Gema.exe Virus

Hallo,

ich habe mir eben wohl einen Ransomware Virus eingefangen. Irgendwo im Netz geht ein Fenster auf wo etwas von "Download" steht ohne das ich irgendetwas herunterladen hätte wollen. Nachdem ich dieses Fenster direkt geschlossen hatte war es auch schon passiert. Ein weißes Fenster ohne Inhalt öffnete sich (über dem kompletten Screen) und blockiert seitdem alles. Mit meinem anderen Rechner habe ich dann im Netz erfahren das es sich wohl um Ransomware handelt. In meinem Fall ist halt nur kein Text im Fenster zu lesen, ansonsten weisen die Symtome genau darauf hin. Im abgesicherten Modus erscheint ebenfalls die Blockade. Bei mehrmaligem aufrufen des Taskmanagers konnte ich auch noch erkennen (blitzt immer kurz auf) das wohl eine gema.exe ausgeführt wird.

Nun habe ich die System HDD ausgebaut und extern an einen anderen Rechner angeschlossen. Soweit ich mal eben nachgeschaut habe (manuell ohne Viren Scanner, denke Avira wird da eh nix finden) ist die exe schonmal in den Anwendungsdateien und im System32 abgeleicht worden.

Wie muß ich bitte vorgehen um das Ding wieder loszuwerden. Einfach löschen ist wohl nicht die Wahl der Mittel. Und, ist es überhaupt Möglich es so zu entfernen (also extern angeschlossen). Ich habe eben auch einen ähnlichen Thread hier gefunden wo nur eine Neuinstallation geraten wurde. Zudem kamen natürlich auch wieder die üblichen Kommentare von wegen "wenn man sich schon auf solchen Seiten rumtreibt...". Ich hoffe sehr das mir ähnliche Kommentare erspart bleiben, zumal ich mich nicht auf irgendwelchen ominösen Seiten "herumgetrieben" habe, und es mich dennoch irgendwie erwischt hat. Und Neuinstallation ist wohl sicher auch nicht der Weisheit letzter Schluß. Also, ich hoffe wie immer auf ein wenig Fachmänischen Rat.

 

Naja, eigentlich sollte meine Software immer aktuell sein. Mir haben aber auch schon Leute gesagt das Avira das sogar aktualisiert gar nicht erkennen würde.

Keine Sorge, ist nur mein alter ausrangierter Rechner mit nix drauf.

Ja, ich denke deshalb scheuen die meisten Leute eine Neuinstallation. Ich habe aber immer ein aktualisiertes Backup auf einer externen Platte. Ebenso benutze ich KEINE Windows Kopie, und System neu aufsetzen ist eh kein Thema. Dachte mir sowieso das dies schneller erledigt ist wie das Bekämpfen des Schädlings. Nur wird hier ja auch des öfteren erklärt wie man eine Infektion (ohne Neuinstallation) entfernen kann. Und dann hatte ich die Hoffnung das es doch auch so gehen müsste.

Ein weiterer Grund ist auch der, das ich noch die Save Games eines Spieles auf dieser System Partition habe. Davon habe ich kein Backup. Ebenso habe ich eine zweite Platte (enthält pratisch die 'D' Partition) im Rechner. Von der sollte eigtl. das Externe Backup Aktuell sein. Allerdings bin ich mir nicht zu 100% Sicher, weil ich zum Zeitpunkt des Crashs gerade an einigen Sachen am arbeiten war. Gibt es eine sichere Methode diese Savegames auf eine Infektion zu prüfen? Und wie sieht es mit der anderen Platte aus, befällt so ein Schädling nur das System, oder wie kann ich die andere Platte überprüfen?

 

Aber nicht von den verantwortungsvollen Helfern und niemals ohne entsprechende Kritik durch eben diese.

Jetzt nicht mehr. Vorher wäre ein Vergleich der Checksummen (z.B. MD5 oder SHA) möglich gewesen.

Malware verbreitet sich ohne Beschränkung, insbesondere wenn es AutoRun-Malware ist.

 

gema.exe

Ich hatte das selbe Prob.

Hab ihm mit Avira als Rescue System das Handwerk gelegt. Das ihn AntiVir nicht findet ist also nicht ganz richtig, allerdings findet es die exe Datei im System32 Ordner nicht. Kann man aber nach unten beschriebener Methode problemlos per 'Hand' entfernen.

Auf die Avira Webseite, unter 'Downloads' und der Unterkategorie 'Tools' gehen.
Dort das Avira AntiVir Rescue System herunterladen, auf CD brennen und von der CD booten. Da mit dieser Methode das installierte Betriebssystem nicht aktiv ist, ist somit auch der Schädling nicht aktiv. Somit ist die Chance auf das Aufspüren und Entfernen wesentlich höher, da er sich in mehreren Ordnern einnistet und sich somit im laufenden System selbst reproduzieren könnte.

Man sollte allerdings etwa 1,5 bis 2 Stunden Zeit einplanen.