GEMA - Trojaner ...shell.text bereits erstellt

Tamrin

Hallo zusammen.
Ich hab mir heute irgendwie diesen GEMA-Trojaner eingefangen und schonmal die ersten wichtigen Schritte, wie hier beschrieben (EDIT: ich kann wohl keine Links erstellen, darum hier das Thema das ich eigentlich verlinken wolte: http://www.trojaner-board.de/105536-...-laufwerk.html ), befolgt.

Noch zur Info: Ich habe ein Acer-Netbook und nach der erstellung der shell.txt kann ich wieder auf mein Benutzerkonto zugreifen. Allerdings ist der Desctop schwarz und ich sehe keine Icons.

hier nun die shell.txt

WIN_7 X86 Service Pack 1
Running from F:\

Modified HKLM shell extension. Current Shell File = C:\Users\Tamrin\AppData\Roaming\5suxrt589cxuftg.exe
.
.
File C:\Users\Tamrin\AppData\Roaming\5suxrt589cxuftg.exe moved to F:\\infected or not found
HKCU\..\Winlogon; Shell not found
.


[System Process]
System
smss.exe
csrss.exe
csrss.exe
wininit.exe
winlogon.exe
services.exe
lsass.exe
lsm.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
cmd.exe
conhost.exe
ctfmon.exe
srep.exe


HKLM\..\Run [IAAnotif] = C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
HKLM\..\Run [LManager] = C:\Program Files\Launch Manager\LManager.exe
HKLM\..\Run [SynTPEnh] = %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
HKLM\..\Run [IgfxTray] = C:\Windows\system32\igfxtray.exe
HKLM\..\Run [HotKeysCmds] = C:\Windows\system32\hkcmd.exe
HKLM\..\Run [Persistence] = C:\Windows\system32\igfxpers.exe
HKLM\..\Run [avgnt] = "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
HKLM\..\Run [Adobe Reader Speed Launcher] = "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
HKLM\..\Run [IjmrHbDDJ3PyrXc] = C:\Users\Tamrin\AppData\Roaming\5suxrt589cxuftg.exe

HKCU\..\Run [IjmrHbDDJ3PyrXc] = C:\Users\Tamrin\AppData\Roaming\5suxrt589cxuftg.exe

HKU\.DEFAULT\..\Winlogon; Shell = C:\Windows\system32\config\systemprofile\AppData\Roaming\5suxrt589cxuftg.exe
HKU\S-1-5-19\..\Winlogon; Shell =
HKU\S-1-5-20\..\Winlogon; Shell =
HKU\S-1-5-21-255489488-3253161425-1575784739-1000\..\Winlogon; Shell = C:\Users\Tamrin\AppData\Roaming\5suxrt589cxuftg.exe
HKU\S-1-5-21-255489488-3253161425-1575784739-1000_Classes\..\Winlogon; Shell =
HKU\S-1-5-18\..\Winlogon; Shell = C:\Windows\system32\config\systemprofile\AppData\Roaming\5suxrt589cxuftg.exe

HKU\.DEFAULT\..\Run [IjmrHbDDJ3PyrXc] = C:\Windows\system32\config\systemprofile\AppData\Roaming\5suxrt589cxuftg.exe
HKU\S-1-5-19\..\Run [Sidebar] = %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-20\..\Run [Sidebar] = %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-21-255489488-3253161425-1575784739-1000\..\Run [IjmrHbDDJ3PyrXc] = C:\Users\Tamrin\AppData\Roaming\5suxrt589cxuftg.exe
HKU\S-1-5-18\..\Run [IjmrHbDDJ3PyrXc] = C:\Windows\system32\config\systemprofile\AppData\Roaming\5suxrt589cxuftg.exe

==== FINISH 26.12-20.21 ====


Ich weiß nicht ob das weiter Hilft, aber ich habe über den Facebook-chat nen link zu "chinamartusa.com" bekommen. Der führte nicht wirklich zu einer Internet-Seite, sondern Google-Chrome hat versucht eine Dateirunter zu laden, was ich aber untersagt habe.
Danach hatte ich schon die ersten Probleme mit Viren. AntiVir meldete sich aufgrund einer Maleware und 2 Viren. Nach einem kompletten Scan mit Antivir und einem Antimalewareprogramm (dass sogar 11 Funde vorweisen konnte) schien erstmal alles sauber.
Später bekam ich jedoch wieder Nachricht von AntiVir über Maleware und 2 Viren (nach AntiVir-Protokoll waren es wohl die selben wie zuvor) UND AntiVir blockte aus Sicherheitsgründen die Host-Datei.
Ich war erstmal ratlos weil ich dachte mein PC wäre sauber, aber bevor ich groß wieder suchen konnte hatte ich dieses Gema-Trojanerproblem.

Könnte das im Zusammenhang stehen? Zwischen den einzelnen Vorkommen vergehen nämlich über 24 Stunden.

Vielen Dank schonmal im Vorraus für die Hilfe.

mfg