Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
GEMA Trojaner - Alles bisherige ohne Lösung, auch OTLPE

GEMA Trojaner - Alles bisherige ohne Lösung, auch OTLPE


Plagegeister aller Art und deren Bekämpfung: GEMA Trojaner - Alles bisherige ohne Lösung, auch OTLPE

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 24.02.2012, 15:11   #1
DimiKoeln
 
GEMA Trojaner - Alles bisherige ohne Lösung, auch OTLPE - Standard

GEMA Trojaner - Alles bisherige ohne Lösung, auch OTLPE


Hallo zusammen.

Das Board war bei der Durchforstung der bisherigen Themen schon ziemlich hilfreich. Jedoch leider ohne Erfolg.

System: Windows 7 Home Edition - Laptop Medion Akoya

Befall: GEMA Trojaner


Bisheriger Lösungsansatz:

1. System im abgesicherten Modus starten: Nicht möglich - Gema Trojaner blendet sich ein.
2. System in einer der anderen Arten des abgesicherten Modus starten - Nicht möglich - s.o.
3. System über die Reparatur/Recovery Funktion booten - Nicht möglich - Ab Werk keine Recovery Funktion wird eingeblendet
4. System mit Notfall-CD booten und System scannen und fehler beheben - Möglich, führt aber nicht zum Erfolg, da der Gema weiterhin aktiv bleibt.

Eine Eingabe von Kommandos ist dahingehen nicht möglich, da der Befehl 'Explorer' nicht erkannt und nicht ausgeführt wird.
Der Befehl 'Taskmanager' wird ausgeführt, doch ein Zugriff über 'Durchsuchen' auf den Explorer wird nicht durchgeführt.
Der Gema-Trojaner scheint sich hier sehr tief in das System eingefressen zu haben.

5. System über OTLPE Starten und scannen: Nicht möglich - OTLPE wird geladen, der Windows XP Screen zeigt sich und direkt im Anschluss bekomme ich eine Fehlermeldung (Blauer Hintergrund), dass das System zum eigenen Schutz vor einem Virus oder einem Hardware-Fehler gestoppt und heruntergefahren wurde.

Und jetzt bin ich mit meinem Latein am Ende.

Vielleicht hat ja jemand etwas vergleichbares erlebt oder kennt eventuell eine Lösung. Vielen Dank für Eure Hilfe.

Beste Grüße, Dimi

Alt 24.02.2012, 15:39   #2
markusg
/// Malware-holic
 
GEMA Trojaner - Alles bisherige ohne Lösung, auch OTLPE - Standard

GEMA Trojaner - Alles bisherige ohne Lösung, auch OTLPE


hi,
gehe mal ins bios, und schaue ob ide oder ahci modus gewählt ist, wähle jeweils das gegenteilige.
danach funktioniert otl und wir können, nach log erstellung, los legen.
__________________

__________________
Alt 24.02.2012, 16:14   #3
DimiKoeln
 
GEMA Trojaner - Alles bisherige ohne Lösung, auch OTLPE - Standard

GEMA Trojaner - Alles bisherige ohne Lösung, auch OTLPE


Hi Markus.

Es war der aktivierte AHCI-Modus im Bios. Ich habe ihn deaktiviert und über OTLPE das Windows Verzeichnis gescannt.

Hier nun das LOG-File

OTL.txt

OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 2/24/2012 4:06:56 PM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Windows 7 Home Premium Service Pack 1 (Version = 6.1.7601) - Type = System
Internet Explorer (Version = 8.0.7601.17514)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3.00 Gb Total Physical Memory | 3.00 Gb Available Physical Memory | 91.00% Memory free
3.00 Gb Paging File | 3.00 Gb Available in Paging File | 98.00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = D: | %SystemRoot% = D:\Windows | %ProgramFiles% = D:\Program Files
Drive C: | 100.00 Mb Total Space | 68.98 Mb Free Space | 68.98% Space Free | Partition Type: NTFS
Drive D: | 424.66 Gb Total Space | 316.29 Gb Free Space | 74.48% Space Free | Partition Type: NTFS
Drive E: | 40.00 Gb Total Space | 0.01 Gb Free Space | 0.02% Space Free | Partition Type: NTFS
Drive F: | 1.86 Gb Total Space | 1.84 Gb Free Space | 98.83% Space Free | Partition Type: FAT32
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - [2011/10/11 07:59:49 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- D:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2011/10/11 07:59:37 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- D:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011/08/31 11:00:48 | 000,366,152 | ---- | M] (Malwarebytes Corporation) [Disabled] -- D:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2011/08/20 12:57:00 | 001,343,400 | ---- | M] (Microsoft Corporation) [On_Demand] -- D:\Windows\System32\Wat\WatAdminSvc.exe -- (WatAdminSvc)
SRV - [2010/09/13 22:46:26 | 000,219,496 | ---- | M] (Microsoft Corporation) [On_Demand] -- D:\Program Files\Microsoft Application Virtualization Client\sftvsa.exe -- (sftvsa)
SRV - [2010/09/13 22:46:16 | 000,508,264 | ---- | M] (Microsoft Corporation) [Auto] -- D:\Program Files\Microsoft Application Virtualization Client\sftlist.exe -- (sftlist)
SRV - [2010/07/30 15:29:00 | 000,176,128 | ---- | M] (AMD) [Auto] -- D:\Windows\System32\atiesrxx.exe -- (AMD External Events Utility)
SRV - [2009/07/13 20:16:13 | 000,025,088 | ---- | M] (Microsoft Corporation) [On_Demand] -- D:\Windows\System32\sensrsvc.dll -- (SensrSvc)
SRV - [2009/07/13 20:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [Auto] -- D:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2009/07/09 08:54:42 | 000,160,768 | ---- | M] (Micro-Star International Co., Ltd.) [Auto] -- D:\Program Files\System Control Manager\MSIService.exe -- (Micro Star SCM)
SRV - [2007/07/24 04:15:14 | 000,185,632 | ---- | M] (Protexis Inc.) [Auto] -- D:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe -- (PSI_SVC_2)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2011/12/08 17:22:23 | 000,134,856 | ---- | M] (Avira GmbH) [Kernel | System] -- D:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2011/10/11 08:00:01 | 000,074,640 | ---- | M] (Avira GmbH) [File_System | Auto] -- D:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011/10/11 08:00:01 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System] -- D:\Windows\System32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2011/08/31 11:00:50 | 000,022,216 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand] -- D:\Windows\System32\drivers\mbam.sys -- (MBAMProtector)
DRV - [2010/11/20 05:24:41 | 000,052,224 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- D:\Windows\System32\drivers\TsUsbFlt.sys -- (TsUsbFlt)
DRV - [2010/11/20 04:59:44 | 000,035,968 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- D:\Windows\System32\drivers\winusb.sys -- (WinUsb)
DRV - [2010/09/13 22:46:26 | 000,019,304 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- D:\Windows\System32\drivers\Sftvollh.sys -- (Sftvol)
DRV - [2010/09/13 22:46:22 | 000,021,864 | ---- | M] (Microsoft Corporation) [File_System | On_Demand] -- D:\Windows\System32\drivers\Sftredirlh.sys -- (Sftredir)
DRV - [2010/09/13 22:46:18 | 000,194,408 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- D:\Windows\System32\drivers\Sftplaylh.sys -- (Sftplay)
DRV - [2010/09/13 22:46:14 | 000,577,384 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- D:\Windows\System32\drivers\Sftfslh.sys -- (Sftfs)
DRV - [2010/08/15 23:41:00 | 000,101,904 | ---- | M] (ATI Technologies, Inc.) [Kernel | On_Demand] -- D:\Windows\System32\drivers\AtihdW73.sys -- (AtiHDAudioService)
DRV - [2010/07/30 17:40:00 | 005,552,640 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand] -- D:\Windows\System32\drivers\atikmdag.sys -- (amdkmdag)
DRV - [2010/07/30 14:56:00 | 000,176,640 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | On_Demand] -- D:\Windows\System32\drivers\atikmpag.sys -- (amdkmdap)
DRV - [2010/06/17 08:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- D:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2010/05/26 10:59:52 | 000,136,304 | ---- | M] (JMicron Technology Corporation) [Kernel | On_Demand] -- D:\Windows\System32\drivers\jmcr.sys -- (JMCR)
DRV - [2010/04/28 22:43:00 | 000,030,464 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand] -- D:\Windows\System32\drivers\usbfilter.sys -- (usbfilter)
DRV - [2010/03/09 15:03:00 | 000,014,392 | ---- | M] (Advanced Micro Devices Inc.) [Kernel | Boot] -- D:\Windows\System32\drivers\AtiPcie.sys -- (AtiPcie) AMD PCI Express (3GIO)
DRV - [2010/03/02 06:24:58 | 001,006,624 | ---- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand] -- D:\Windows\System32\drivers\rtl8192se.sys -- (rtl8192se)
DRV - [2009/12/02 08:01:06 | 000,168,480 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- D:\Windows\System32\drivers\RtHDMIV.sys -- (RTHDMIAzAudService)
DRV - [2009/07/13 18:52:10 | 000,014,336 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- D:\Windows\System32\drivers\vwifimp.sys -- (vwifimp)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://startsear.ch/?aff=1&cf=4daf3a50-281d-11e1-8ed1-406186afcc52
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Hanna_ON_D\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.aldi.com
IE - HKU\Hanna_ON_D\Software\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1
IE - HKU\Hanna_ON_D\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com/
IE - HKU\Hanna_ON_D\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - D:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
IE - HKU\Hanna_ON_D\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\Hanna_ON_D\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
 
 
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.startup.homepage: "about:home"
FF - prefs.js..keyword.URL: "hxxp://dts.search-results.com/sr?src=ffb&appid=113&systemid=406&sr=0&q="
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: D:\Windows\System32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: D:\Windows\System32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: D:\Program Files\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@canon.com/MycameraPlugin: D:\Program Files\Canon\ZoomBrowser EX\Program\NPCIG.dll (CANON INC.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: D:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Oracle)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE:  File not found
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: D:\Program Files\Microsoft Silverlight\4.0.60831.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: D:\Program Files\Microsoft Office\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3502.0922: D:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3508.1109: D:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3538.0513: D:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: D:\Program Files\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: D:\Program Files\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 8.0\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011/11/13 11:43:11 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 8.0\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011/12/16 14:37:08 | 000,000,000 | ---D | M]
 
[2011/12/13 16:15:31 | 000,000,000 | ---D | M] (No name found) -- D:\Users\Hanna\AppData\Roaming\Mozilla\Extensions
[2011/12/13 16:15:32 | 000,000,000 | ---D | M] (No name found) -- D:\Users\Hanna\AppData\Roaming\Mozilla\Firefox\Profiles\6qsitgxz.default\extensions
[2011/12/13 16:15:22 | 000,000,000 | ---D | M] (Searchqu Toolbar) -- D:\Users\Hanna\AppData\Roaming\Mozilla\Firefox\Profiles\6qsitgxz.default\extensions\{99079a25-328f-4bd4-be04-00955acaa0a7}
[2011/12/19 14:05:58 | 000,000,000 | ---D | M] (VirtualDJ Toolbar) -- D:\Users\Hanna\AppData\Roaming\Mozilla\Firefox\Profiles\6qsitgxz.default\extensions\toolbar@ask.com
[2011/02/01 13:05:08 | 000,002,333 | ---- | M] () -- D:\Users\Hanna\AppData\Roaming\Mozilla\Firefox\Profiles\6qsitgxz.default\searchplugins\askcom.xml
[2011/12/13 16:15:11 | 000,002,519 | ---- | M] () -- D:\Users\Hanna\AppData\Roaming\Mozilla\Firefox\Profiles\6qsitgxz.default\searchplugins\Search_Results.xml
[2011/12/16 17:10:49 | 000,000,792 | ---- | M] () -- D:\Users\Hanna\AppData\Roaming\Mozilla\Firefox\Profiles\6qsitgxz.default\searchplugins\startsear.xml
[2011/12/13 16:15:32 | 000,000,000 | ---D | M] (No name found) -- D:\Program Files\Mozilla Firefox\extensions
[2011/08/13 15:55:16 | 000,000,000 | ---D | M] (Click to call with Skype) -- D:\Program Files\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
File not found (No name found) -- 
[2011/11/13 11:43:11 | 000,134,104 | ---- | M] (Mozilla Foundation) -- D:\Program Files\mozilla firefox\components\browsercomps.dll
[2011/10/03 04:14:54 | 000,083,456 | ---- | M] (vShare.tv ) -- D:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll
[2011/10/20 16:48:49 | 000,001,392 | ---- | M] () -- D:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011/10/20 16:48:49 | 000,002,252 | ---- | M] () -- D:\Program Files\mozilla firefox\searchplugins\bing.xml
[2011/10/20 16:48:49 | 000,001,153 | ---- | M] () -- D:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2011/10/20 16:48:49 | 000,006,805 | ---- | M] () -- D:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2011/12/13 16:15:11 | 000,002,519 | ---- | M] () -- D:\Program Files\mozilla firefox\searchplugins\Search_Results.xml
[2011/10/20 16:48:49 | 000,001,178 | ---- | M] () -- D:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2011/10/20 16:48:49 | 000,001,105 | ---- | M] () -- D:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2009/06/10 16:39:37 | 000,000,824 | ---- | M]) - D:\Windows\System32\drivers\etc\hosts
O2 - BHO: (IE5BarLauncherBHO Class) - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - D:\Program Files\vShare.tv plugin\BarLcher.dll (VShare Inc.)
O2 - BHO: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - D:\Program Files\Windows iLivid Toolbar\Datamngr\ToolBar\searchqudtx.dll ()
O2 - BHO: (DataMngr) - {9D717F81-9148-4f12-8568-69135F087DB0} - D:\Program Files\Windows iLivid Toolbar\Datamngr\BrowserConnection.dll (Bandoo Media, inc)
O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - D:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Program Files\Google\GoogleToolbarNotifier\5.7.7227.1100\swg.dll (Google Inc.)
O2 - BHO: (VirtualDJ Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - D:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (VShareToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - D:\Program Files\vShare.tv plugin\BarLcher.dll (VShare Inc.)
O3 - HKLM\..\Toolbar: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - D:\Program Files\Windows iLivid Toolbar\Datamngr\ToolBar\searchqudtx.dll ()
O3 - HKLM\..\Toolbar: (VirtualDJ Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - D:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\Hanna_ON_D\..\Toolbar\WebBrowser: (VirtualDJ Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - D:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [ApnUpdater] D:\Program Files\Ask.com\Updater\Updater.exe (Ask)
O4 - HKLM..\Run: [avgnt] D:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [CLMLServer] D:\Program Files\CyberLink\Power2Go\CLMLSvc.exe (CyberLink)
O4 - HKLM..\Run: [DATAMNGR] D:\Program Files\Windows iLivid Toolbar\Datamngr\datamngrUI.exe (Bandoo Media, inc)
O4 - HKLM..\Run: [InetAccelerator] D:\Windows\System32\InetAccelerator.exe (Quick Heal Technologies (P) Ltd.)
O4 - HKLM..\Run: [InetAccelerator.] D:\ProgramData\InetAccelerator\InetAccelerator.exe (Quick Heal Technologies (P) Ltd.)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware (reboot)] D:\Program Files\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [MGSysCtrl] D:\Program Files\System Control Manager\MGSysCtrl.exe (Micro-Star International Co., Ltd.)
O4 - HKLM..\Run: [RtHDVBg] D:\Program Files\Realtek\Audio\HDA\RtHDVBg.exe (Realtek Semiconductor)
O4 - HKLM..\Run: [StartCCC] D:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)
O4 - HKU\Hanna_ON_D..\Run: [InetAccelerator] D:\Users\Hanna\AppData\Roaming\InetAccelerator\InetAccelerator.exe (Quick Heal Technologies (P) Ltd.)
O4 - HKU\LocalService_ON_D..\RunOnce: [mctadmin] D:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - HKU\NetworkService_ON_D..\RunOnce: [mctadmin] D:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - Startup: D:\Users\Hanna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Versandhelfer.lnk ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O9 - Extra Button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} -  File not found
O9 - Extra 'Tools' menuitem : eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} -  File not found
O9 - Extra Button: Click to call with Skype - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - D:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Click to call with Skype - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - D:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000005 [] - D:\Program Files\Bonjour\mdnsNSP.dll (Apple Inc.)
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - D:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O20 - AppInit_DLLs: (C:\PROGRA~1\WI3C8A~1\Datamngr\datamngr.dll) - D:\Program Files\Windows iLivid Toolbar\Datamngr\datamngr.dll (Bandoo Media, inc)
O20 - AppInit_DLLs: (C:\PROGRA~1\WI3C8A~1\Datamngr\IEBHO.dll) - D:\Program Files\Windows iLivid Toolbar\Datamngr\IEBHO.dll (Bandoo Media, inc)
O20 - HKLM Winlogon: Shell - (explorer.exe) - D:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\ProgramData\InetAccelerator\InetAccelerator.exe) - D:\ProgramData\InetAccelerator\InetAccelerator.exe (Quick Heal Technologies (P) Ltd.)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\InetAccelerator.exe) - D:\Windows\System32\InetAccelerator.exe (Quick Heal Technologies (P) Ltd.)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - D:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O20 - HKU\Hanna_ON_D Winlogon: Shell - (C:\Users\Hanna\AppData\Roaming\InetAccelerator\InetAccelerator.exe) - D:\Users\Hanna\AppData\Roaming\InetAccelerator\InetAccelerator.exe (Quick Heal Technologies (P) Ltd.)
O20 - HKU\Hanna_ON_D Winlogon: Shell - (Explorer.exe) - D:\Windows\explorer.exe (Microsoft Corporation)
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/06/10 16:42:20 | 000,000,024 | ---- | M] () - D:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 06:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{07eabeb5-0924-11e0-80dd-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{07eabeb5-0924-11e0-80dd-806e6f6e6963}\Shell\AutoRun\command - "" = E:\sources\sperr32.exe x64
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012/02/24 08:26:30 | 000,000,000 | ---D | C] -- D:\Users\Hanna\AppData\Local\{3BD2188E-2FA3-4DB9-B621-1CD28584033E}
[2012/01/31 06:22:18 | 000,000,000 | ---D | C] -- D:\Users\Hanna\AppData\Local\{C1090782-4A8F-420A-8787-8ABF6EB51AA6}
[2012/01/31 06:21:43 | 000,000,000 | ---D | C] -- D:\Users\Hanna\AppData\Local\{4F60400E-E421-4592-A178-BF94B71243C0}
[2012/01/31 06:13:32 | 000,000,000 | ---D | C] -- D:\Users\Hanna\AppData\Local\{FCF6E4F2-A131-40D0-8F95-FF119F185584}
[2012/01/31 06:07:20 | 000,000,000 | ---D | C] -- D:\Users\Hanna\AppData\Local\{89032F02-5344-48BF-86C4-B739CED2EDDE}
[2012/01/30 17:55:53 | 000,337,408 | ---- | C] (Quick Heal Technologies (P) Ltd.) -- D:\Windows\System32\InetAccelerator.exe
[2012/01/30 17:22:07 | 000,000,000 | ---D | C] -- D:\Users\Hanna\AppData\Roaming\InetAccelerator
[2012/01/30 17:22:07 | 000,000,000 | ---D | C] -- D:\ProgramData\InetAccelerator
[2012/01/30 17:05:15 | 000,000,000 | ---D | C] -- D:\Users\Hanna\AppData\Local\{3BFCEECB-7E17-44A3-AB05-4820B4A933EF}
[2012/01/30 17:05:00 | 000,000,000 | ---D | C] -- D:\Users\Hanna\AppData\Local\{6587D2B9-593E-4B9A-AE97-83C91B18FDF1}
[1 D:\Windows\*.tmp files -> D:\Windows\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012/02/24 08:32:25 | 000,067,584 | --S- | M] () -- D:\Windows\bootstat.dat
[2012/02/24 08:32:19 | 2415,316,992 | -HS- | M] () -- D:\hiberfil.sys
[2012/02/24 08:25:19 | 000,001,094 | ---- | M] () -- D:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2012/01/31 11:50:57 | 000,009,920 | -H-- | M] () -- D:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2012/01/31 11:50:56 | 000,009,920 | -H-- | M] () -- D:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012/01/31 11:38:36 | 000,447,624 | ---- | M] () -- D:\Windows\System32\FNTCACHE.DAT
[2012/01/31 06:07:20 | 000,001,098 | ---- | M] () -- D:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2012/01/30 17:22:06 | 000,337,408 | ---- | M] (Quick Heal Technologies (P) Ltd.) -- D:\Windows\System32\InetAccelerator.exe
[2012/01/29 15:49:22 | 000,002,218 | ---- | M] () -- D:\Users\Public\Desktop\Google Chrome.lnk
[1 D:\Windows\*.tmp files -> D:\Windows\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011/11/12 14:47:13 | 000,000,089 | ---- | C] () -- D:\Windows\LilliP.ini
[2011/09/17 12:08:10 | 000,000,127 | ---- | C] () -- D:\Windows\System32\MRT.INI
[2011/06/21 13:06:07 | 000,252,928 | ---- | C] () -- D:\Windows\System32\DShowRdpFilter.dll
[2011/01/12 02:43:30 | 000,000,952 | -HS- | C] () -- D:\ProgramData\KGyGaAvL.sys
[2010/12/19 05:33:35 | 000,033,134 | ---- | C] () -- D:\Users\Hanna\AppData\Roaming\UserTile.png
[2010/10/27 01:42:53 | 000,072,017 | ---- | C] () -- D:\Windows\System32\Uninstall ALDI SÜD Mah Jong.exe
[2010/10/27 00:39:49 | 000,451,072 | ---- | C] () -- D:\Windows\System32\ISSRemoveSP.exe
[2010/10/27 00:38:44 | 000,080,416 | ---- | C] () -- D:\Windows\System32\RtNicProp32.dll
[2010/10/26 10:04:14 | 000,000,000 | ---- | C] () -- D:\Windows\ativpsrm.bin
[2010/10/26 09:54:19 | 000,294,912 | ---- | C] () -- D:\Windows\System32\ATIODE.exe
[2010/10/26 09:54:19 | 000,203,331 | ---- | C] () -- D:\Windows\System32\atiicdxx.dat
[2010/10/26 09:54:19 | 000,045,056 | ---- | C] () -- D:\Windows\System32\ATIODCLI.exe
[2010/10/26 09:54:19 | 000,002,110 | ---- | C] () -- D:\Windows\System32\atipblag.dat
[2009/07/14 03:47:43 | 000,654,610 | ---- | C] () -- D:\Windows\System32\perfh007.dat
[2009/07/14 03:47:43 | 000,295,922 | ---- | C] () -- D:\Windows\System32\perfi007.dat
[2009/07/14 03:47:43 | 000,130,192 | ---- | C] () -- D:\Windows\System32\perfc007.dat
[2009/07/14 03:47:43 | 000,038,104 | ---- | C] () -- D:\Windows\System32\perfd007.dat
[2009/07/13 23:57:37 | 000,067,584 | --S- | C] () -- D:\Windows\bootstat.dat
[2009/07/13 23:33:53 | 000,447,624 | ---- | C] () -- D:\Windows\System32\FNTCACHE.DAT
[2009/07/13 21:05:48 | 000,616,452 | ---- | C] () -- D:\Windows\System32\perfh009.dat
[2009/07/13 21:05:48 | 000,291,294 | ---- | C] () -- D:\Windows\System32\perfi009.dat
[2009/07/13 21:05:48 | 000,106,574 | ---- | C] () -- D:\Windows\System32\perfc009.dat
[2009/07/13 21:05:48 | 000,031,548 | ---- | C] () -- D:\Windows\System32\perfd009.dat
[2009/07/13 21:05:05 | 000,000,741 | ---- | C] () -- D:\Windows\System32\NOISE.DAT
[2009/07/13 21:04:11 | 000,215,943 | ---- | C] () -- D:\Windows\System32\dssec.dat
[2009/07/13 18:55:01 | 000,043,131 | ---- | C] () -- D:\Windows\mib.bin
[2009/07/13 18:51:43 | 000,073,728 | ---- | C] () -- D:\Windows\System32\BthpanContextHandler.dll
[2009/07/13 18:42:10 | 000,064,000 | ---- | C] () -- D:\Windows\System32\BWContextHandler.dll
[2009/06/10 16:26:10 | 000,673,088 | ---- | C] () -- D:\Windows\System32\mlang.dat
 
========== LOP Check ==========
 
[2010/12/16 23:08:54 | 000,000,000 | -HSD | M] -- D:\ProgramData\Anwendungsdaten
[2009/07/13 23:53:55 | 000,000,000 | -HSD | M] -- D:\ProgramData\Application Data
[2011/12/14 14:03:17 | 000,000,000 | ---D | M] -- D:\ProgramData\boost_interprocess
[2010/12/17 05:21:07 | 000,000,000 | -H-D | M] -- D:\ProgramData\CanonBJ
[2009/07/13 23:53:55 | 000,000,000 | -HSD | M] -- D:\ProgramData\Desktop
[2009/07/13 23:53:55 | 000,000,000 | -HSD | M] -- D:\ProgramData\Documents
[2010/12/16 23:08:54 | 000,000,000 | -HSD | M] -- D:\ProgramData\Dokumente
[2010/12/16 23:08:54 | 000,000,000 | -HSD | M] -- D:\ProgramData\Favoriten
[2009/07/13 23:53:55 | 000,000,000 | -HSD | M] -- D:\ProgramData\Favorites
[2011/12/09 02:59:51 | 000,000,000 | ---D | M] -- D:\ProgramData\fotobuch.de AG
[2012/01/30 17:22:07 | 000,000,000 | ---D | M] -- D:\ProgramData\InetAccelerator
[2011/01/11 17:03:00 | 000,000,000 | ---D | M] -- D:\ProgramData\Partner
[2011/07/12 10:20:49 | 000,000,000 | ---D | M] -- D:\ProgramData\PhotoStitch
[2009/07/13 23:53:55 | 000,000,000 | -HSD | M] -- D:\ProgramData\Start Menu
[2010/12/16 23:08:54 | 000,000,000 | -HSD | M] -- D:\ProgramData\Startmenü
[2010/10/27 02:50:47 | 000,000,000 | ---D | M] -- D:\ProgramData\Temp
[2009/07/13 23:53:55 | 000,000,000 | -HSD | M] -- D:\ProgramData\Templates
[2010/12/18 05:23:41 | 000,000,000 | ---D | M] -- D:\ProgramData\VirtualizedApplications
[2010/12/16 23:08:54 | 000,000,000 | -HSD | M] -- D:\ProgramData\Vorlagen
[2010/12/17 04:53:43 | 000,000,000 | ---D | M] -- D:\ProgramData\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2011/12/09 02:41:12 | 000,032,640 | ---- | M] () -- D:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 
< End of report >
--- --- ---

[/CODE]
__________________
Alt 24.02.2012, 16:18   #4
markusg
/// Malware-holic
 
GEMA Trojaner - Alles bisherige ohne Lösung, auch OTLPE - Standard

GEMA Trojaner - Alles bisherige ohne Lösung, auch OTLPE


auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:
Code:
ATTFilter
:OTL
O4 - HKLM..\Run: [InetAccelerator] D:\Windows\System32\InetAccelerator.exe (Quick Heal Technologies (P) Ltd.)
O4 - HKLM..\Run: [InetAccelerator.] D:\ProgramData\InetAccelerator\InetAccelerator.exe (Quick Heal Technologies (P) Ltd.)
O4 - HKU\Hanna_ON_D..\Run: [InetAccelerator] D:\Users\Hanna\AppData\Roaming\InetAccelerator\InetAccelerator.exe (Quick Heal Technologies (P) Ltd.)
O20 - HKLM Winlogon: UserInit - (C:\ProgramData\InetAccelerator\InetAccelerator.exe) - D:\ProgramData\InetAccelerator\InetAccelerator.exe (Quick Heal Technologies
(P) Ltd.)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\InetAccelerator.exe) - D:\Windows\System32\InetAccelerator.exe (Quick Heal Technologies (P) Ltd.)
O20 - HKU\Hanna_ON_D Winlogon: Shell - (C:\Users\Hanna\AppData\Roaming\InetAccelerator\InetAccelerator.exe) - D:\Users\Hanna\AppData\Roaming\InetAccelerator\InetAccelerator.exe
(Quick Heal Technologies (P) Ltd.)
:Files
D:\Windows\System32\InetAccelerator.exe
D:\ProgramData\InetAccelerator
D:\Users\Hanna\AppData\Roaming\InetAccelerator
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die + E Taste.
  • Öffne dein Systemlaufwerk ( meistens C: )
  • Suche nun
    folgenden Ordner: _OTL und öffne diesen.
  • Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner

  • Dies wird eine Movedfiles.zip Datei in _OTL erstellen
  • Lade diese bitte in unseren Uploadchannel
    hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )
Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus
edit: bei dir evtl. d:
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 24.02.2012, 16:44   #5
DimiKoeln
 
GEMA Trojaner - Alles bisherige ohne Lösung, auch OTLPE - Standard

GEMA Trojaner - Alles bisherige ohne Lösung, auch OTLPE


Also:

1. Laden als File (fix.txt) klappt nicht, da mir eine Access-Violation angezeigt wird und OTLPE abstürzt.

2. Manuell in OTLPE (im unteren Bereich) eingegeben und 'Run Fix' ausgeführt. Am Ende wurde angezeigt, dass der Vorgang abgeschlossen wurde und ein Neustart erfolgen muss.

3. Neustart erfolgte nicht und OTLPE stürzte ab. Neustart nur über harten Neustart/Bootvorgang möglich.

4. System wurde erfolgreich geladen, Symbole auf dem Desktop vorhanden und etwaige Treiber (ATI weshalb auch immer) wurden installiert.

5. OTL.txt wurde nicht angezeigt.

6. MovedFiles.zip wurde auf dem Uploadchannel hinterlegt.


Alt 24.02.2012, 16:49   #6
markusg
/// Malware-holic
 
GEMA Trojaner - Alles bisherige ohne Lösung, auch OTLPE - Standard

GEMA Trojaner - Alles bisherige ohne Lösung, auch OTLPE


danke, hab sie bekommen :-)
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
  • Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
    Tool

    Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Hinweis:
    Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  • Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.
__________________
--> GEMA Trojaner - Alles bisherige ohne Lösung, auch OTLPE

Alt 24.02.2012, 17:06   #7
DimiKoeln
 
GEMA Trojaner - Alles bisherige ohne Lösung, auch OTLPE - Standard

GEMA Trojaner - Alles bisherige ohne Lösung, auch OTLPE


Sooo. ComboFix ausgeführt und anbei die Log-Datei.


Code:
ATTFilter
ComboFix 12-02-24.02 - Hanna 24.02.2012  16:56:27.1.2 - x86
Microsoft Windows 7 Home Premium   6.1.7601.1.1252.49.1031.18.3071.2098 [GMT 1:00]
ausgeführt von:: c:\users\Hanna\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Outdated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Outdated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Hanna\AppData\Roaming\Microsoft\Windows\Recent\Thumbs.db
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-01-24 bis 2012-02-24  ))))))))))))))))))))))))))))))
.
.
2012-02-24 21:27 . 2011-07-13 02:55	2237440	----a-r-	C:\OTLPE.exe
2012-02-24 21:27 . 2012-02-24 15:36	--------	d-----w-	C:\_OTL
2012-02-24 16:01 . 2012-02-24 16:02	--------	d-----w-	c:\users\Hanna\AppData\Local\temp
2012-02-24 16:01 . 2012-02-24 16:01	--------	d-----w-	c:\users\Default\AppData\Local\temp
2012-02-24 15:37 . 2012-02-24 15:37	--------	d-----w-	c:\windows\LastGood
2012-01-29 20:49 . 2012-01-06 04:19	6557240	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{53B73F24-863B-4D24-9276-AC4824B566E7}\mpengine.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-12-16 22:33 . 2011-12-16 22:33	18328	----a-w-	c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
2011-12-14 21:13 . 2011-12-14 21:13	414368	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-12-08 22:22 . 2011-10-13 20:05	134856	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-12-07 09:08 . 2010-10-26 12:21	236576	------w-	c:\windows\system32\MpSigStub.exe
2011-11-13 16:43 . 2011-05-15 20:20	134104	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{00000000-6E41-4FD3-8538-502F5495E5FC}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2011-08-23 1515688]
.
[HKEY_CLASSES_ROOT\clsid\{00000000-6e41-4fd3-8538-502f5495e5fc}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
2011-08-23 20:20	1515688	----a-w-	c:\program files\Ask.com\GenericAskToolbar.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2011-08-23 1515688]
.
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2011-08-23 1515688]
.
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2011-07-29 17361032]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-12-17 39408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-07-30 102400]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2010-04-22 1725736]
"MGSysCtrl"="c:\program files\System Control Manager\MGSysCtrl.exe" [2010-07-19 2482176]
"CLMLServer"="c:\program files\CyberLink\Power2Go\CLMLSvc.exe" [2009-11-02 103720]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2010-06-08 9267816]
"RtHDVBg"="c:\program files\Realtek\Audio\HDA\RtHDVBg.exe" [2010-06-08 1481320]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-30 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-12-14 421160]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2011-08-31 1047208]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-10-11 258512]
"ApnUpdater"="c:\program files\Ask.com\Updater\Updater.exe" [2011-08-23 887976]
.
c:\users\Hanna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Versandhelfer.lnk - c:\program files\Versandhelfer\Versandhelfer.exe [2010-12-17 142336]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\WI3C8A~1\Datamngr\datamngr.dll c:\progra~1\WI3C8A~1\Datamngr\IEBHO.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-12-17 136176]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2010-12-17 136176]
R3 JMCR;JMCR;c:\windows\system32\DRIVERS\jmcr.sys [2010-05-26 136304]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2011-08-31 22216]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-10 4640000]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224]
R3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe [2011-08-20 1343400]
R4 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2011-08-31 366152]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-22 51040]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2011-10-11 36000]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2010-07-30 176128]
S2 AntiVirSchedulerService;Avira Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-10-11 86224]
S2 cvhsvc;Client Virtualization Handler;c:\program files\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE [2010-10-20 821664]
S2 Micro Star SCM;Micro Star SCM;c:\program files\System Control Manager\MSIService.exe [2009-07-09 160768]
S2 sftlist;Application Virtualization Client;c:\program files\Microsoft Application Virtualization Client\sftlist.exe [2010-09-14 508264]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [2010-07-30 5552640]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2010-07-30 176640]
S3 AtiHDAudioService;ATI Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW73.sys [2010-08-16 101904]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2010-03-22 278560]
S3 rtl8192se;Realtek Wireless LAN 802.11n PCI-E NIC NT Driver;c:\windows\system32\DRIVERS\rtl8192se.sys [2010-03-02 1006624]
S3 Sftfs;Sftfs;c:\windows\system32\DRIVERS\Sftfslh.sys [2010-09-14 577384]
S3 Sftplay;Sftplay;c:\windows\system32\DRIVERS\Sftplaylh.sys [2010-09-14 194408]
S3 Sftredir;Sftredir;c:\windows\system32\DRIVERS\Sftredirlh.sys [2010-09-14 21864]
S3 Sftvol;Sftvol;c:\windows\system32\DRIVERS\Sftvollh.sys [2010-09-14 19304]
S3 sftvsa;Application Virtualization Service Agent;c:\program files\Microsoft Application Virtualization Client\sftvsa.exe [2010-09-14 219496]
S3 usbfilter;AMD USB Filter Driver;c:\windows\system32\DRIVERS\usbfilter.sys [2010-04-29 30464]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336]
.
.
Inhalt des "geplante Tasks" Ordners
.
2012-02-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-12-17 04:14]
.
2012-02-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-12-17 04:14]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com/
mStart Page = hxxp://startsear.ch/?aff=1&cf=4daf3a50-281d-11e1-8ed1-406186afcc52
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: {{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4
FF - ProfilePath - c:\users\Hanna\AppData\Roaming\Mozilla\Firefox\Profiles\6qsitgxz.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - about:home
FF - prefs.js: keyword.URL - hxxp://dts.search-results.com/sr?src=ffb&appid=113&systemid=406&sr=0&q=
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Toolbar-10 - (no file)
HKCU-Run-InetAccelerator - c:\users\Hanna\AppData\Roaming\InetAccelerator\InetAccelerator.exe
HKLM-Run-InetAccelerator - c:\windows\system32\InetAccelerator.exe
HKLM-Run-InetAccelerator. - c:\programdata\InetAccelerator\InetAccelerator.exe
SafeBoot-BsScanner
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ChromeHTML"
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ChromeHTML"
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.shtml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ChromeHTML"
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xht\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ChromeHTML"
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ChromeHTML"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2012-02-24  17:03:20
ComboFix-quarantined-files.txt  2012-02-24 16:03
.
Vor Suchlauf: 6 Verzeichnis(se), 339.364.036.608 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 339.943.698.432 Bytes frei
.
- - End Of File - - 49C6F9F0505DD9A6E0C7BEAE500E456D

Alt 24.02.2012, 17:55   #8
markusg
/// Malware-holic
 
GEMA Trojaner - Alles bisherige ohne Lösung, auch OTLPE - Standard

GEMA Trojaner - Alles bisherige ohne Lösung, auch OTLPE


malwarebytes:
Downloade Dir bitte Malwarebytes
  • Installiere
    das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche
    nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet
    ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste
    das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 24.02.2012, 19:52   #9
DimiKoeln
 
GEMA Trojaner - Alles bisherige ohne Lösung, auch OTLPE - Standard

GEMA Trojaner - Alles bisherige ohne Lösung, auch OTLPE


Malwarebytes Scan durchgeführt. Zwei Funde erfolgreich gelöscht oder aber in Quarantäne verschoben.

Hier die Log-Datei

Code:
ATTFilter
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.24.02

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 8.0.7601.17514
Hanna :: HANNA-PC [Administrator]

24.02.2012 18:30:17
mbam-log-2012-02-24 (18-30-17).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 332681
Laufzeit: 1 Stunde(n), 17 Minute(n), 23 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Bösartig: (hxxp://startsear.ch/?aff=1&cf=4daf3a50-281d-11e1-8ed1-406186afcc52) Gut: (hxxp://www.google.com) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Hanna\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\0\6b1ef000-7bca8e65.vir (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Alt 24.02.2012, 20:38   #10
markusg
/// Malware-holic
 
GEMA Trojaner - Alles bisherige ohne Lösung, auch OTLPE - Standard

GEMA Trojaner - Alles bisherige ohne Lösung, auch OTLPE


lade den CCleaner standard:
CCleaner Download - CCleaner 3.16.1666
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 24.02.2012, 20:46   #11
DimiKoeln
 
GEMA Trojaner - Alles bisherige ohne Lösung, auch OTLPE - Standard

GEMA Trojaner - Alles bisherige ohne Lösung, auch OTLPE


Das werde ich leider weiterleiten müssen, da das nicht mein Rechner ist und ich nicht weiss, welche Programme definitiv gebraucht werden oder nicht.

Denke aber, dass der Rechner soweit wieder stabil läuft und bereinigt wurde.
AntiVir hat nichts gefunden. HiJackThis war OK. Spybot war ebenso OK.

Vielen lieben Dank für Deine Hilfe. Werde mal Nachfragen, wie es da mit einer kleinen Spende ausschaut. Kann nichts versprechen.

Werde empfehlen den CCleaner zu installieren und zu nutzen.

Alt 24.02.2012, 20:50   #12
markusg
/// Malware-holic
 
GEMA Trojaner - Alles bisherige ohne Lösung, auch OTLPE - Standard

GEMA Trojaner - Alles bisherige ohne Lösung, auch OTLPE


das der rechner sauber ist, weis ich, aber er soll ja auch sauber bleiben, und das geht nicht mit sicherheitslücken :-)
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu GEMA Trojaner - Alles bisherige ohne Lösung, auch OTLPE
aktiv, anschluss, booten, dos, erkannt, explorer, fehler, fehlermeldung, gema trojaner otlpe ohne wirkung, gestoppt, hintergrund, home, laptop, lösung, nicht erkannt, nicht möglich, scan, schutz, screen, starten, taskmanager, trojaner, virus, windows, windows 7, windows 7 home, windows xp, zugriff


« Abnow und systemwiederherstellung | Fehlermeldung "Windows wurde gesperrt. runterladen und bezahlen" - Trojaner? »


Ähnliche Themen: GEMA Trojaner - Alles bisherige ohne Lösung, auch OTLPE


  1. Wieder mal eine Auswertung eines OTLPE-Logs eines GVU/GEMA Trojaner infizierten Systems
    Log-Analyse und Auswertung - 29.06.2013 (10)
  2. GVU Trojaner, auch im abgesicherten Modus. OTLPE File hier
    Log-Analyse und Auswertung - 30.04.2013 (8)
  3. GVU TROJANER (abgesichert Modus ohne Funktion) OTLPE
    Plagegeister aller Art und deren Bekämpfung - 17.03.2013 (19)
  4. GEMA-Trojaner 2.08, bereits OTLPE-Logfile erstellt
    Log-Analyse und Auswertung - 26.10.2012 (2)
  5. AKM/GEMA Trojaner - wo finde ich die "otlpe.iso" (peinliche Startprobleme)
    Plagegeister aller Art und deren Bekämpfung - 10.07.2012 (1)
  6. ich find keine lösung beim problem mit dem GEMA virus
    Plagegeister aller Art und deren Bekämpfung - 03.05.2012 (3)
  7. Gema-Trojaner OTLPE bleibt beim Scan bei "Getting Folder structure" stehen
    Plagegeister aller Art und deren Bekämpfung - 12.04.2012 (13)
  8. GEMA Trojaner - OTLPE Logs erstellt - wie geht es weiter?
    Plagegeister aller Art und deren Bekämpfung - 28.03.2012 (11)
  9. GEMA-Trojaner, Hilfe mit OTLPE
    Log-Analyse und Auswertung - 07.03.2012 (42)
  10. Gema virus & Abgesicherter Modus ohne Funktion OTLPE Log
    Log-Analyse und Auswertung - 31.01.2012 (9)
  11. GEMA Trojaner auf Laptop ohne CD Laufwerk
    Plagegeister aller Art und deren Bekämpfung - 06.01.2012 (1)
  12. GEMA-Trojaner schwarzer Desktop OTLPE out of memory
    Plagegeister aller Art und deren Bekämpfung - 11.12.2011 (3)
  13. GEMA Trojaner auch bei mir
    Log-Analyse und Auswertung - 10.12.2011 (2)
  14. GEMA-Trojaner auf Asus Netbook mit XP ohne Disc-Laufwerk
    Plagegeister aller Art und deren Bekämpfung - 29.11.2011 (23)
  15. GEMA Trojaner verursacht Absturz beim Scannen mit OTLPE
    Plagegeister aller Art und deren Bekämpfung - 25.11.2011 (5)
  16. GEMA Trojaner, bisher keine Lösung gefunden, OTPLE Log
    Log-Analyse und Auswertung - 16.11.2011 (12)
  17. Trojaner entfernen ohne BS neu aufzusetzen. Beste Lösung ?
    Plagegeister aller Art und deren Bekämpfung - 06.10.2010 (22)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema GEMA Trojaner - Alles bisherige ohne Lösung, auch OTLPE - Hallo zusammen. Das Board war bei der Durchforstung der bisherigen Themen schon ziemlich hilfreich. Jedoch leider ohne Erfolg. System: Windows 7 Home Edition - Laptop Medion Akoya Befall: GEMA Trojaner - GEMA Trojaner - Alles bisherige ohne Lösung, auch OTLPE...
Archiv
Du betrachtest: GEMA Trojaner - Alles bisherige ohne Lösung, auch OTLPE auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55