UPDATE vom 30. August 2012:
Bitte beachten Sie: Da es mittlerweile weitere Varianten des hier abgebildeten Schädlings gibt, welche optisch ein ähnliches oder identisches Erscheinungsbild haben, möchten wir darauf hinweisen, dass diese Anleitung u.U. veraltet sein kann.
Wir raten daher dringend dazu, dass Sie sich zur Bereinigung an unsere Experten im Support-Forum unter https://botfrei.de/forum wenden. Diese werden Sie bei der Bereinigung Schritt-für-Schritt durch den Säuberungsprozess begleiten und im Bedarfsfalle neue, bisher unbekannte Varianten an unsere Partner aus der Anti-Viren-Industrie weiterleiten.

Seit einiger Zeit treibt der GEMA-Trojaner in den verschiedensten Varianten sein Unwesen. Evild3ad.com hat uns heute auf eine neue Version hingewiesen.

Den Sperrbildschirm der neuen Variante sehen Sie hier angezeigt.

Der GEMA-Trojaner

Unser Exemplar hat den Namen “ActiveX32_64lo.exe” und liegt im Verzeichnis “C:Benutzer”BenutzernameAppDataRoaming“.

Die Datei “dwlGina3.dll” liegt allerdings nicht, wie bei der ersten Version im gleichen Verzeichnis wie der Schädling, sondern in “C:Benutzer”Benutzername“Desktop”.

Wichtigster Unterschied zur ersten Version ist eine Manipulation der hosts-Datei im Verzeichnis “C:WindowsSystem32driversetc“. Diese wird dahingehend abgeändert, dass u. A. alle Anfragen bezüglich AV-Hersteller und Microsoft an “localhost” umgeleitet und somit unwirksam werden. Dies hat zur Folge, dass z. B. keine Virendefinitionen mehr aktualisiert werden und auch die Microsoft-Updates nicht funktionieren.

Wie Sie Ihre Hosts-Datei wieder reinigen können, finden Sie in einem weiteren Artikel unter Punkt 4.

Die Säuberung des eigentlichen Schädlings unterscheidet sich nicht gravierend von der ersten Version. Auf www.bka-trojaner.de finden Sie den Sperrbildschirm unter dem Punkt v2.01. Unter Berücksichtigung der oben genannten Änderungen bekommen Sie den Schädling in den Griff.

Sollten Sie Fragen dazu haben oder Hilfe bei der Reinigung benötigen, schauen Sie in unser kostenloses Support-Forum.