c:\windows\system32\userinit.exe mit Trojaner (Generic 18.BESH) infiziert, Bereinigung ohne Erfolg

nothingEvil

Hallo Trojaner-Board!

Um mein Problem zu beschreiben muss ich etwas weiter ausholen.
Angefangen hat es damit, dass ich mich um eine Online Überweisung zu tätigen in mein Bank-Konto einloggen wollte doch mir der Zugriff verweigert wurde. Ich bekam draufhin einen Anruf meiner Bank dass der PC von dem aus ich mich einloggen wollte mit einem Trojaner infiziert sei und deswegen mein Online Konto erst mal gesperrt wurde und ich nun komplett neue Zugangsdaten und TANs etc bekommen würde. So weit so gut, immerhin hat die Bank damit wohl schlimmeres verhindert.
Natürlich war ich daraufhin alarmiert und zugegebenermaßen auch etwas schockiert.. schließlich hatte ich schon immer Avira Antivir installiert, stets aktuell gehalten, regelmäßig gescannt und es wurde nie etwas gefunden. Es war mir auch sonst eigentlich nie ein seltsames Verhalten meines Systems aufgefallen.
Ich habe dann also Antivir deinstalliert und stattdessen erst einmal AVG free und die freie Version der ZoneAlarm Firewall installiert. Nach der Aktualisierung von AVG brachte der erste Scan gleich eine ganze Reihe an Ergebnissen die ich alle bereinigen ließ.
Jetzt muss man dazu sagen, dass ich mich mit dem Thema eigentlich überhaupt nicht richtig auskenne und mich deswegen erstmal darauf verlassen habe dass mein Programm das schon alles richtig erkennt und macht. Mir ist dann jetzt allerdings bei den letzten beiden Scans aufgefallen dass es immer noch eine Infektion gibt, die aber offensichtlich nicht bereinigt werden kann. AVG macht diese Infektion in der Datei c:\windows\system32\userinit.exe aus und nennt sie "Trojaner: Generic 18.BESH". Ich habe dann nochmal die Logdateien durchgesehen und da ist mir erst aufgefallen dass schon beim ersten Scan diese Datei als infiziert erkannt wurde, da allerdings noch mit "Trojaner: Crypt.XRH" benannt wurde. In dem Log steht jetzt auch drin, dass es eine Datei auf der Whitelist ist, die nicht gelöscht werden kann, weil wichtige Systemdatei. Fragt mich jetzt bitte nicht, warum ich das nicht direkt bemerkt habe und versucht hab was dagegen zu unternehmen. Nennt mich von mir aus Idioten, aber es ist mir tatsächlich erst jetzt nach ein paar Wochen aufgefallen. Allerdings habe ich beim durchschauen der Logs auch festgestellt, dass genannte Datei beim ersten Scan (das war am 15.07.) gefunden und als infiziert gemeldet wurde, aber nicht bereinigt werden konnte, jedoch dann im gesamten Zeitraum vom 17.07. bis 30.07. nicht mehr in den Logs auftaucht (wohl aber andere Infektionen die aber immer bereinigt wurden) und dann ab dem 31.07 wieder jedes mal erkannt und als nicht bereinigbar angezeigt wird. Es war ab da an aber auch immer der einzige Fund.

So viel zur "Vorgeschichte". Gestern habe ich dann im Internet gesucht ob es den gleichen Fall wie meinen schon bei anderen gibt und was man dagegen machen kann (so eine wichtige Systemdatei einfach so mit einem externen Program ganz löschen erscheint mir dann doch sehr heikel )
Was genaues zu meinem Problem habe ich aber nicht gefunden.
Aber ich bin auf dieses Forum hier gestossen und habe die Anleitungen gelesen was man machen soll wenn man ein Problem hat. Also CrapCleaner drauf, alles beseitigt usw. Dann Malwarebytes geladen, aktualisiert und Scan ausgeführt. Das Ergebnis sah wie folgt aus:

Unabhängig davon dass dieses Programm offensichtlich wieder mehr gefunden hat als AVG (also malwarebytes > AVG > Antivir? ) stand da ja dass alles in Quarantäne und deleted sei. Auch die zwei Meldungen aus userinit.exe. Da ich aber mittlerweile dann doch tatsächlich etwas misstrauisch geworden bin hab ich nach dem Reboot noch einen Scan ausgeführt (und aufgrund des Ergebnisses dann noch einen und noch einen usw..) Das Ergebnis:

Und genau so sehen auch die beiden weiteren Logs aus die ich noch habe. Die Infizierung wird also auch hier offensichtlich nur erkannt aber obwohl es da steht nicht entfernt.. Wie gesagt auch AVG spuckt jedes mal nur dieses Ergebnis mit der einen infizierten Datei aus. Hier das letzte Ergebnis:

Achja.. ich hab mal überlegt welche Anzeichen es geben könnte die auf eine Trojaner-Aktivität hindeuten und mir ist so erstmal nichts eingefallen bis heute morgen beim öffnen von Mozilla Firefox die Tabs alle nicht geladen werden konnten. Das selbe hatte ich vor ein paar Tagen wie mir dann wieder einfiel schon einmal. Es lag daran dass in den Verbindungseinstellungen "manuelle Proxy-Konfiguration" ausgewählt war, obwohl ich keinen Proxy nutze und auch immer dort den Haken bei "kein Proxy" gesetzt habe. Ich selbst habe den Haken nie umgesetzt und sonst hat auch keiner Zugang zu dem PC. Es erscheint mir also sehr merkwürdig dass sich die Verbindungeinstellungen ohne mein zutun, quasi "wie von selbst" auf einen anderen Wert umstellen.


So.. meine Fragen sind also nach all dem hoffentlich noch verständlichen Geschreibse: Kann ich überhaupt was machen um diese Infektion loszuwerden? Und wenn, was kann ich dann dagegen machen? Oder könnte es einfach ein Fehlalarm sein? Wenn nicht was könnte es bis jetzt schon angerichtet haben? Was müsste ich selbst wenn ich es entfernt kriege danach beachten? Wo kann ich mir sowas eigentlich eingefangen haben?
Und was mir eigentlich am wichtigsten ist: Habt ihr Tipps die auch ein fachferner Depp wie ich umsetzen kann die mein System gegen sowas in Zukunft schützen? So dass ich nicht mehr unbedingt darauf angewiesen bin dass ein Program erst im Nachhinein erkennt dass ich ne Infektion hab, wenn es eventuell schon zu spät ist.

Danke schon mal für die Hilfe! Die Ergebnisse von RSIT kann ich gerne auch noch posten, wenn Bedarf.