Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Gema Trojaner

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 03.03.2012, 09:05   #1
6cylinders
 
Gema Trojaner - Standard

Gema Trojaner



Hallo,

habe mir heute morgen auf iload.to anscheinend den Gema Trojaner eingefangen. Ich kann nichtmal mehr im abgesicherten Modus am Rechner arbeiten. Hab jetzt mit meinem 2. Rechner eine OTL CD erstellt und damit den infizierten Rechner gestartet und mit OTL gescanned.

Hier das "Logfile"

Code:
ATTFilter
OTL logfile created on: 3/3/2012 9:35:54 AM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 87.00% Memory free
2.00 Gb Paging File | 2.00 Gb Available in Paging File | 97.00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 24.50 Gb Total Space | 8.55 Gb Free Space | 34.90% Space Free | Partition Type: NTFS
Drive D: | 78.11 Gb Total Space | 6.54 Gb Free Space | 8.38% Space Free | Partition Type: FAT32
Drive E: | 25.44 Gb Total Space | 25.44 Gb Free Space | 100.00% Space Free | Partition Type: FAT32
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Disabled] --  -- (HidServ)
SRV - [2012/01/06 09:53:56 | 003,246,040 | ---- | M] (Acronis) [Auto] -- C:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe -- (afcdpsrv)
SRV - [2011/12/06 16:00:14 | 000,214,896 | ---- | M] () [Auto] -- C:\Programme\Motorola\MotoHelper\MotoHelperService.exe -- (MotoHelper)
SRV - [2011/10/24 15:32:00 | 000,055,144 | ---- | M] (Apple Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2011/09/22 16:21:10 | 000,805,032 | ---- | M] (Acronis) [Auto] -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe -- (AcrSch2Svc)
SRV - [2011/07/31 23:40:49 | 000,269,480 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011/07/19 18:07:02 | 000,095,104 | ---- | M] (Citrix Systems, Inc.) [Auto] -- C:\Programme\Citrix\MetaFrame Password Manager\Sagent.exe -- (Citrix_Password_Manager_Sagent)
SRV - [2011/06/12 05:15:00 | 031,125,880 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Microsoft Office\Office14\GROOVE.EXE -- (Microsoft SharePoint Workspace Audit Service)
SRV - [2011/04/21 00:53:48 | 000,136,360 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2010/01/09 15:37:50 | 004,640,000 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE -- (osppsvc)
SRV - [2010/01/09 15:18:00 | 000,149,352 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2009/12/21 19:08:40 | 000,814,344 | ---- | M] (ABBYY) [Auto] -- C:\Programme\Gemeinsame Dateien\ABBYY\FineReader\10.00\Licensing\PE\NetworkLicenseServer.exe -- (ABBYY.Licensing.FineReader.Professional.10.0)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | On_Demand] --  -- (MBAMSwissArmy)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | System] --  -- (i2omgmt)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - [2012/01/06 09:53:59 | 000,167,968 | ---- | M] (Acronis) [File_System | On_Demand] -- C:\WINDOWS\system32\drivers\afcdp.sys -- (afcdp)
DRV - [2012/01/06 09:53:52 | 000,752,128 | ---- | M] (Acronis) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\tdrpm273.sys -- (tdrpman273) Acronis Try&Decide and Restore Points filter (build 273)
DRV - [2012/01/06 09:53:50 | 000,600,928 | ---- | M] (Acronis) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\timntr.sys -- (timounter)
DRV - [2012/01/06 09:53:44 | 000,170,528 | ---- | M] (Acronis) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\snapman.sys -- (snapman)
DRV - [2011/09/18 13:49:14 | 000,443,448 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)
DRV - [2011/07/31 23:40:50 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2011/07/31 23:40:50 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011/07/08 18:32:52 | 000,686,360 | ---- | M] (www.ext2fsd.com) [Kernel | System] -- C:\WINDOWS\System32\drivers\ext2fsd.sys -- (Ext2Fsd)
DRV - [2011/04/24 19:49:16 | 000,065,584 | ---- | M] (Citrix Systems, Inc.) [Kernel | System] -- C:\WINDOWS\system32\drivers\ctxusbm.sys -- (ctxusbm)
DRV - [2011/04/04 08:55:38 | 000,020,480 | ---- | M] (Motorola) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\motccgp.sys -- (motccgp)
DRV - [2011/03/31 08:53:24 | 000,024,064 | ---- | M] (Motorola) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\motmodem.sys -- (motmodem)
DRV - [2010/11/16 01:54:12 | 000,060,552 | ---- | M] (FTDI Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ftdibus.sys -- (FTDIBUS)
DRV - [2010/11/16 01:53:48 | 000,073,096 | ---- | M] (FTDI Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ftser2k.sys -- (FTSER2K)
DRV - [2010/11/05 02:20:00 | 001,938,272 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\athw.sys -- (AR5416)
DRV - [2010/06/17 08:27:22 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2010/06/17 08:27:12 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2010/04/01 08:31:50 | 000,023,424 | ---- | M] (Motorola) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Motousbnet.sys -- (Motousbnet)
DRV - [2009/07/10 07:01:06 | 000,025,856 | ---- | M] (Motorola) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\motoandroid.sys -- (motandroidusb)
DRV - [2009/03/09 06:32:00 | 000,805,888 | ---- | M] (Conexant Systems Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\CHDAU32.sys -- (CnxtHdAudService)
DRV - [2009/01/29 11:18:00 | 000,008,320 | ---- | M] (Motorola) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\motccgpfl.sys -- (motccgpfl)
DRV - [2009/01/29 11:11:20 | 000,006,016 | ---- | M] (Motorola Inc) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\motfilt.sys -- (BTCFilterService)
DRV - [2007/11/02 09:51:30 | 000,006,400 | ---- | M] (Motorola) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\motswch.sys -- (MotoSwitchService)
DRV - [2002/09/16 11:14:32 | 000,004,228 | ---- | M] (PowerQuest Corporation) [Kernel | System] -- C:\WINDOWS\System32\drivers\PQNTDRV.sys -- (PQNTDrv)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\Six_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKU\Six_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\Six_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local;192.168.*.*
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: D:\Programme\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Programme\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: C:\Programme\Microsoft Office\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: C:\Programme\Microsoft Office\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.99\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.99\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=1.1.11: C:\Programme\VideoLAN\VLC\npvlc.dll (the VideoLAN Team)
FF - HKLM\Software\MozillaPlugins\Adobe Acrobat: D:\Programme\Adobe\Acrobat 10.0\Acrobat\Air\nppdf32.dll (Adobe Systems Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\web2pdfextension@web2pdf.adobedotcom: D:\Programme\Adobe\Acrobat 10.0\Acrobat\Browser\WCFirefoxExtn [2011/12/28 07:48:18 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 10.0.2\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012/02/17 20:15:29 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 10.0.2\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012/02/26 13:08:14 | 000,000,000 | ---D | M]
 
[2012/01/11 01:36:45 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012/02/17 20:15:29 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2011/04/24 19:58:10 | 000,124,864 | ---- | M] (Citrix Systems, Inc.) -- C:\Programme\mozilla firefox\plugins\CCMSDK.dll
[2011/04/24 20:00:08 | 000,071,104 | ---- | M] (Citrix Systems, Inc.) -- C:\Programme\mozilla firefox\plugins\CgpCore.dll
[2011/04/24 19:59:06 | 000,092,096 | ---- | M] (Citrix Systems, Inc.) -- C:\Programme\mozilla firefox\plugins\confmgr.dll
[2011/04/24 19:58:38 | 000,022,976 | ---- | M] (Citrix Systems, Inc.) -- C:\Programme\mozilla firefox\plugins\ctxlogging.dll
[2011/04/24 20:49:00 | 000,485,288 | ---- | M] () -- C:\Programme\mozilla firefox\plugins\npicaN.dll
[2011/04/24 20:00:04 | 000,024,512 | ---- | M] (Citrix Systems, Inc.) -- C:\Programme\mozilla firefox\plugins\TcpPServ.dll
[2012/02/13 01:34:02 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012/02/13 01:34:02 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012/02/13 01:34:02 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012/02/13 01:34:02 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012/02/13 01:34:02 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012/02/13 01:34:02 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2011/12/28 01:33:02 | 000,002,463 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1 	activate.adobe.com
O1 - Hosts: 127.0.0.1 	activate.adobe.com      
O1 - Hosts: 127.0.0.1 	practivate.adobe.com
O1 - Hosts: 127.0.0.1 	adobeereg.com
O1 - Hosts: 127.0.0.1 	www.adobeereg.com
O1 - Hosts: 127.0.0.1 	activate.adobe.com
O1 - Hosts: 127.0.0.1 	activate-sea.adobe.com
O1 - Hosts: 127.0.0.1 	activate-sjc0.adobe.com
O1 - Hosts: 127.0.0.1 	wwis-dubc1-vip60.adobe.com
O1 - Hosts: 127.0.0.1 	192.150.18.108
O1 - Hosts: 127.0.0.1 	activate.adobe.com:443
O1 - Hosts: 127.0.0.1 	3dns.adobe.com
O1 - Hosts: 127.0.0.1 	3dns-1.adobe.com
O1 - Hosts: 127.0.0.1 	3dns-2.adobe.com
O1 - Hosts: 127.0.0.1 	3dns-3.adobe.com
O1 - Hosts: 127.0.0.1 	3dns-4.adobe.com
O1 - Hosts: 127.0.0.1 	adobeereg.com
O1 - Hosts: 127.0.0.1 	www.adobeereg.com
O1 - Hosts: 127.0.0.1 	activate.adobe.com
O1 - Hosts: 127.0.0.1 	activate-sea.adobe.com
O1 - Hosts: 127.0.0.1 	activate-sjc0.adobe.com
O1 - Hosts: 127.0.0.1 	wwis-dubc1-vip60.adobe.com
O1 - Hosts: 127.0.0.1 	192.150.18.108
O1 - Hosts: 127.0.0.1 	adobe-dns.adobe.com
O1 - Hosts: 28 more lines...
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation)
O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O2 - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Programme\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
O2 - BHO: (Citrix Single Sign-On Browser Helper Object Class) - {C3793308-160C-4b29-B44E-A09EE159DC83} - C:\Programme\Citrix\MetaFrame Password Manager\Helper\IE\bho.dll (Citrix Systems, Inc.)
O2 - BHO: (SmartSelect Class) - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKU\Six_ON_C\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Acrobat Assistant 8.0] D:\Programme\Adobe\Acrobat 10.0\Acrobat\Acrotray.exe (Adobe Systems Inc.)
O4 - HKLM..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe (Acronis)
O4 - HKLM..\Run: [Adobe Acrobat Speed Launcher] D:\Programme\Adobe\Acrobat 10.0\Acrobat\Acrobat_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [APSDaemon] C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [AzMixerSel] C:\Programme\Realtek\Audio\InstallShield\AzMixerSel.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [BCSSync] C:\Programme\Microsoft Office\Office14\BCSSync.exe (Microsoft Corporation)
O4 - HKLM..\Run: [Bonus.SSR.FR10] d:\Programme\ABBYY FineReader 10\Bonus.ScreenshotReader.exe (ABBYY.)
O4 - HKLM..\Run: [ConnectionCenter] C:\Programme\Citrix\ICA Client\concentr.exe (Citrix Systems, Inc.)
O4 - HKLM..\Run: [DivXUpdate] C:\Programme\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [gema] C:\WINDOWS\system32\gema.exe (Paragon Software Group)
O4 - HKLM..\Run: [gema.] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe (Paragon Software Group)
O4 - HKLM..\Run: [SAOB Monitor] C:\Programme\Acronis\TrueImageHome\OnlineBackupStandalone\TrueImageMonitor.exe (Acronis)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe (Acronis)
O4 - HKU\.DEFAULT..\Run: [BrowserChoice] C:\WINDOWS\System32\browserchoice.exe (Microsoft Corporation)
O4 - HKU\Six_ON_C..\Run: [DAEMON Tools Lite] C:\Programme\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd)
O4 - HKU\Six_ON_C..\Run: [gema] C:\Dokumente und Einstellungen\Six\Anwendungsdaten\gema\gema.exe (Paragon Software Group)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Citrix Single Sign-On Background Process.lnk = C:\Programme\Citrix\MetaFrame Password Manager\ssoShell.exe (Citrix Systems, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\Six\Startmenü\Programme\Autostart\Hardcopy.LNK = D:\Programme\Hardcopy\hardcopy.exe (sw4you, Siegfried Weckmann)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLinkedConnections = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Six_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\application/x-ica {CFB6322E-CC85-4d1b-82C7-893888A236BC} - C:\Programme\Citrix\ICA Client\IcaMimeFilter.dll (Citrix Systems, Inc.)
O18 - Protocol\Filter\application/x-ica; charset=euc-jp {CFB6322E-CC85-4d1b-82C7-893888A236BC} - C:\Programme\Citrix\ICA Client\IcaMimeFilter.dll (Citrix Systems, Inc.)
O18 - Protocol\Filter\application/x-ica; charset=ISO-8859-1 {CFB6322E-CC85-4d1b-82C7-893888A236BC} - C:\Programme\Citrix\ICA Client\IcaMimeFilter.dll (Citrix Systems, Inc.)
O18 - Protocol\Filter\application/x-ica; charset=MS936 {CFB6322E-CC85-4d1b-82C7-893888A236BC} - C:\Programme\Citrix\ICA Client\IcaMimeFilter.dll (Citrix Systems, Inc.)
O18 - Protocol\Filter\application/x-ica; charset=MS949 {CFB6322E-CC85-4d1b-82C7-893888A236BC} - C:\Programme\Citrix\ICA Client\IcaMimeFilter.dll (Citrix Systems, Inc.)
O18 - Protocol\Filter\application/x-ica; charset=MS950 {CFB6322E-CC85-4d1b-82C7-893888A236BC} - C:\Programme\Citrix\ICA Client\IcaMimeFilter.dll (Citrix Systems, Inc.)
O18 - Protocol\Filter\application/x-ica; charset=UTF8 {CFB6322E-CC85-4d1b-82C7-893888A236BC} - C:\Programme\Citrix\ICA Client\IcaMimeFilter.dll (Citrix Systems, Inc.)
O18 - Protocol\Filter\application/x-ica; charset=UTF-8 {CFB6322E-CC85-4d1b-82C7-893888A236BC} - C:\Programme\Citrix\ICA Client\IcaMimeFilter.dll (Citrix Systems, Inc.)
O18 - Protocol\Filter\application/x-ica;charset=euc-jp {CFB6322E-CC85-4d1b-82C7-893888A236BC} - C:\Programme\Citrix\ICA Client\IcaMimeFilter.dll (Citrix Systems, Inc.)
O18 - Protocol\Filter\application/x-ica;charset=ISO-8859-1 {CFB6322E-CC85-4d1b-82C7-893888A236BC} - C:\Programme\Citrix\ICA Client\IcaMimeFilter.dll (Citrix Systems, Inc.)
O18 - Protocol\Filter\application/x-ica;charset=MS936 {CFB6322E-CC85-4d1b-82C7-893888A236BC} - C:\Programme\Citrix\ICA Client\IcaMimeFilter.dll (Citrix Systems, Inc.)
O18 - Protocol\Filter\application/x-ica;charset=MS949 {CFB6322E-CC85-4d1b-82C7-893888A236BC} - C:\Programme\Citrix\ICA Client\IcaMimeFilter.dll (Citrix Systems, Inc.)
O18 - Protocol\Filter\application/x-ica;charset=MS950 {CFB6322E-CC85-4d1b-82C7-893888A236BC} - C:\Programme\Citrix\ICA Client\IcaMimeFilter.dll (Citrix Systems, Inc.)
O18 - Protocol\Filter\application/x-ica;charset=UTF8 {CFB6322E-CC85-4d1b-82C7-893888A236BC} - C:\Programme\Citrix\ICA Client\IcaMimeFilter.dll (Citrix Systems, Inc.)
O18 - Protocol\Filter\application/x-ica;charset=UTF-8 {CFB6322E-CC85-4d1b-82C7-893888A236BC} - C:\Programme\Citrix\ICA Client\IcaMimeFilter.dll (Citrix Systems, Inc.)
O18 - Protocol\Filter\ica {CFB6322E-CC85-4d1b-82C7-893888A236BC} - C:\Programme\Citrix\ICA Client\IcaMimeFilter.dll (Citrix Systems, Inc.)
O18 - Protocol\Filter\text/xml {807573E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe) - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe (Paragon Software Group)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\gema.exe) - C:\WINDOWS\system32\gema.exe (Paragon Software Group)
O20 - HKLM Winlogon: GinaDLL - (C:\Programme\Citrix\MetaFrame Password Manager\SSOGina\SSOGina.DLL) - C:\Programme\Citrix\MetaFrame Password Manager\SSOGina\SSOGina.dll (Citrix Systems, Inc.)
O20 - HKU\Six_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\Six\Anwendungsdaten\gema\gema.exe) - C:\Dokumente und Einstellungen\Six\Anwendungsdaten\gema\gema.exe (Paragon Software Group)
O20 - HKU\Six_ON_C Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Programme\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2011/07/30 04:41:16 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 06:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012/03/02 23:58:23 | 000,242,176 | ---- | C] (Paragon Software Group) -- C:\WINDOWS\System32\gema.exe
[2012/03/02 23:58:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Six\Anwendungsdaten\gema
[2012/03/02 23:58:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema
[2012/03/01 23:15:44 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Six\Recent
[2012/02/26 13:05:53 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2012/02/16 15:01:56 | 000,000,000 | ---D | C] -- C:\Transfer
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012/03/03 03:11:48 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012/03/03 00:05:10 | 000,001,080 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2012/03/03 00:02:05 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012/03/02 23:59:28 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2012/03/02 23:58:21 | 000,242,176 | ---- | M] (Paragon Software Group) -- C:\WINDOWS\System32\gema.exe
[2012/03/02 23:27:00 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2012/02/26 14:10:43 | 000,054,333 | ---- | M] () -- C:\Dokumente und Einstellungen\Six\Desktop\Alle_3_Monate_Jedermann.pdf
[2012/02/26 13:08:14 | 000,002,371 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Acrobat Distiller X.lnk
[2012/02/26 13:08:14 | 000,002,359 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Acrobat X Pro.lnk
[2012/02/26 13:08:14 | 000,001,498 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Acrobat X Pro.lnk
[2012/02/25 16:18:56 | 001,497,578 | ---- | M] () -- C:\Dokumente und Einstellungen\Six\Desktop\Triathlon Muenchen Trainingsplan.bmp
[2012/02/16 14:43:31 | 000,333,872 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012/02/16 14:21:33 | 000,519,484 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012/02/16 14:21:33 | 000,495,716 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012/02/16 14:21:33 | 000,101,328 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012/02/16 14:21:33 | 000,084,304 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012/02/16 14:14:12 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2012/02/13 14:23:39 | 000,000,714 | ---- | M] () -- C:\Dokumente und Einstellungen\Six\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk
[2012/02/05 11:57:19 | 000,000,497 | ---- | M] () -- C:\Dokumente und Einstellungen\Six\Desktop\mp3DirectCut.lnk
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012/02/26 14:10:42 | 000,054,333 | ---- | C] () -- C:\Dokumente und Einstellungen\Six\Desktop\Alle_3_Monate_Jedermann.pdf
[2012/02/25 16:18:56 | 001,497,578 | ---- | C] () -- C:\Dokumente und Einstellungen\Six\Desktop\Triathlon Muenchen Trainingsplan.bmp
[2012/02/16 06:05:51 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2012/02/16 06:05:51 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\dllcache\iacenc.dll
[2012/02/05 11:57:19 | 000,000,497 | ---- | C] () -- C:\Dokumente und Einstellungen\Six\Desktop\mp3DirectCut.lnk
[2012/01/08 07:45:19 | 000,022,031 | ---- | C] () -- C:\Dokumente und Einstellungen\Six\Anwendungsdaten\Kommagetrennte Werte (DOS).ADR
[2012/01/08 06:23:39 | 000,037,051 | ---- | C] () -- C:\Dokumente und Einstellungen\Six\Anwendungsdaten\Kommagetrennte Werte (Windows).ADR
[2012/01/05 12:32:57 | 000,000,000 | ---- | C] () -- C:\WINDOWS\pcvcdvw.INI
[2011/11/05 14:16:31 | 000,102,006 | ---- | C] () -- C:\WINDOWS\hpoins04.dat
[2011/11/05 14:16:30 | 000,017,218 | ---- | C] () -- C:\WINDOWS\hpomdl04.dat
[2011/10/30 18:30:04 | 000,162,320 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2011/10/30 18:28:47 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2011/10/06 23:14:45 | 000,000,795 | ---- | C] () -- C:\WINDOWS\Haushaltskasse.ini
[2011/09/28 06:38:47 | 001,907,346 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-S-1-5-21-1757981266-261903793-1644491937-1003-0.dat
[2011/09/22 23:40:12 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2011/09/19 11:23:55 | 000,282,202 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-System.dat
[2011/09/07 23:40:51 | 000,650,752 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2011/09/07 23:40:50 | 000,240,640 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2011/08/02 00:04:19 | 000,000,073 | ---- | C] () -- C:\WINDOWS\vdo2.ini
[2011/08/01 12:13:19 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\msds.dat
[2011/07/30 09:46:13 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2011/07/30 09:29:49 | 000,032,768 | ---- | C] () -- C:\Dokumente und Einstellungen\Six\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011/07/30 09:01:52 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\ChCfg.exe
[2011/07/30 09:01:50 | 000,000,852 | ---- | C] () -- C:\WINDOWS\System32\drivers\RTKHDRC0.dat
[2011/07/30 09:01:50 | 000,000,520 | ---- | C] () -- C:\WINDOWS\System32\drivers\RTEQEX1.dat
[2011/07/30 09:01:50 | 000,000,520 | ---- | C] () -- C:\WINDOWS\System32\drivers\RTEQEX0.dat
[2011/07/30 09:01:50 | 000,000,008 | ---- | C] () -- C:\WINDOWS\System32\drivers\rtkhdaud.dat
[2011/07/30 05:29:55 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2011/07/30 05:28:40 | 000,333,872 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011/07/30 05:07:48 | 000,982,196 | ---- | C] () -- C:\WINDOWS\System32\igkrng500.bin
[2011/07/30 05:07:41 | 000,417,344 | ---- | C] () -- C:\WINDOWS\System32\igcompkrng500.bin
[2011/07/30 04:43:37 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2011/07/30 04:37:33 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2008/04/23 13:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2008/04/23 13:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2008/04/23 13:00:00 | 000,519,484 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2008/04/23 13:00:00 | 000,495,716 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2008/04/23 13:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2008/04/23 13:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2008/04/23 13:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2008/04/23 13:00:00 | 000,101,328 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2008/04/23 13:00:00 | 000,084,304 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2008/04/23 13:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2008/04/23 13:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2008/04/23 13:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2008/04/23 13:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2008/04/23 13:00:00 | 000,004,463 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2008/04/23 13:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2008/04/23 13:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
 
========== LOP Check ==========
 
[2011/11/07 01:07:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Six\Anwendungsdaten\Acronis
[2011/11/09 14:05:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Six\Anwendungsdaten\BEFEBC2B-6A64-428F-933B-2B0F81325076
[2011/10/04 23:36:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Six\Anwendungsdaten\Buhl Data Service
[2011/10/04 23:37:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Six\Anwendungsdaten\Buhl Data Service GmbH
[2011/12/31 12:49:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Six\Anwendungsdaten\calibre
[2011/09/18 14:08:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Six\Anwendungsdaten\DAEMON Tools Lite
[2011/09/08 01:35:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Six\Anwendungsdaten\facemoods.com
[2011/10/05 23:29:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Six\Anwendungsdaten\foobar2000
[2012/03/02 23:58:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Six\Anwendungsdaten\gema
[2012/01/09 14:00:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Six\Anwendungsdaten\ICAClient
[2012/01/01 04:11:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Six\Anwendungsdaten\Mobipocket
[2012/01/08 07:24:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Six\Anwendungsdaten\Motorola
[2012/01/08 07:31:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Six\Anwendungsdaten\MyPhoneExplorer
[2011/10/15 05:13:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Six\Anwendungsdaten\Subsembly
[2011/12/14 15:29:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Six\Anwendungsdaten\Xilisoft
[2012/01/06 10:25:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Acronis
[2011/10/04 23:36:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH
[2012/01/15 01:59:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Citrix
[2011/09/18 14:06:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite
[2012/03/02 23:58:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema
[2011/12/28 00:27:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\kinoma
[2011/12/28 02:48:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\regid.1986-12.com.adobe
[2012/01/06 10:32:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
 
========== Purity Check ==========
 
 
< End of report >
         
Hoffe ihr könnt mir helfen und mich anleiten, wie ich den Trojaner wieder von meinem system entferne

Danke
6cylinders

Alt 03.03.2012, 10:39   #2
markusg
/// Malware-holic
 
Gema Trojaner - Standard

Gema Trojaner



auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:
Code:
ATTFilter
:OTL
O4 - HKLM..\Run: [gema] C:\WINDOWS\system32\gema.exe (Paragon Software Group)
O4 - HKLM..\Run: [gema.] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe (Paragon Software Group)
O4 - HKU\Six_ON_C..\Run: [gema] C:\Dokumente und Einstellungen\Six\Anwendungsdaten\gema\gema.exe (Paragon Software Group)
O20 - HKLM Winlogon: UserInit - (C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe) - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe
(Paragon Software Group)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\gema.exe) - C:\WINDOWS\system32\gema.exe (Paragon Software Group)
O20 - HKU\Six_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\Six\Anwendungsdaten\gema\gema.exe) - C:\Dokumente und Einstellungen\Six\Anwendungsdaten\gema\gema.exe
(Paragon Software Group)
:Files
C:\WINDOWS\system32\gema.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         
dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.


falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!




Drücke bitte die + E Taste.
  • Öffne dein Systemlaufwerk ( meistens C: )
  • Suche nun
    folgenden Ordner: _OTL und öffne diesen.
  • Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner

  • Dies wird eine Movedfiles.zip Datei in _OTL erstellen
  • Lade diese bitte in unseren Uploadchannel
    hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )
Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus
__________________

__________________

Alt 04.03.2012, 15:31   #3
6cylinders
 
Gema Trojaner - Icon26

Gema Trojaner



upload hat funktioniert
__________________

Alt 04.03.2012, 16:46   #4
markusg
/// Malware-holic
 
Gema Trojaner - Standard

Gema Trojaner



danke dir
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
  • Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
    Tool

    Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Hinweis:
    Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  • Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 04.03.2012, 18:59   #5
6cylinders
 
Gema Trojaner - Standard

Gema Trojaner



hier das Logfile von ComboFix:

Code:
ATTFilter
ComboFix 12-03-04.01 - Six 04.03.2012  19:31:09.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1977.1377 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Six\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Six\Anwendungsdaten\facemoods.com
c:\dokumente und einstellungen\Six\Anwendungsdaten\gema
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-02-04 bis 2012-03-04  ))))))))))))))))))))))))))))))
.
.
2012-03-04 13:05 . 2011-07-13 02:55	2237440	----a-r-	C:\OTLPE.exe
2012-03-04 13:04 . 2012-03-04 15:28	--------	d-----w-	C:\_OTL
2012-02-16 20:01 . 2012-02-16 20:03	--------	d-----w-	C:\Transfer
2012-02-16 11:05 . 2012-01-11 19:06	3072	-c----w-	c:\windows\system32\dllcache\iacenc.dll
2012-02-16 11:05 . 2012-01-11 19:06	3072	------w-	c:\windows\system32\iacenc.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-01-12 17:20 . 2008-04-23 18:00	1860096	----a-w-	c:\windows\system32\win32k.sys
2012-01-06 14:53 . 2012-01-06 14:53	167968	----a-w-	c:\windows\system32\drivers\afcdp.sys
2012-01-06 14:53 . 2011-11-07 06:04	752128	----a-w-	c:\windows\system32\drivers\tdrpm273.sys
2012-01-06 14:53 . 2011-11-07 06:04	600928	----a-w-	c:\windows\system32\drivers\timntr.sys
2012-01-06 14:53 . 2012-01-06 14:53	170528	----a-w-	c:\windows\system32\drivers\snapman.sys
2011-12-17 19:43 . 2008-04-23 18:00	916992	----a-w-	c:\windows\system32\wininet.dll
2011-12-17 19:43 . 2008-04-23 18:00	43520	------w-	c:\windows\system32\licmgr10.dll
2011-12-17 19:43 . 2008-04-23 18:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2011-12-16 12:22 . 2008-04-23 18:00	385024	------w-	c:\windows\system32\html.iec
2011-04-25 00:58 . 2011-04-25 00:58	124864	----a-w-	c:\programme\mozilla firefox\plugins\CCMSDK.dll
2011-04-25 01:48 . 2011-04-25 01:48	13760	----a-w-	c:\programme\mozilla firefox\plugins\cgpcfg.dll
2011-04-25 01:00 . 2011-04-25 01:00	71104	----a-w-	c:\programme\mozilla firefox\plugins\CgpCore.dll
2011-04-25 00:59 . 2011-04-25 00:59	92096	----a-w-	c:\programme\mozilla firefox\plugins\confmgr.dll
2011-04-25 00:58 . 2011-04-25 00:58	22976	----a-w-	c:\programme\mozilla firefox\plugins\ctxlogging.dll
2011-04-25 00:57 . 2011-04-25 00:57	255936	----a-w-	c:\programme\mozilla firefox\plugins\ctxmui.dll
2011-04-25 00:58 . 2011-04-25 00:58	32192	----a-w-	c:\programme\mozilla firefox\plugins\icafile.dll
2011-04-25 00:58 . 2011-04-25 00:58	40896	----a-w-	c:\programme\mozilla firefox\plugins\icalogon.dll
2011-04-25 00:51 . 2011-04-25 00:51	898480	----a-w-	c:\programme\mozilla firefox\plugins\sslsdk_b.dll
2011-04-25 01:00 . 2011-04-25 01:00	24512	----a-w-	c:\programme\mozilla firefox\plugins\TcpPServ.dll
2012-02-18 01:15 . 2011-07-30 14:46	134104	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C3793308-160C-4b29-B44E-A09EE159DC83}]
2011-07-20 01:15	501120	----a-w-	c:\programme\Citrix\MetaFrame Password Manager\Helper\IE\bho.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\DTLite.exe" [2011-08-02 4910912]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-05-08 141336]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-05-08 173592]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-05-08 142872]
"AzMixerSel"="c:\programme\Realtek\Audio\InstallShield\AzMixerSel.exe" [2006-07-17 53248]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-04-21 281768]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-06-09 254696]
"BCSSync"="c:\programme\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2011-07-28 1259376]
"Adobe Acrobat Speed Launcher"="d:\programme\Adobe\Acrobat 10.0\Acrobat\Acrobat_sl.exe" [2012-01-03 36760]
"Acrobat Assistant 8.0"="d:\programme\Adobe\Acrobat 10.0\Acrobat\Acrotray.exe" [2012-01-03 815512]
"Bonus.SSR.FR10"="d:\programme\ABBYY FineReader 10\Bonus.ScreenshotReader.exe" [2009-12-24 941320]
"SAOB Monitor"="c:\programme\Acronis\TrueImageHome\OnlineBackupStandalone\TrueImageMonitor.exe" [2011-09-22 2571032]
"TrueImageMonitor.exe"="c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2011-09-22 5587832]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2011-09-22 395344]
"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2011-11-01 59240]
"iTunesHelper"="d:\programme\iTunes\iTunesHelper.exe" [2011-12-08 421736]
"ConnectionCenter"="c:\programme\Citrix\ICA Client\concentr.exe" [2011-04-25 305088]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-23 15360]
"BrowserChoice"="c:\windows\system32\browserchoice.exe" [2010-02-12 293376]
.
c:\dokumente und einstellungen\Six\Startmenü\Programme\Autostart\
Hardcopy.LNK - d:\programme\Hardcopy\hardcopy.exe [2011-12-12 3512832]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Citrix Single Sign-On Background Process.lnk - c:\programme\Citrix\MetaFrame Password Manager\ssoshell.exe [2011-7-20 3955584]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLinkedConnections"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\Microsoft Office\\Office14\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office14\\ONENOTE.EXE"=
"c:\\Programme\\Microsoft Office\\Office14\\OUTLOOK.EXE"=
"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"d:\\Programme\\iTunes\\iTunes.exe"=
.
R0 sptd;sptd;\SystemRoot\\SystemRoot\System32\Drivers\sptd.sys --> \SystemRoot\\SystemRoot\System32\Drivers\sptd.sys [?]
R0 tdrpman273;Acronis Try&Decide and Restore Points filter (build 273);c:\windows\system32\drivers\tdrpm273.sys [07.11.2011 07:04 752128]
R1 ctxusbm;Citrix USB Monitor Driver;c:\windows\system32\drivers\ctxusbm.sys [25.04.2011 01:49 65584]
R1 Ext2Fsd;Linux ext2 file system driver;c:\windows\system32\drivers\ext2fsd.sys [20.09.2011 18:22 686360]
R2 ABBYY.Licensing.FineReader.Professional.10.0;ABBYY FineReader 10 PE Licensing Service;c:\programme\Gemeinsame Dateien\ABBYY\FineReader\10.00\Licensing\PE\NetworkLicenseServer.exe [22.12.2009 01:08 814344]
R2 afcdpsrv;Acronis Nonstop Backup-Dienst;c:\programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe [06.01.2012 15:53 3246040]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\programme\Avira\AntiVir Desktop\sched.exe [30.07.2011 16:50 136360]
R2 Citrix_Password_Manager_Sagent;Citrix Single Sign-On Sagent;c:\programme\Citrix\MetaFrame Password Manager\Sagent.exe [20.07.2011 00:07 95104]
R2 MotoHelper;MotoHelper Service;c:\programme\Motorola\MotoHelper\MotoHelperService.exe [06.12.2011 22:00 214896]
R3 afcdp;afcdp;c:\windows\system32\drivers\afcdp.sys [06.01.2012 15:53 167968]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 12:16 130384]
S2 gupdate;Google Update-Dienst (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [24.09.2011 07:06 136176]
S3 BTCFilterService;USB Networking Driver Filter Service;c:\windows\system32\drivers\motfilt.sys [08.01.2012 13:23 6016]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [24.09.2011 07:06 136176]
S3 MBAMSwissArmy;MBAMSwissArmy;\??\c:\windows\system32\drivers\mbamswissarmy.sys --> c:\windows\system32\drivers\mbamswissarmy.sys [?]
S3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\programme\Microsoft Office\Office14\GROOVE.EXE [12.06.2011 11:15 31125880]
S3 motandroidusb;Mot ADB Interface Driver;c:\windows\system32\drivers\motoandroid.sys [08.01.2012 13:23 25856]
S3 motccgp;Motorola USB Composite Device Driver;c:\windows\system32\drivers\motccgp.sys [08.01.2012 13:23 20480]
S3 motccgpfl;MotCcgpFlService;c:\windows\system32\drivers\motccgpfl.sys [08.01.2012 13:23 8320]
S3 Motousbnet;Motorola USB Networking Driver Service;c:\windows\system32\drivers\Motousbnet.sys [08.01.2012 13:23 23424]
S3 osppsvc;Office Software Protection Platform;c:\programme\Gemeinsame Dateien\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [09.01.2010 21:37 4640000]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 12:16 753504]
.
Inhalt des "geplante Tasks" Ordners
.
2012-03-04 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-09-24 06:06]
.
2012-03-04 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-09-24 06:06]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local;192.168.*.*
IE: An OneNote s&enden - c:\progra~1\MICROS~3\Office14\ONBttnIE.dll/105
IE: An vorhandene PDF-Datei anfügen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~3\Office14\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Six\Anwendungsdaten\Mozilla\Firefox\Profiles\hjy334h7.default\
FF - prefs.js: browser.startup.homepage - www.google.de
.
.
------- Dateityp-Verknüpfung -------
.
.txt=SigilTXT
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-gema - c:\dokumente und einstellungen\Six\Anwendungsdaten\gema\gema.exe
HKLM-Run-gema - c:\windows\system32\gema.exe
HKLM-Run-gema. - c:\dokumente und einstellungen\All Users\Anwendungsdaten\gema\gema.exe
AddRemove-foobar2000 - d:\programme\foobar2000\uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-03-04 19:38
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(784)
c:\windows\system32\igfxdev.dll
.
- - - - - - - > 'explorer.exe'(2836)
d:\programme\Hardcopy\HcDLL2_31_Win32.dll
c:\progra~1\GEMEIN~1\MICROS~1\OFFICE14\Cultures\office.odf
c:\progra~1\MICROS~3\Office14\1031\GrooveIntlResource.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
.
Zeit der Fertigstellung: 2012-03-04  19:45:37
ComboFix-quarantined-files.txt  2012-03-04 18:45
.
Vor Suchlauf: 9.439.014.912 Bytes frei
Nach Suchlauf: 9.475.731.456 Bytes frei
.
- - End Of File - - 663872CEEA0EC36E42F5558E137869E8
         


Alt 04.03.2012, 19:53   #6
markusg
/// Malware-holic
 
Gema Trojaner - Standard

Gema Trojaner



malwarebytes:
Downloade Dir bitte Malwarebytes
  • Installiere
    das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche
    nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet
    ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste
    das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.
__________________
--> Gema Trojaner

Alt 06.03.2012, 05:29   #7
6cylinders
 
Gema Trojaner - Standard

Gema Trojaner



Guten Morgen,

hab mehrmals vergeblich versucht, mein System komplett zu scannen. Dann hab ich Malwarebytes nochmal komplett deinstalliert und neu installiert und meine beiden Partitionen separat nochmal gescannt. Deshalb hier 2 Logfiles:


Partition C:
Code:
ATTFilter
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.05.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Six :: EXTENSA [Administrator]

05.03.2012 23:48:24
mbam-log-2012-03-05 (23-48-24).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM | P2P
Deaktivierte Suchlaufeinstellungen: 
Durchsuchte Objekte: 228487
Laufzeit: 16 Minute(n), 53 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         
Partition D:
Code:
ATTFilter
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.05.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Six :: EXTENSA [Administrator]

06.03.2012 05:59:26
mbam-log-2012-03-06 (05-59-26).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM | P2P
Deaktivierte Suchlaufeinstellungen: 
Durchsuchte Objekte: 208809
Laufzeit: 4 Minute(n), 20 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
D:\downloads\Software\Adobe.Acrobat.X.Pro.v10.1.1.Multi-CORE\CORE\CORE10k.EXE (Dont.Steal.Our.Software) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Ist mein System jetzt Viren- und Trojanerfrei? Was soll ich noch machen?

VG Six

Alt 06.03.2012, 10:35   #8
markusg
/// Malware-holic
 
Gema Trojaner - Standard

Gema Trojaner



D:\downloads\Software\Adobe.Acrobat.X.Pro.v10.1.1.Multi-CORE\CORE\CORE10k.EXE (Dont.Steal.Our.Software) -> Erfolgreich gelöscht und in Quarantäne gestellt.

die verwendung von keygens ist illegal, dies unterstützen wir nicht, deswegen gibts hier nur hilfe beim formatieren, neu aufsetzen und pc absichern.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 06.03.2012, 13:15   #9
6cylinders
 
Gema Trojaner - Standard

Gema Trojaner



OK, kann ich verstehen und nachvollziehen

Aber ganz abgesehen von der gelöschten Datei - muss ich jetzt noch was machen, oder ist mein System jetzt wieder sauber?

Vielen Dank nochmal für deine schnelle und kompetente Hilfe, Marcus

VG
Six Cylinders

Alt 06.03.2012, 15:12   #10
markusg
/// Malware-holic
 
Gema Trojaner - Standard

Gema Trojaner



worüber ich noch infos rausgebe habe ich ja bereits gesagt, formatieren, neu instalieren und pc absichern.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu Gema Trojaner
.dll, 0x00000001, administrator, antivir, avira, bho, bonjour, browser, desktop, document, einstellungen, explorer, firefox, fontcache, format, gema.exe, google earth, homepage, infizierte, logfile, monitor, object, realtek, registry, secure, senden, trojane, trojaner, version=1.0, windows, windows xp, winlogon



Ähnliche Themen: Gema Trojaner


  1. Gema-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (30)
  2. GEMA-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 18.06.2012 (5)
  3. gema Trojaner
    Log-Analyse und Auswertung - 13.06.2012 (1)
  4. Gema Trojaner
    Plagegeister aller Art und deren Bekämpfung - 11.06.2012 (1)
  5. GEMA-Trojaner..
    Plagegeister aller Art und deren Bekämpfung - 06.05.2012 (43)
  6. Gema trojaner
    Plagegeister aller Art und deren Bekämpfung - 27.04.2012 (4)
  7. BKA Trojaner und GEMA Trojaner haben mein System infiziert!
    Log-Analyse und Auswertung - 23.03.2012 (4)
  8. Gema-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 22.03.2012 (13)
  9. Gema Trojaner
    Log-Analyse und Auswertung - 20.03.2012 (3)
  10. Gema Trojaner
    Mülltonne - 20.03.2012 (2)
  11. GEMA-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 15.03.2012 (8)
  12. Gema.exe Trojaner
    Log-Analyse und Auswertung - 09.03.2012 (22)
  13. GEMA Trojaner aus Link in E-Mail erworben;Bildschirm zeigt "PC ist gesperrt" an "lt.Gema"
    Plagegeister aller Art und deren Bekämpfung - 27.02.2012 (7)
  14. Gema Trojaner
    Plagegeister aller Art und deren Bekämpfung - 24.02.2012 (20)
  15. Gema-Trojaner bzw. Gema Meldung mit blockiertem Rechner
    Log-Analyse und Auswertung - 09.01.2012 (13)
  16. Gema-Trojaner bzw. Gema Meldung mit blockiertem Rechner
    Plagegeister aller Art und deren Bekämpfung - 04.12.2011 (9)
  17. Gema Trojaner
    Plagegeister aller Art und deren Bekämpfung - 07.11.2011 (4)

Zum Thema Gema Trojaner - Hallo, habe mir heute morgen auf iload.to anscheinend den Gema Trojaner eingefangen. Ich kann nichtmal mehr im abgesicherten Modus am Rechner arbeiten. Hab jetzt mit meinem 2. Rechner eine OTL - Gema Trojaner...
Archiv
Du betrachtest: Gema Trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.