Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
50-Euro-Gema-Dings auf XP-Notebook

50-Euro-Gema-Dings auf XP-Notebook


Log-Analyse und Auswertung: 50-Euro-Gema-Dings auf XP-Notebook

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 07.02.2012, 18:23   #1
The_Paw
 
50-Euro-Gema-Dings auf XP-Notebook - Standard

50-Euro-Gema-Dings auf XP-Notebook


Hallo,

auf dem Rechner eines Bekannten (XP) erscheint sofort nach dem Booten eine nervige Meldung, die Zahlung von 50 Euro an die Gema via PaySafe auffordert.
Der Taskmanager blinkt beim Aufruf nur kurz auf, im abgesicherten Modus das gleiche.

Mit der OTLPE-CD kann ich die Maschine starten und habe dieses LogFile erstellt:

Code:
ATTFilter
OTL logfile created on: 2/7/2012 6:14:48 PM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
510.00 Mb Total Physical Memory | 319.00 Mb Available Physical Memory | 63.00% Memory free
462.00 Mb Paging File | 337.00 Mb Available in Paging File | 73.00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 17.11 Gb Total Space | 7.23 Gb Free Space | 42.24% Space Free | Partition Type: FAT32
Drive D: | 17.20 Gb Total Space | 16.48 Gb Free Space | 95.84% Space Free | Partition Type: FAT32
Drive E: | 3.84 Gb Total Space | 1.59 Gb Free Space | 41.32% Space Free | Partition Type: FAT32
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet002
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Disabled] --  -- (HidServ)
SRV - File not found [On_Demand] --  -- (AppMgmt)
SRV - [2009/07/21 14:34:30 | 000,185,089 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2009/05/13 16:48:20 | 000,108,289 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2008/08/03 11:57:32 | 000,611,664 | ---- | M] (Lavasoft) [Auto] -- C:\Programme\Lavasoft\Ad-Aware\aawservice.exe -- (aawservice)
SRV - [2004/07/05 17:51:04 | 001,286,144 | ---- | M] (OSA Technologies Inc.) [Auto] -- C:\Acer\eManager\anbmServ.exe -- (anbmService)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | System] --  -- (i2omgmt)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - [2009/12/08 07:51:44 | 000,056,816 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009/05/11 10:12:22 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009/03/30 10:33:04 | 000,096,104 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2009/02/13 12:35:02 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008/04/14 00:16:24 | 000,015,232 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\mpe.sys -- (MPE)
DRV - [2008/04/14 00:06:34 | 000,016,000 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\smbbatt.sys -- (SMBBATT)
DRV - [2007/08/15 02:00:00 | 000,567,936 | ---- | M] (AVM Berlin) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\fxusbase.sys -- (fxusbase)
DRV - [2007/08/15 02:00:00 | 000,053,632 | ---- | M] (AVM GmbH) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\avmcowan.sys -- (AVMCOWAN)
DRV - [2007/07/25 17:44:28 | 002,210,048 | ---- | M] (Intel® Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\w29n51.sys -- (w29n51) Intel(R)
DRV - [2004/10/27 11:18:52 | 000,527,360 | R--- | M] (Animation Technologies Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\LVHybrid.sys -- (LVHybrid)
DRV - [2004/05/31 18:46:38 | 000,004,054 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\osanbm.sys -- (osanbm)
DRV - [2004/05/26 10:07:30 | 000,067,584 | ---- | M] (Texas Instruments) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\tifm21.sys -- (tifm21)
DRV - [2004/05/15 22:41:40 | 000,745,984 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2004/04/30 05:10:06 | 000,274,688 | ---- | M] (Conexant Systems Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\camchal.sys -- (CAMCHALA)
DRV - [2004/04/30 05:09:20 | 000,292,352 | ---- | M] (Conexant Systems Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\camcaud.sys -- (CAMCAUD)
DRV - [2004/03/11 02:40:28 | 000,199,552 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\HSFHWICH.sys -- (HSFHWICH)
DRV - [2004/03/11 02:37:26 | 000,682,624 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys -- (winachsf)
DRV - [2004/03/11 02:35:48 | 001,041,536 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\HSF_DP.sys -- (HSF_DP)
DRV - [2004/03/08 18:43:10 | 001,657,344 | ---- | M] (Intel® Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\w22n51.sys -- (w22n51) Intel(R)
DRV - [2003/09/27 01:41:12 | 000,044,032 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\bcm4sbxp.sys -- (bcm4sbxp)
DRV - [2003/05/23 01:47:12 | 000,175,360 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k)
DRV - [2001/08/17 13:57:56 | 000,006,784 | ---- | M] (Microsoft Corporation) [Kernel | System] -- C:\WINDOWS\system32\drivers\smbhc.sys -- (SMBHC)
DRV - [2001/08/17 13:53:32 | 000,003,328 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\qv2kux.sys -- (QV2KUX)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Administrator_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://global.acer.com
IE - HKU\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\JUTTA_KARSTEN_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKU\JUTTA_KARSTEN_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\LocalService_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\NetworkService_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
 
 
O1 HOSTS File: ([2003/04/02 12:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [DTVRemote] C:\Programme\LifeView DTV\RemoteControl.exe ()
O4 - HKLM..\Run: [InetAccelerator] C:\WINDOWS\system32\InetAccelerator.exe (MacroSoft)
O4 - HKLM..\Run: [InetAccelerator.] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InetAccelerator\InetAccelerator.exe (MacroSoft)
O4 - HKLM..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe (Synaptics, Inc.)
O4 - HKU\Administrator_ON_C..\Run: [InetAccelerator] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InetAccelerator\InetAccelerator.exe (MacroSoft)
O4 - HKU\JUTTA_KARSTEN_ON_C..\Run: [InetAccelerator] C:\Dokumente und Einstellungen\JUTTA KARSTEN\Anwendungsdaten\InetAccelerator\InetAccelerator.exe (MacroSoft)
O4 - Startup: C:\Dokumente und Einstellungen\JUTTA KARSTEN\Startmenü\Programme\Autostart\exe.exe.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\JUTTA_KARSTEN_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\JUTTA_KARSTEN_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1217757982761 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-0015-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_22-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InetAccelerator\InetAccelerator.exe) - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InetAccelerator\InetAccelerator.exe (MacroSoft)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\InetAccelerator.exe) - C:\WINDOWS\system32\InetAccelerator.exe (MacroSoft)
O20 - HKU\Administrator_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InetAccelerator\InetAccelerator.exe) - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InetAccelerator\InetAccelerator.exe (MacroSoft)
O20 - HKU\Administrator_ON_C Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKU\JUTTA_KARSTEN_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\JUTTA KARSTEN\Anwendungsdaten\InetAccelerator\InetAccelerator.exe) - C:\Dokumente und Einstellungen\JUTTA KARSTEN\Anwendungsdaten\InetAccelerator\InetAccelerator.exe (MacroSoft)
O20 - HKU\JUTTA_KARSTEN_ON_C Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Acer.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Acer.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2004/07/06 14:51:54 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ FAT32 ]
O32 - AutoRun File - [2006/03/24 06:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O34 - HKLM BootExecute: (lsdelete) - C:\WINDOWS\System32\lsdelete.exe ()
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012/02/07 18:02:07 | 000,000,000 | ---D | C] -- C:\Program Files
[2012/02/06 18:15:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InetAccelerator
[2012/02/06 18:15:09 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Administrator\IETldCache
[2012/02/06 18:14:50 | 013,095,560 | R--- | C] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\Administrator\MpSetup.exe
[2012/02/06 18:14:50 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft
[2012/02/06 18:14:50 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\SendTo
[2012/02/06 18:14:50 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\Recent
[2012/02/06 18:14:50 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
[2012/02/06 18:14:50 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Zubehör
[2012/02/06 18:14:50 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Startmenü
[2012/02/06 18:14:50 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Favoriten
[2012/02/06 18:14:50 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Eigene Musik
[2012/02/06 18:14:50 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
[2012/02/06 18:14:50 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Eigene Bilder
[2012/02/06 18:14:50 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart
[2012/02/06 18:14:50 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Administrator\Cookies
[2012/02/06 18:14:50 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Vorlagen
[2012/02/06 18:14:50 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
[2012/02/06 18:14:50 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
[2012/02/06 18:14:50 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
[2012/02/06 18:14:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2012/02/06 18:14:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Identities
[2012/02/06 18:14:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop
[2012/02/06 16:05:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\JUTTA KARSTEN\Anwendungsdaten\InetAccelerator
[2012/02/06 16:05:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InetAccelerator
[2012/02/06 16:05:04 | 000,349,184 | ---- | C] (MacroSoft) -- C:\WINDOWS\System32\InetAccelerator.exe
[2012/01/22 23:30:39 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{A5262CA1-0211-4E98-A743-839C88F6BB8B}
[2012/01/22 23:29:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WEKA Software
[2012/01/22 23:29:46 | 000,000,000 | ---D | C] -- C:\Programme\WEKA
[2012/01/22 23:29:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WEKA
[2012/01/22 23:28:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\JUTTA KARSTEN\Lokale Einstellungen\Anwendungsdaten\PackageAware
[2004/11/08 00:34:02 | 013,095,560 | R--- | C] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\JUTTA KARSTEN\MpSetup.exe
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012/02/06 20:26:32 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012/02/06 20:23:40 | 535,285,760 | -HS- | M] () -- C:\hiberfil.sys
[2012/02/06 18:19:32 | 000,001,407 | ---- | M] () -- C:\Dokumente und Einstellungen\JUTTA KARSTEN\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Windows-Explorer.lnk
[2012/02/06 16:04:58 | 000,349,184 | ---- | M] (MacroSoft) -- C:\WINDOWS\System32\InetAccelerator.exe
[2012/02/05 21:04:02 | 000,001,190 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1065543706-951796526-1614765859-1005Core1cce11bf9da7997.job
[2012/02/05 05:35:56 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012/01/24 23:06:10 | 000,002,316 | ---- | M] () -- C:\Dokumente und Einstellungen\JUTTA KARSTEN\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
[2012/01/24 23:06:08 | 000,002,338 | ---- | M] () -- C:\Dokumente und Einstellungen\JUTTA KARSTEN\Desktop\Google Chrome.lnk
[2012/01/22 23:29:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WEKA Software
[2012/01/10 21:28:04 | 000,002,347 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Reader X.lnk
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012/02/06 19:47:27 | 535,285,760 | -HS- | C] () -- C:\hiberfil.sys
[2012/02/06 18:14:52 | 000,000,692 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Windows Media Player.lnk
[2012/02/06 18:14:52 | 000,000,667 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Internet Explorer Browser starten.lnk
[2012/02/06 18:14:52 | 000,000,079 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Desktop anzeigen.scf
[2012/02/06 18:14:51 | 000,001,507 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Remoteunterstützung.lnk
[2012/02/06 18:14:51 | 000,000,655 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Internet Explorer.lnk
[2012/02/06 18:14:51 | 000,000,626 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Outlook Express.lnk
[2012/02/01 20:59:15 | 000,001,190 | ---- | C] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1065543706-951796526-1614765859-1005Core1cce11bf9da7997.job
[2011/12/26 14:16:42 | 000,015,428 | ---- | C] () -- C:\Dokumente und Einstellungen\JUTTA KARSTEN\RefEdit.exd
[2011/05/25 21:33:47 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010/12/12 20:51:26 | 000,377,856 | ---- | C] () -- C:\WINDOWS\System32\tx32.dll
[2010/12/12 20:51:26 | 000,000,179 | ---- | C] () -- C:\WINDOWS\System32\Ic32.ini
[2010/12/12 20:51:25 | 000,161,264 | ---- | C] () -- C:\WINDOWS\System32\Vista.dll
[2008/08/03 11:55:54 | 000,176,975 | ---- | C] () -- C:\Dokumente und Einstellungen\JUTTA KARSTEN\~
[2008/08/01 17:49:03 | 000,000,432 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2008/08/01 17:49:03 | 000,000,034 | ---- | C] () -- C:\WINDOWS\System32\BD7420.DAT
[2008/05/16 11:58:04 | 000,012,632 | ---- | C] () -- C:\WINDOWS\System32\lsdelete.exe
[2008/03/07 09:12:27 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2008/03/03 23:32:01 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\JUTTA KARSTEN\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2006/12/31 07:57:08 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2006/02/12 15:59:36 | 000,175,104 | ---- | C] () -- C:\WINDOWS\System32\H5MENU32.DLL
[2006/02/12 15:59:36 | 000,083,456 | ---- | C] () -- C:\WINDOWS\System32\H5RTF32.DLL
[2006/02/12 15:59:36 | 000,050,688 | ---- | C] () -- C:\WINDOWS\System32\H5TOOL32.DLL
[2006/02/12 15:59:35 | 001,029,120 | ---- | C] () -- C:\WINDOWS\System32\H5KRNL32.DLL
[2006/02/12 15:59:35 | 000,188,928 | ---- | C] () -- C:\WINDOWS\System32\H5ICON32.DLL
[2006/02/12 15:59:35 | 000,114,176 | ---- | C] () -- C:\WINDOWS\System32\H5DLG32.DLL
[2005/05/31 23:18:46 | 000,000,148 | ---- | C] () -- C:\WINDOWS\bau_vor4.ini
[2005/05/31 20:46:44 | 000,011,776 | ---- | C] () -- C:\Dokumente und Einstellungen\JUTTA KARSTEN\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2005/02/15 14:45:58 | 000,000,333 | ---- | C] () -- C:\WINDOWS\WINGIS32.INI
[2005/02/15 14:45:58 | 000,000,068 | ---- | C] () -- C:\WINDOWS\GISBAUIN.INI
[2005/02/03 09:00:03 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2005/02/02 18:52:06 | 000,003,072 | R--- | C] () -- C:\WINDOWS\System32\34CoInstaller.dll
[2004/11/09 18:54:59 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2004/07/06 15:27:58 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2004/07/06 15:20:57 | 000,056,320 | ---- | C] () -- C:\WINDOWS\System32\iyvu9_32.dll
[2004/07/06 15:18:34 | 000,000,033 | ---- | C] () -- C:\WINDOWS\Acer.ini
[2004/07/06 15:18:33 | 000,000,329 | ---- | C] () -- C:\WINDOWS\uninstall.ini
[2004/07/06 15:18:33 | 000,000,232 | ---- | C] () -- C:\WINDOWS\FlashSaver.dat
[2004/07/06 15:18:02 | 000,001,024 | RH-- | C] () -- C:\WINDOWS\System32\ntiembed.dll
[2004/07/06 15:15:50 | 000,001,024 | RH-- | C] () -- C:\WINDOWS\System32\NTIMPEG2.dll
[2004/07/06 15:15:50 | 000,001,024 | RH-- | C] () -- C:\WINDOWS\System32\NTICDMK32.dll
[2004/07/06 15:00:40 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\SynTPCoI.dll
[2004/07/06 14:54:53 | 000,037,684 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2004/07/06 14:54:52 | 000,032,768 | ---- | C] () -- C:\WINDOWS\AMOVE.EXE
[2004/07/06 14:54:00 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2004/07/06 14:50:09 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2004/07/06 14:45:03 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2004/07/06 14:44:21 | 000,203,328 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2001/12/26 16:12:30 | 000,065,536 | R--- | C] () -- C:\WINDOWS\System32\multiplex_vcd.dll
[2001/09/03 23:46:38 | 000,110,592 | R--- | C] () -- C:\WINDOWS\System32\Hmpg12.dll
[2001/07/30 16:33:56 | 000,118,784 | R--- | C] () -- C:\WINDOWS\System32\HMPV2_ENC.dll
[2001/07/23 22:04:36 | 000,118,784 | R--- | C] () -- C:\WINDOWS\System32\HMPV2_ENC_MMX.dll
[1980/01/01 00:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[1980/01/01 00:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[1980/01/01 00:00:00 | 000,386,302 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[1980/01/01 00:00:00 | 000,376,832 | ---- | C] () -- C:\WINDOWS\System32\ati2evxx.exe
[1980/01/01 00:00:00 | 000,375,740 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[1980/01/01 00:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[1980/01/01 00:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[1980/01/01 00:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[1980/01/01 00:00:00 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\ati2evxx.dll
[1980/01/01 00:00:00 | 000,062,364 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[1980/01/01 00:00:00 | 000,051,538 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[1980/01/01 00:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[1980/01/01 00:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[1980/01/01 00:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[1980/01/01 00:00:00 | 000,004,524 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[1980/01/01 00:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[1980/01/01 00:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[1980/01/01 00:00:00 | 000,000,091 | ---- | C] () -- C:\WINDOWS\ALaunch.ini
 
========== LOP Check ==========
 
[2012/02/06 18:15:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InetAccelerator
[2008/03/03 23:28:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\JUTTA KARSTEN\Anwendungsdaten\T-Online
[2008/08/03 12:30:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\JUTTA KARSTEN\Anwendungsdaten\Eumex 400
[2012/02/06 16:05:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\JUTTA KARSTEN\Anwendungsdaten\InetAccelerator
[2008/03/03 23:28:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online
[2010/09/08 22:50:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SHI
[2012/01/22 23:29:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WEKA
[2012/01/22 23:30:40 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{A5262CA1-0211-4E98-A743-839C88F6BB8B}
[2012/02/06 16:05:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InetAccelerator
 
========== Purity Check ==========
 
 
< End of report >
Wie werde ich den Plagegeist wieder los?

Alt 07.02.2012, 18:41   #2
markusg
/// Malware-holic
 
50-Euro-Gema-Dings auf XP-Notebook - Standard

50-Euro-Gema-Dings auf XP-Notebook


auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:
Code:
ATTFilter
:OTL
O4 - Startup: C:\Dokumente und Einstellungen\JUTTA KARSTEN\Startmenü\Programme\Autostart\exe.exe.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
O4 - HKU\JUTTA_KARSTEN_ON_C..\Run: [InetAccelerator] C:\Dokumente und Einstellungen\JUTTA KARSTEN\Anwendungsdaten\InetAccelerator\InetAccelerator.exe (MacroSoft)
O4 - HKU\Administrator_ON_C..\Run: [InetAccelerator] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InetAccelerator\InetAccelerator.exe (MacroSoft)
O4 - HKLM..\Run: [InetAccelerator.] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InetAccelerator\InetAccelerator.exe (MacroSoft)
O4 - HKLM..\Run: [InetAccelerator] C:\WINDOWS\system32\InetAccelerator.exe (MacroSoft)
O7 - HKU\JUTTA_KARSTEN_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O20 - HKLM Winlogon: UserInit - (C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InetAccelerator\InetAccelerator.exe) - C:\Dokumente und Einstellungen\All
Users\Anwendungsdaten\InetAccelerator\InetAccelerator.exe (MacroSoft)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\InetAccelerator.exe) - C:\WINDOWS\system32\InetAccelerator.exe (MacroSoft)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\InetAccelerator.exe) - C:\WINDOWS\system32\InetAccelerator.exe (MacroSoft)
O20 - HKU\Administrator_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InetAccelerator\InetAccelerator.exe) - C:\Dokumente
und Einstellungen\Administrator\Anwendungsdaten\InetAccelerator\InetAccelerator.exe (MacroSoft)
O20 - HKU\JUTTA_KARSTEN_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\JUTTA KARSTEN\Anwendungsdaten\InetAccelerator\InetAccelerator.exe) - C:\Dokumente
und Einstellungen\JUTTA KARSTEN\Anwendungsdaten\InetAccelerator\InetAccelerator.exe (MacroSoft)
[2012/02/06 18:15:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InetAccelerator
[2012/02/06 16:05:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\JUTTA KARSTEN\Anwendungsdaten\InetAccelerator
[2012/02/06 16:05:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InetAccelerator
[2012/02/06 16:05:04 | 000,349,184 | ---- | C] (MacroSoft) -- C:\WINDOWS\System32\InetAccelerator.exe
:Files
C:\Dokumente und Einstellungen\JUTTA KARSTEN\Anwendungsdaten\InetAccelerator
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

Drücke bitte die + E Taste.
  • Öffne dein Systemlaufwerk ( meistens C: )
  • Suche nun
    folgenden Ordner: _OTL und öffne diesen.
  • Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner

  • Dies wird eine Movedfiles.zip Datei in _OTL erstellen
  • Lade diese bitte in unseren Uploadchannel
    hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )
Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus
__________________

__________________
Alt 08.02.2012, 13:10   #3
The_Paw
 
50-Euro-Gema-Dings auf XP-Notebook - Standard

50-Euro-Gema-Dings auf XP-Notebook


Ich habe den inifzierten Rechner von CD gestartet, OTLPE gestartet und über 'Run Fix' die fix.txt vom USB-Stick ausgewählt. Der Text der txt-Datei erscheint unten im Feld 'Custom Scans / Fixes'.
Dann scheint das OTLPE-Fenster abzustürzen, jedenfalls reagiert es auf nicht auf die Schaltflächen (z. B. 'Run Fix'). Schließen kann ich das Fenster, aber ich habe nicht das Gefühl, dass der Fix angewendet wurde und beim Start des Systems erscheint nach wie vor die Gema-Meldung. Auch wenn ich die fix.txt auf einen lokalen Pfad kopiere (C:Temp/), klappt es nicht.
__________________
__________________
Alt 08.02.2012, 13:28   #4
markusg
/// Malware-holic
 
50-Euro-Gema-Dings auf XP-Notebook - Standard

50-Euro-Gema-Dings auf XP-Notebook


wie gesagt, dann den fix mal per hand eintragen.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 08.02.2012, 17:48   #5
The_Paw
 
50-Euro-Gema-Dings auf XP-Notebook - Standard

50-Euro-Gema-Dings auf XP-Notebook


Nun hat es geklappt.
Ich bin begeistert: die Kiste fährt wieder hoch!

Hier das log:

Code:
ATTFilter
========== OTL ==========
C:\Dokumente und Einstellungen\JUTTA KARSTEN\Startmenü\Programme\Autostart\exe.exe.lnk moved successfully.
File move failed. X:\I386\SYSTEM32\RUNDLL32.EXE scheduled to be moved on reboot.
Registry value HKEY_USERS\JUTTA_KARSTEN_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\InetAccelerator deleted successfully.
C:\Dokumente und Einstellungen\JUTTA KARSTEN\Anwendungsdaten\InetAccelerator\InetAccelerator.exe moved successfully.
Registry value HKEY_USERS\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\InetAccelerator deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InetAccelerator\InetAccelerator.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\InetAccelerator. deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InetAccelerator\InetAccelerator.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\InetAccelerator deleted successfully.
C:\WINDOWS\system32\InetAccelerator.exe moved successfully.
Registry value HKEY_USERS\JUTTA_KARSTEN_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InetAccelerator\InetAccelerator.exe deleted successfully.
File C:\Dokumente und Einstellungen\All not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\InetAccelerator.exe deleted successfully.
File C:\WINDOWS\system32\InetAccelerator.exe not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\InetAccelerator.exe deleted successfully.
File C:\WINDOWS\system32\InetAccelerator.exe not found.
Registry value HKEY_USERS\Administrator_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InetAccelerator\InetAccelerator.exe deleted successfully.
File C:\Dokumente not found.
Registry value HKEY_USERS\JUTTA_KARSTEN_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Dokumente und Einstellungen\JUTTA KARSTEN\Anwendungsdaten\InetAccelerator\InetAccelerator.exe deleted successfully.
File C:\Dokumente not found.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InetAccelerator folder moved successfully.
C:\Dokumente und Einstellungen\JUTTA KARSTEN\Anwendungsdaten\InetAccelerator folder moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InetAccelerator folder moved successfully.
File C:\WINDOWS\System32\InetAccelerator.exe not found.
========== FILES ==========
File\Folder C:\Dokumente und Einstellungen\JUTTA KARSTEN\Anwendungsdaten\InetAccelerator not found.
========== COMMANDS ==========
 
[EMPTYFLASH]
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes
 
User: All Users
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: JUTTA KARSTEN
->Temp folder emptied: 41781079 bytes
->Temporary Internet Files folder emptied: 428289871 bytes
->Java cache emptied: 34560 bytes
->Google Chrome cache emptied: 7627067 bytes
->Flash cache emptied: 56344 bytes
 
User: Besitzer
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 70445 bytes
 
Total Flash Files Cleaned = 456.00 mb
 
 
[EMPTYTEMP]
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: All Users
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: JUTTA KARSTEN
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Besitzer
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 23431 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 655360 bytes
 
Total Files Cleaned = 1.00 mb
 
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 02082012_173345

Files\Folders moved on Reboot...
File\Folder X:\I386\SYSTEM32\RUNDLL32.EXE not found!

Registry entries deleted on Reboot...

__________________
...irgendwas ist ja immer...

Alt 08.02.2012, 17:52   #6
markusg
/// Malware-holic
 
50-Euro-Gema-Dings auf XP-Notebook - Standard

50-Euro-Gema-Dings auf XP-Notebook


weiter mit dem upload bitte
__________________
--> 50-Euro-Gema-Dings auf XP-Notebook

Alt 08.02.2012, 17:52   #7
The_Paw
 
50-Euro-Gema-Dings auf XP-Notebook - Standard

50-Euro-Gema-Dings auf XP-Notebook


Upload der MovedFiles.zip scheint auch geklappt zu haben.
Sensationeller Support hier!
__________________
...irgendwas ist ja immer...

Alt 08.02.2012, 18:11   #8
markusg
/// Malware-holic
 
50-Euro-Gema-Dings auf XP-Notebook - Standard

50-Euro-Gema-Dings auf XP-Notebook


danke, für upload und lob :d
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
  • Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
    Tool

    Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Hinweis:
    Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  • Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 09.02.2012, 17:11   #9
The_Paw
 
50-Euro-Gema-Dings auf XP-Notebook - Standard

50-Euro-Gema-Dings auf XP-Notebook


ComboFix ist abgestürzt - ich hatte mich nach über einer Stunde Laufzeit gewundert, dass kein Fortschritt zu erkennen war?

Die anschließende Konsistenzprüfung hat den rumpeligen Lauf des Betriebssystems korrigieren können.
Ein Suchlauf mit AntiVir hat 4 Trojaner gelöscht - ich hoffe, dass war's, weil ich den Rechner nun schon wieder zurückgeben musste...

Großen Dank für die professionelle + schnelle Hilfe!!
__________________
...irgendwas ist ja immer...

Antwort

Themen zu 50-Euro-Gema-Dings auf XP-Notebook
0x00000001, ad-aware, adobe, antivir, avira, bho, blinkt, booten, browser, desktop, disabletaskmgr, einstellungen, error, euro, format, helper, homepage, launch, logfile, object, plug-in, registry, rundll, scan, software, starten, taskmanager, windows, windows xp, zahlung


« Windowssystem blockiert | Zusatzproblem mit Virus: "Aus Sicherheitsgründen wurde ihr Windowssystem blockiert" »


Ähnliche Themen: 50-Euro-Gema-Dings auf XP-Notebook


  1. Notebook fährt ohne Grund ständig runter! Virus? Trojaner oder neues Notebook?
    Plagegeister aller Art und deren Bekämpfung - 09.03.2015 (9)
  2. Verschlüsselungstrojaner eingefangen (Gema 50 Euro Trojaner, Whitescreen nach Anmeldung)
    Log-Analyse und Auswertung - 20.10.2012 (10)
  3. GEMA-Trojaner (Ukash) auf Windows Home Premium Notebook ohne Wiederherstellungspunkt)
    Plagegeister aller Art und deren Bekämpfung - 07.06.2012 (3)
  4. GEMA-Virus aufgetreten, PC bis zur Zahlung von 100 Euro gesperrt
    Plagegeister aller Art und deren Bekämpfung - 11.05.2012 (15)
  5. Virus blockiert PC! Gema Bundestrojaner Virus - 50 euro Ukash?
    Plagegeister aller Art und deren Bekämpfung - 06.05.2012 (4)
  6. Gema / 50 Euro - Trojaner - OTL LOG - bitte auswerten...
    Log-Analyse und Auswertung - 02.05.2012 (3)
  7. Auf Windows Vista: GEMA-Virus will 50 Euro + abnow.com - Weiterleitung bei google
    Log-Analyse und Auswertung - 28.03.2012 (3)
  8. Computer gesperrt!! GEMA verlangt 100 Euro
    Log-Analyse und Auswertung - 24.03.2012 (1)
  9. gema-trojaner (100 euro-version) win xp
    Plagegeister aller Art und deren Bekämpfung - 12.03.2012 (16)
  10. Gema Paysafe Trojaner 50 Euro
    Log-Analyse und Auswertung - 21.02.2012 (11)
  11. 50 Euro Gema Virus Frage zur Datenrettung
    Plagegeister aller Art und deren Bekämpfung - 28.01.2012 (1)
  12. HARTNÄCKIGER 50 Euro Virus / GEMA Virus
    Log-Analyse und Auswertung - 10.01.2012 (10)
  13. Win 7, gespeert durch die Gema 50 Euro bezahlen
    Log-Analyse und Auswertung - 30.12.2011 (5)
  14. und nochmal Gema-Trojaner auf Notebook
    Log-Analyse und Auswertung - 08.12.2011 (20)
  15. click dings troj?
    Log-Analyse und Auswertung - 06.03.2006 (1)
  16. Automatik Dings bums =)
    Alles rund um Windows - 26.12.2005 (3)
  17. Hijacker Dings Bums da
    Log-Analyse und Auswertung - 23.12.2004 (10)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema 50-Euro-Gema-Dings auf XP-Notebook - Hallo, auf dem Rechner eines Bekannten (XP) erscheint sofort nach dem Booten eine nervige Meldung, die Zahlung von 50 Euro an die Gema via PaySafe auffordert. Der Taskmanager blinkt beim - 50-Euro-Gema-Dings auf XP-Notebook...
Archiv
Du betrachtest: 50-Euro-Gema-Dings auf XP-Notebook auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55