Taskmanager noch in die Registry um den rest des “gema”-virus zu beheben.

    Weiß jemand eine Lösung wie ich diese Fehlermeldung umgehen/ beheben kann?

    Gruß

    • GummiBaerchen

      Ja das ist ganz einfach ..wenn du den rechner per “Abgesicherter Modus mit eingabeaufforderung” startest kann su dich ja in jeden belibigen account einloggen ..nimm dan einen account der Admin rechte hat und schreibe dann in CMD ..das ja immer in dem modus offen ist “net user Administrator /active”* schalte dann den rechner wieder aus und starte ihn wieder mit dem Abgesichertem modus mit eingabeaufforderung. Dort sollte dann ein neuer Benutzer erschienen sein ..undzwar ADMINISTRATOR strarte über diesen benutzer (er hat ALLE system rechte und kann soger an WINDOWS datein ändern die normale anmins nicht können)

      —————————————————-
      *

      Sollte das nicht fuktioniert haben weil der befehl verweigert wurde starte den pc normal (wenn du die daten von dem virus schon entfernt hast sollte der bildschirm schwarz bleiben und kein desktop zu verfügung stehen) drucke einfach so lange shift bis eine meldung kommt (hab immer mit der rechten gemacht^^musste aba egal sein) klick dann auf den link der zum menü Systemeinstellungen weiterleitet ..oben in den system einstelungen ist immer ein pfad klick darauf und lösch ihn gib jezt den pfad deines benutzers ein (C:/users/….) dann kommst du zu deinen ordner suche dann “cmd” und klick mit rechtsklick auf das programm symbol und dann auf “Als Administrator ausführen”

  • tube28

    Um die versteckten Ordner und Dateien anzeigen zu können muss ich ja : Organisieren > Ordner- und Suchoptionen > Ansicht >…. Mein Problem ich komm bei ” Ordner – und schuchoptionen” nicht rein kann mir jemand bitte helfeeeen

  • Lumachina

    Hallo,

    ich hab mir den Virus am WE auch eingefangen, und war erstmal blass geworden, da die Seite genau in dem Moment aufpoppte als ich gerade naja…Jedenfalls hab ich das ganze schnell durchschaut, da mich der Vorgängervirus auch schon erwischt hatte :-(
    Beide Male konnte ich es in kürzester Zeit mit der Reparatur-CD/ Systemwiederherstellung (Vista) lösen. Wobei ich erwähnen muss, dass man sich diese bei Vista bzw. bei dem Laptop selbst erstellen muss gleich nach dem Kauf. Ich bin jetzt kein Profi, aber ich wollts mal erwähnen weil ich nicht weiss ob das so üblich ist.. Danach hab ich meinen AVG(freeware) nochmal drüberlaufen lassen und alles war wieder bestens.

    Also vielleicht das als erstes probieren, da es, finde ich, die einfachste Variante ist.

  • Samira

    bitte helft mir!!!

    ich habe das selbe problem mit dem gema-virus/trojaner.
    die sache ist, ich komme in garkeinen abgesicherten modus mehr rein, da steht dann immer:
    “”"windows konnte nicht gestartet werden, da folgende datei fehlt oder beschädigt ist:
    /windows/system32/config/system

    sie können versuchen, diese datei zu reparieren, indem sie windows setup unter verwendung der original-cd starten. wählen sie in der ersten bildschirmanzeige die option ´R´ um die setupreparatur zu starten.”"”

    und ich habe kein cd fach

    es gibt zwar seiten wo man es auf einem usb stick installieren kann, aber da verstehe ich nur bahnhof

    kann mir einer helfen? bitte bitte

    vielen dank im vorraus
    liebe Grüße Samira

  • Brause

    Bist der Geilste. Danke für die Hilfe!!! Die Säcke sollte man an der nächsten Eiche aufhängen…

  • teawurst

    hallo leute ich habe das virus auch habe sofort paysafecartd geholt…und eingeben dann stand dort 12 stunden warten….
    so nun ist es um 02 uhr und habe es eifnach für was aanderes ausgegeben weil ich gelesen habe das das ein virus ist….
    bin hirauf zugestoßen und möchte nun wissen wie ich denn virus wegbekomme

    ich habe kein antivirus programm(werde mir aber eins zulegen, weil das gekommen ist ;C)
    und nun kommt immer noch der gema-virus ich komme nicht in den task manager oder in abgesicherten modus auf mein desktop…
    hilft mir bitte
    ich möchte nciht alles löschen

    • http://www.blogpirat.de/ Dodo

      hallo teawurst,

      wenn du den virus entfernen willst, warum befolgst du nicht einfach die anleitung, anstatt einen sinnlosen kommentar zu schreiben ;) lad dir eine der bootcds falls dein rechner nicht im abgesichertenmodus gestartet werden kann. im zweifelsfall auch mit zwei oder drei bootscds den rechner scannen. steht alles ausführlich beschrieben.

      mfg dodo

  • Jim

    Hallo,

    auch ich habe mir diesen Gema-Virus ebend eingefangen. Ich habe die Anleitung befolgt bis zu dem Punkt wo man die Dateien suchen muss. Ich habe alle User durchgeguckt bis auf “Jim” mein Account wo der Virus vermutlich auch sein wird. Nur habe ich ihn durch ein Passwort gesichert .. und vermutlich liegt es daran dass immer wenn ich in den Ordner “Jim” will .. eine Meldung kommt mit “Zugriff verweigert” ..

    Weiß einerweiter? (:

    • http://www.blogpirat.de/ Dodo

      du könntest mit rechtsklick auf den ordner in eigenschaften geben. unter freigabe/sicherheit kannst du die besitzrechte auf “Jeder” ändern mit “Vollzugriff”, dann kannst du trotz des passwortes auf deinem benutzer auf den ordner zugreifen ;)

      mfg dodo

      • Jim

        ok, da bin ich durch..
        konnte den virus finden und löschen, doch nun kann ich den Schritt mit der Registry nicht machen, weil “taskmgr und regedit” nicht machen, da das angeblich deaktiviert sein soll.

  • liQMDJ

    DANKE DANKE DANKE!! Ich habe den Virus mit dem Norton Bootable Recovery Tool beseitigt..hat super funktioniert und ich bin dir so dankbar für deine Mühe! Danke! lG liQMDJ

  • Flo

    Hallo, danke erstmal für die Hilfe. Hab den Virus grad eben entfernt. Nur meine Desktopsymbole sind alle weg! Tipp zum Wiederherstellen ?!?

    • GummiBaerchen

      Ich kenne nur 1 Möglichkeit ..undzwa den Account löschen und einen neuen erstellen

      • Kevin

        wie meinst des mit Account löschen und neuen machen da sind doch auch keine drauf ? meine sind auch alle weg..

  • monlight13

    Wollte den virus bei nem freund löschen aber die festplatte startet und bootet nicht mehr was kann man da tun und wieso ist das so?
    monlight13

  • Kevin

    Hi habe ein Problem..ich kann den Taskmanager nicht öffnen und über CMD komm ich auch nicht rein, der sagt immer würde durch den Administrator gesperrt..hab Windows7
    bitte um schnelle Antwort
    viel dank
    Gruß Kevin

    • Kevin

      Pfad: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
      hab ich gefunden aber bei mir gehts bei Winlogon noch weiter , wo soll ich Shell=Explorer.exe rein schreiben das versteh ich nicht?
      Bitte um Hilfe
      DANKE

  • schrecklicher sven

    Aaaaalso , ich denke mal ich hab schon das update von diesem virus.bei mir wollen sie 100euro und ich komme nicht in den abgesicherten modus .das Kaspersky Rescue Disk 10 ist bis jetzt die beste alternative , da ich damit schon mal auf meine dateien zugreifen kann.komm auf die festplatte finde dort aber kein unterordnerder /AppDara\Roaming\und auch nicht \Anwendungsdaten\mahmud.exe.schade den das löschen wäre wohl die einfachste variante. virenscann läuft noch und avira hat den virus nicht erkannt.

  • Sebastian

    Bei mir hat es mit einem Wiederherstellungspunkt funktioniert:

    - PC booten, und dabei immer schön F8 drücken
    - “Abgesicherter Modus mit Eingabeaufforderung” auswählen
    - warten bis Eingabeaufforderung erscheint
    - rstrui.exe eingeben und Enter drücken

    Wenn ihr (oder irgendein Programm) irgenwann einmal einen Wiederherstellungspunkt erstellt habt, könnt ihr euren PC auf diesen Stand zurücksetzen. (Betrifft eure “Eigenen Dateien” nicht!)

    Jetzt Persönliche Daten sichern und dann Windows neu installieren!
    Damit seit ihr dann auf der sicheren Seite ;)

  • http://blogpirat.de/vorsicht-vor-gema-virustrojaner-so-bekommt-ihr-den-virus-wieder-weg/ lookingforheil

    Mein Problem:
    in den abgesichterten modus komme ich nicht, also bleibt mir nur noch die möglichkeit eine boot cd einzulegen…
    das hab ich auch gemacht, und zwar das Norton Recovery Tool, hab alles durchlaufen lassen —> und jetz das Problem: es wurde nichts erkannt.. :/
    was nun?

    danke für die hilfe

    • http://www.blogpirat.de/ Dodo

      Lad dir mal de kaspersky bootcd und versuchs nochmal damit

      • MiHo

        Hallo,

        als erstes möchte ich mich natürlich den Danksagungen an Dodo anschließen.
        Auch mich hatte der GEMA Trojaner erfasst, von einer “ganz normalen” Web-Site aus.
        Scheint wirklich sehr weit verbreitet zu sein inzwischen.

        Avira (die kostennlose Version) hatte plötzlich Meldungen ohne Ende gebracht, aber den Befall im Endeffekt leider nicht verhindern können.
        Bei mir ging auch im abgesicherten Modus erstmal nichts mehr, wie oben beschrieben, konnte auch den Taskmanager gar nicht öffnen usw.
        Habe dann heute mit dem Kasperski Tool die Reparatur gemacht. Habs so wie bei Kasperski vorgegeben, gemacht, erst den Windows unlocker, dann den Scanner usw.
        Soweit hat das funktioniert.
        Der PC lässt sich wiedere hochfahren.

        Jetzt hab ich aber schon 4 Probleme erkannt, die noch bestehen, hoffe, dass es nicht noch mehr sind.
        Das gravierendste: Ich kann keine I-Net Verb. herstellen.
        Weder mit IE noch mit Firefox sowie Outlock express.

        Die WLAN Verb. ist voll da und der Router auch i.O. weil ein zweiter PC, der dran hängt, funktioniert.

        Fehlerdiagnose über IE ergab einen Hinweis, dass winsock beschädigt ist. “…winsock Fehler 10050…”
        Habe danach gegoogelt und gelesen, dass man den Winsock-Anbieter Katalog mit einem entsprecehnden Fix it -Tool von Microsoft reparieren kann. Hab ich runter geladen gemacht. Aber ohne Erfolg!!
        Die Winsock Diagnose bringt nach wie vor Fehlermeldung, dass “… mit den Anbietereinträgen MSAFD (TCP/IP) usw. keine Loopbackkommunikation ausgeführt werden kann …”
        Außerdem “… BEi einem Mehrschichtdienstanbieter ist ein Verbindungsfehler aufgetreten …”

        Zweites Prob:
        Rechte Maustaste z.B. auf dem Desktop oder im Explorer geht nicht.
        In Anwendungen z.B. Office geht RMT wie gewohnt.
        Aber im Explorer oder auf dem Desktop keine Funktion ??

        Drittes Prob:
        Habe wegen der besschriebenen 2 Probleme gedacht, machste noch eine Systemwiederherstellung von einem früheren zeitpunkt.
        DAs ist ja hier im thread auch mehrfach empfohlen worden.
        Hab 3 oder gar 4 ältere Systemwiederherstellungspunkte probiert. Nach Neustart kommt jedesmal die Meldung “…Keine Daten geändert. Systemwiederherstellungspunkt konnte nicht hergestellt werden…” ??

        Viertes Prob: Das Hochfahren von Win Xp dauert ewig lange,, deutlich länger als vorher.

        Jetzt weiß ich erstmal nicht mehr weiter.
        Vllt. hat jemand zu einem der Probs noch Ideen und Hinweise.
        Für Eure Mühen besten Dank im Voraus.
        Michael

        • http://www.blogpirat.de/ Dodo

          du kannst es noch mit einer systemwiederherstellung von windows versuchen. start -> zubehör -> systemprogramme. Wenn das nicht funktioniert, dann solltest du ernsthaft über eine neuinstallation nachdenken. die fehler die du beschreibst sind schon gravierend.

          wegen dem desktop/rechtsklick problem. es könnte sein, dass der virus deine benutzerdaten oder auch komplett c: “versteckt” hat. dazu rechtklick auf deinen benutzer (oder c:) und das attribut “versteckt” entfernen. mit dem rechtsklick hängt mit der desktopeinstellungen in der registry zusammen. müsstest einfach mal googlen. alternativ kannst du auch einfach nen neuen benutzer anlegen und deine daten rüber ziehen, dann den alten benutzer wieder löschen

          mfg dodo

          • MiHo

            Guten Morgen.
            Danke für die schnelle Antwort.
            Systemwiederherstellung hab ich ja versucht …, wie bereits geschrieben.
            Kommt jedesmal die Meldung, dass die alten Daten beibehalten worden und der gewählte Sytemwiederherstellungspunkt nicht wiederhergestellt werden konnte!

            Betr. “versteckt”; meinst du das Attribut “versteckte Dateien und Ordner anzeigen” im Explorer?
            Das steht auf “anzeigen”.
            Kann erst heute abend weiter dran probieren.
            Ich geb BEscheid, wie es sich entwickelt.

            lg
            Michael

  • Torsten

    Hallo zusammen,

    nur zur Info. Ich hatte keiner der angegebenen Dateien gefunden, aber sehr viele Dateien und Ordner mit dem Namen “gema” oder “GEMA” usw.
    Diese Dateien haben auch das Änderungsdatum von dem Tag an dem der Virus aufgetreten ist.

    Ich habe “gema” in das Suchfenster vom Explorer (abgesicherter Modus mit Eingabeaufforderung) eingegeben und alle Dateien/Ordner mit dem Änderungsdatum an dem der Virus auftrat gelöscht.

    In der Registry musste ich nichts ändern. Da stand unter Shell explorer.exe.

    Nachdem ich den Rechner neugestartet habe war alles wieder ok.

    Es sieht so aus, als ob das Virus/Trojaner etwas verändert wurde.

    Ich hoffe die Info war hilfreich.

  • ugur

    Hallo

    Bei mir hat haben sich die drei Virus auch verfangen gehabt.Mußte daher die Festplatte neu formatieren.
    Jetzt möchte euch mitteileilen,das die Firma Ukash,Smart Voucher hier hinter stecken.ich möchte nun,werlust hat mit einer sammelklage vorgehehen.die beiden firmen gehören ein und derselben person.diese betriebe sind kurz vor dem abgang und so zockt die firma die leute ab.wer lust hat möge sich bitte melden.

    • Achim

      @ugur:
      Es gibt aber auch Blogs, in denen geschrieben wird, dass es sich um einen Ukrainer handelt, der mittlerweile schon inhaftiert ist…tja, was soll man nun glauben?
      Ich persönlich wäre sofort dabei, gerichtliche Schritte einzuleiten, völlig egal ob es einen finanziellen Ausgleich geben könnte oder nicht; ich würde es nur allein deshalb tun, um diesen Typen das Leben schwer zu machen, denn so etwas ist eine riesen Sauerei.

      Wenn Du wirklich genaueres weißt, laß es mich/uns alle hier, wissen, please.

      Gruß, Achim

      • ugur

        Hallo

        Ich vermute,der Betreiber von Megaupload und die anderen Geschäftspartner damit was zu zun haben könnten.Weil diese Seite gesperrt worden ist,tut er und seine Partner sich jetzt rechen.Hierzu habe ich auch eine mail an RTL gesendet.Ich habe eine mail von RTL zurück erhalten und die werden sich darum kümmern ,wurde mir so mitgeteilt.Eine Rechner von RTL sollen auch betroffen sein.Ist es möglich,nach meiner theorie das da der betreiber von Megaupload dahinter stecken könnte ? Denn er hat ja im TV behauptet,das er sich rechen will.

  • Achim

    Ich danke Dir, Dodo, für diese super Anleitung!!! Ich habe vorher zig Foren durchstöbert, alles andere ausprobiert, doch konnte nicht mal im abgesicherten Modus etwas verändern, geschweige denn; anklicken…es kam immer direkt das Gema-Fenster.
    Dein Tipp mit Norton Rescue war der einzige, wirklich, hilfreiche!!!! Herzlichen Dank!!!( Besonders auch für den Lizens-key!)
    Find ich super, dass es noch so selbstlose Menschen gibt, die Ihr Wissen anderen mitteilen!
    Grüße, Achim

    P.S. Falls jemand zweifelt; nein, ich kenne Dodo nicht und bin nur durch Zufall auf diesen Thread gestoßen!

  • Jan

    Hallöchen,
    mich hat es leider auch erwischt.
    Die angegebenen Dateien konnte ich zwar nicht finden, dafür gab es sowohl auf C: als auch im Roaming ordner tatsächlich den Ordner “gema” die wiederrum die “gema.exe” enthält.

    Ob das alles ist muss ich allerdings noch herraus finden.

    MFG
    Jan

  • steve

    1000 DANK!!
    Der Norton Eraser hat 3 Trojaner runtergehauen.Ich konnte garnichts mehr machenhat alles blockier war am verzweifeln jetz scheint sich alles normaliesier zu haben.
    Der McAfee Antivir scheint nicht so wahnsinnig effektiv zu sein.

    Ich hatte Gema.exe,Skype.exe,
    Sehe gerade descan hat immer noch 2 Troianer endeckt.

  • Ugur

    Ich habe nun das vierte mal den Bundespolizei und Gema Trojaner auf meinem Rechner gebt.Dann habe ich einen endschluss getroffen.Bin zur Polizei gegangen und gegen die Firma Ukash eine Strafanzeige gestellt.Laut der Polizei ist die firma shon wegen Internetabzocke bekannt.Ich Rate jetzt jedem,der mit dem Virus befangen ist,zur Polizei zu gehen und eine trafanzeige zu stellen.Der Beamte,ddie Anzeige aufgenommen hat,sagte zu mir,die Personen die die Strafanzeigen stellen son sich nicht schämen.Je mehr Anzeigen die Firma erhält um so mehr hat man Chancen hat man,das die Firma geschlossen wird.Hinter Ukash steckz ah noch eine Bank.Die würde dann auch icht gemacht werden.Also Leute nicht schämen und sofort zur Anzeige.
    Ich mußte immer wieder meBetribssysten neu installieren.

    • http://www.blogpirat.de/ Dodo

      Als empfehlung kann n ich dir nur einen ordentlichen Schutz ala Norton ans Herz legen. Zwar ist das auch kein 100% Schutz, den gibt es leider nicht, allerdings minimierst du das Risiko. Dass die Firma Ukash hinter der ganzen Sache steckt, das kann man nicht pauschal sagen. Dafür gibt es keine stichhaltigen Beweise.

      Lg dodo

  • Kdbpearl

    Hallo, ich habe im abgesicherten Modus die Installationsdatei der MS System Essentials auf den Rechner kopiert und dann im abgesicherten Modus mit Nertzwerktreibern als Adminstrator die System-Essentials installiert und die haben alles wieder hingezaubert. Unter anderem einige .exe Files gelöscht etc.. Sieht so aus, als wäre wieder alles ok.
    Viele Grüße
    Klaus

  • Pingback: Forenkneipe - Seite 30308 - PlayStation Forum

  • Toxin

    Ich lasse auch gerade Mal ein großes Dankeschön da. Sehr übersichtliche Darstellung der Lösungsansätze und auch für wenig erfahrene Nutzer anwendbar.

    Vielen Dank für die Mühe!

    • http://www.blogpirat.de/ Dodo

      Freutmich zu hören :) vielen dank

  • http://www.querblog.de Horst Schulte

    Danke für diesen guten und hilfreichen Artikel. Den Virus auf meinem PC habe ich zum Glück entfernen können.

    Ich bin aber quasi Selbstversorger. Die Mist-Mailware kam von meinem eigenen Blog. Den habe ich inzwischen aus dem Verkehr ziehen müssen. Ich werde dem Problem nicht Herr. Verschiedene Scanner zeigen nicht nicht einmal an. Nur.. er ist da und infiziert (mit IE 6 jedenfalls) jeden Windows-Rechner, der mit dem Ding unterwegs ist. Die neueren Browser zeigen jetzt (nachdem es leider zu spät ist) den Warnhinweis. Bevor die Sache bei Google aufgeschlagen ist und die Seite auf die Blacklist kam, wurde über meinen Blog eine “neue Javaversion” installiert. Das war der Virus.

    Mehrere meiner Blogs sind befallen und stehen jetzt auf dem Index. Jetzt bin ich schon so lange online, aber so einen Mist habe ich noch nicht erlebt.

    Hat jemand eine Idee, was ich überhaupt noch tun kann? Mein Provider ist eingeschaltet, hält sich bisher aber sehr bedeckt.

    Einige Scripte, die als Virus (Trojaner) identifiziert wurden, habe ich gelöscht (auch die entsprechenden Verzeichnisse). Genützt hat all das nichts. Da werden die 7000 Artikel und 16000 Kommentare wohl im Datennirwana landen. :-(

    • http://www.blogpirat.de/ Dodo

      hmmm, das der erste fall, bei dem ich höre, dass ein internetauftritt mit dem gemavirus kompromitiert wurde. es gibt doch FTP-Scanner? Wenn du mal versuchst deinen Webspace durchsuchen zu lassen? Evtl. kannst du auch einfach mal Posts/Comments/User exportieren, ich kann mir kaum vorstellen, dass der Virus sich dann mit exportieren lässt. Danach Blog neu aufsetzen.

      LG
      Dodo

  • reeen

    bei mir öffnet sich dieses cmd fenster einfach nicht…was mache ich wohl falsch?

    • http://www.blogpirat.de/ Dodo

      wo öffnet sich cmd nicht? bitte etwas genauer, kann keiner hellsehen :)

  • http://gxf-gaming.de/index.php?page=User&userID=369 thegreentaxi

    Vielen, vielen Dank, hat wunderbar funktioniert :)

  • axtrop

    Hey, vielen Dank! Durch diesen Beitrag bin ich darauf gekommen, in der Registry zu schauen wo der Virus war! Bei mir war er nämlich unter C:\Windows\Temp\bydlqt\setup.exe gespeichert …

  • http://1234habichnet.com Manman

    Man kann auch einfach den Computer neustarten ujd dann bevor der virus erscheint ein Pogramm (z.b. Windows explorer) tausendfach öffnen.Während man öffnet erscheint der virus dann, aber ihr habt immer noch die taskleiste.
    Danach einfach virusscan oder aus Appdata(Run: %appdata%)
    entfernen

  • Luca

    Geht immer noch nicht

  • Micha

    ich habe scheinbar eine neue Version eingefangen.
    Sobald ich den Taskmanager starte legt sich die Gema seite drüber.
    Auch über die DOS Eingabe.
    Ich kann nichts eingeben

    • http://www.blogpirat.de/ Dodo

      BootCd von norton oder Kaspersky benutzen.

      LG dodo

  • Antje

    Ich finds ja wirklich toll wenn sich Leute die Mühe machen um anderen zu helfen die nicht so viel ahnung haben
    allerdings find ich es ganz schön…..blöde …
    wenn sich vor den text eine werbung setzt die 90 % des bildschirms füllt und man die nicht mal wegklicken kann um den anleitungen zu folgen. in diesem sinne..danke..für nix

    • KataShi

      Also… die Werbung kann man mit einem Klick auf das 2. Symbol von rechts verschwinden lassen.
      In diesem Sinne, schönen Freitag noch

      LG KataShi

      • Antje

        im abgesicherten Modus kam ich an genau DIESEN Button nicht ran…weil das Bild einfach zu groß ist

        • http://www.blogpirat.de/ Dodo

          Das liegt an der niedrigen Auflösung, die automatisch im abgesicherten Modus gefahren wird: 800×640

          Über einen Rechtsklick auf den Desktop -> Eigenschaften (XP) oder Ausflösung (Vista/7), kannst du die Auflösung anpassen, dann ist auch die Werbung wegschaltbar.

          Leider geht es nicht ohne die nervige Layer Werbung, sonst können wir Inhalte wie diese nicht mehr bereitsstellen. Mir wäre eine vernünftige Alternative durchaus lieber. Sollte unser Besucher aufkommen irgendwann so groß sein, dass wir auch ohne Layer auskommen können, dann werde ich diese auch deaktivieren. Ist leider bisher ein notwendiges Übel.

          Liebe Grüße
          Dodo

  • Pingback: Windows Update Trojaner entfernen und Daten entschlüsseln | BlogPirat

  • Pingback: Das Gema Virus Windows XP verbreitet sich hauptsächlich über Facebook

  • Holger

    Hallo. Ich habe folgendes Problem:
    Wenn ich den Norton Power Eraser starten will, muss er den Computer neu starten. Aber wenn er den Computer selbst neu startet, geschieht dies nicht im abgesicherten Zustand und es erscheint erneut diese”GEMA”meldung.. Hilfer wäre sehr nett. Danke.

  • Plalmnicken

    Hier ist mal die Adresse der Notfall CD, wenn man sich nicht sicher sein sollte, ob ein Eindringling vorliegt, oder nicht, das Virenprogramm aber schon alarm geschlagen hat und sich nun wieder vollkommen harmlos verhält.
    https://support.kaspersky.com/de/faq/?qid=207621612