Hallo und danke schon mal für die Möglichkeit hier mein Problem zu schildern.

Ich hoffe ich beachte alle Regeln, wenn nicht, gebt mir bitte kurz bescheid. Ich will ja, dass mir geholfen wird. Aber nehmt auch etwas Rücksicht auf mich, ich bin absoluter Leihe in diesem Gebiet und gerade deswegen hab ich etwas Angst um meinen PC.

Hier mein Problem:

Wie ich es vorgefunden habe:
Laptop hochgefahren. Dort habe ich schon gemerkt, dass es länger dauert als gewöhnlich. Es folgte 1-2min. ein dunkler Bildschirm, der normal nicht erscheint. Anschließend kommen mehrmals Fehlermeldungen von Avira´s AntiVir. Diese muss ich ca. 15 bis 20x wegdrücken, damit der "Willkommen" Bildschirm bei Vista folgt und der Desktop erscheint. Ist der Desktop da, kommen weitere Fehlermeldungen. (es sind immer die gleichen Meldungen) (ca 5x). Nun ist der PC hochgefahren und es lässt sich eigentlich alles machen mit dem Laptop. Ab und zu erscheint jetzt noch die Meldung. Unregelmäßig aber immer mit Pausen von ca. 20min.

Was AntiVir sagt:

Achtung Fund:
C:/Windows/System32/rasdhone.dll
Ist das Trojanische Pferd
TR/Spy.Banker.AG.1
Was soll mit der betroffenen Datei geschehen?

Meine bisherigen Maßnahmen:
im Ordner System32 nachgeschaut. rasdhone.dll (Änderungsdatum 09.06.2010) 46 Kb groß, Programmbibliothek. Fahre ich mit der Maus
über die Datei, kommt die Fehler/Warnmeldung von AntiVir.

Habe nach rasdhone.dll gegoogelt... Keinen Eintrag gefunden (hatte ich bei Google noch nie )

Windows Defender laufen lassen... nichts wurde gefunden
und AntiVir Systemprüfung aufgeführt. Auch hier nichts neues.

CCleaner, Anti-Malware und RSIT ausgeführt. (logfiles werden auf Wunsch gepostet)

Warum ich mich melde:
Ich benutze meinen Laptop hauptsächlich um meine Bankgeschäfte zu tätigen. Überweisungen, Depotbearbeitung etc. Deswegen macht mir der Name "Banker" natürlich angst, auch wenn eigentlich alle weiteren Anwendungen soweit funktionieren.

Mein System:
Betriebssystemname Microsoft® Windows Vista™ Home Premium
Version 6.0.6002 Service Pack 2 Build 6002
Zusätzliche Betriebssystembeschreibung Nicht verfügbar
Betriebssystemhersteller Microsoft Corporation
Systemname *****-PC
Systemhersteller Sony Corporation
Systemmodell VGN-AW11M_H
Systemtyp X86-basierter PC
Prozessor Intel(R) Core(TM)2 Duo CPU P8400 @ 2.26GHz, 2267 MHz, 2 Kern(e), 2 logische(r) Prozessor(en)
BIOS-Version/-Datum American Megatrends Inc. R0200Y2, 12.08.2008
SMBIOS-Version 2.4
Windows-Verzeichnis C:\Windows
Systemverzeichnis C:\Windows\system32
Startgerät \Device\HarddiskVolume2
Gebietsschema Deutschland
Hardwareabstraktionsebene Version = "6.0.6002.18005"
Benutzername Arbeits-PC\******
Zeitzone Mitteleuropäische Sommerzeit
Installierter physikalischer Speicher (RAM) 4,00 GB
Gesamter realer Speicher 2,97 GB
Verfügbarer realer Speicher 1,58 GB
Gesamter virtueller Speicher 6,13 GB
Verfügbarer virtueller Speicher 4,66 GB
Größe der Auslagerungsdatei 3,26 GB
Auslagerungsdatei C:\pagefile.sys

hallo, du hast ein trojaner mit backdoor charakter an board.
rufe umgehend!!! deine bank an, damit sie deinen zugang sperren und du neue zugangsdaten erhällst. das aller sicherste wäre es, den pc neu aufzusetzen, servicepack3 und avira 10 drauf, und dann alle passwörter endern. wir können auch eine reinigung durchführen, wo aber für das 100 %ige ergebniss nicht garantiert werden kann. obwohl mir persönlich niemand bekannt ist, bei dem es hinterher probleme gab, zu mindest von denen mit denen ich zusammengearbeitet hab.

Wow, vielen Dank für die schnelle Antwort. Bin natürlich erstmal total platt. Aber was gemacht werden muss, muss wohl gemacht werden. Werde alle Banken, bei denen ich Onlinebanking vollziehe direkt kontakttieren. Vielen Dank für die Warnung. (ui ui ui dass wird ein Aufwand).

PC neu aufsetzen klingt nat. für mich erstmal nach großer zeitintensiver Arbeit. Habe viele pers. Dateien und installierte Programme auf dem Rechner.
Falls eine Reinigung möglich ist, wäre mir das natürlich lieber.
Ich nehme doch an, falls das Problem nach einer Reinigung nicht behoben ist... würde sich die AntiVir Software bestimmt wieder melden (oder?) Dann könnte man ja immernoch eine Neuinstallation durchführen.

Ach und... wie fängt man sich denn sowas ein? Was kann ich in Zukunft beachten / ändern ?

zu mindest dann, wenn avira den schädling kennt. wir werden aber sehr gründlich prüfen, wenn ich oder du dann der meinung sind, dass es keinen sinn macht, formatieren wir.
das wichtigste ist jetzt sofort die banken anzurufen, lass da keine zeit verstreichen.
dann poste das malware bytes log.
ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "run Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
eventuell aufteilen auf 2 oder mehr posts