Trojaner-Board - Gema Virus und Verschlüsselungs-Trojaner

Hi,

nach Pc start wird ein schwarzes Bildschrim angezeigt mit dem Gema Logo (100,- zahlen). Auf meinem Pc sind 2 Benutzer angelegt (Administrator und Bentzer 2) Ein Account geht noch, da komm ich noch ins Internet aber ich habe festgestellt dass verschiedene Dateien beschädigt sind. Davor steht locked-name der datei. Bei dem anderen Account kommt das schwarze Gema-Bildschirm.

Ich habe folgendes versucht, leider ohne Erfolg:
im Abgesicherten Modus mit Eingabeaufforderung
C:\cd Users\username\AppData\Roaming, enter, dir, del gema, j, regedit
gema.exe gelöscht
unter Hkey lokal machine, software, microsoft, windows Nt, current version, Winlogon -> die shell datei gelöscht.

Ich hatte noch die Reatogo X boot cd, hab es mit OTLPE gescannt s. Anhang OTL1

Dann hab ich es mit der Fix Datei gefixt, die hatte ich noch da ein ähnliches Problem vor paar wochen aufgetreten ist.

Code:

:OTL

O4 - HKLM..\Run: [gema.] C:\ProgramData\gema\gema.exe ()

O4 - HKU\Administrator_ON_C..\Run: [gema] C:\Users\Administrator\AppData\Roaming\gema\gema.exe ()

O20 - HKLM Winlogon: UserInit - (C:\ProgramData\gema\gema.exe) - C:\ProgramData\gema\gema.exe ()

O20 - HKU\Administrator_ON_C Winlogon: Shell - (C:\Users\Administrator\AppData\Roaming\gema\gema.exe) - C:\Users\Administrator\AppData\Roaming\gema\gema.exe ()

O20 - HKU\Gregor_ON_C Winlogon: Shell - (C:\Users\Gregor\AppData\Roaming\gema\gema.exe) - C:\Users\Gregor\AppData\Roaming\gema\gema.exe ()

:Files

C:\ProgramData\gema

:Commands

[purity]

[EMPTYFLASH] 

[emptytemp]

[Reboot]

der zweite OTLPE scan s. Anhang OTL2.