Guten Abend,

war bisher nur zu lesen hier und brauche nun dringend Hilfe:

Die Situation: Über eine FritzBox sind z.Zt. ein Rechner (per Lan) und ein Laptop (WLAN) angeschlossen. Beides wird lediglich zum Privatgebrauch (Internet, Textverarbeitung und Dateiverwaltung) benutzt. Hinsichtlich sonstiger HAndhabung sind wir absolute Laien (daher z.B. AntiVir als kostenpflichtige Version). Onlinebanking machen wir ausschließlich über den "festen" Rechner.

Nun hat AntiVir bei dem Laptop die folgenden trojanischen Pferde gefunden:
1. TR/Kazy.2369.7
2. TR/Banker/MultiBanker.acv
3. TR/Banker/MultiBanker.ack

So wie ich hier gelesen habe ist es scheinbar mit hunderprozentiger Sicherheit nicht möglich diese wieder vom Laptop zu entfernen (ohne Neubespielung).

Würde daher gerne folgendes machen und benötige Unterstützung:
1. Paßwörter ändern mittles des Rechners: Ist es hierbei möglich, dass der Rechner ebenfalls infiziert ist (ggf. über den Router) ? Ein Suchlauf mit AntiVir sowie GMER ergibt hier für mich kein sichtbares Ergebnis.
2. Sichern der Dateien (Fotos und Videos) des Laptops auf eine externe Festplatte. Besteht hier die Möglichkeit das die Dateilen bereits infiziert sind
und ich somit die Trojaner mit auf die externe Festplatte nehme? Es handelt sich zu 95% um eigen erstellte Fotos und kurze Videos (hauptsächlich des Nachwuches).
3. Formatierung und Neubespielung des Laptops: Was muss ich hier beachten? Eine Backup CD oder ähnliches habe ich leider nicht mehr da ich wie gesagt keine Ahnung habe und mir jemannd anderes den (gebrauchten) Laptop eingerichtet hat. Wie verhält es sich mit den Treibern? Im Zeifel gebe ich den Laptop nach Formatierung wieder an den Verkäufer zwecks Neueinrichtung.

Mir geht es somit in erster Linie darum herauszufinden ob der Rechner ebenfalls infiziert ist und dann um die oben gennanten Punkte. Für andere Vorschläge bin ich jedoch dankbar und offen.

Hier mal die Reportdatei des Rechners hinsichtlich AntiVir:


Avira AntiVir Premium
Erstellungsdatum der Reportdatei: Samstag, 6. November 2010 00:43

Es wird nach 3017056 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : XP


Versionsinformationen:
BUILD.DAT : 10.0.0.624 35933 Bytes 09.08.2010 10:20:00
AVSCAN.EXE : 10.0.3.1 434344 Bytes 03.11.2010 20:39:54
AVSCAN.DLL : 10.0.3.0 56168 Bytes 13.09.2010 20:22:34
LUKE.DLL : 10.0.2.3 104296 Bytes 13.09.2010 20:22:49
LUKERES.DLL : 10.0.0.0 13672 Bytes 13.09.2010 20:22:49
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:41:08
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 19:41:08
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 19:25:33
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 19:33:31
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 18:53:17
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 18:24:45
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 19:55:30
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 08:54:11
VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 20:22:26
VBASE009.VDF : 7.10.13.80 2265600 Bytes 02.11.2010 20:39:54
VBASE010.VDF : 7.10.13.81 2048 Bytes 02.11.2010 20:39:54
VBASE011.VDF : 7.10.13.82 2048 Bytes 02.11.2010 20:39:54
VBASE012.VDF : 7.10.13.83 2048 Bytes 02.11.2010 20:39:54
VBASE013.VDF : 7.10.13.116 147968 Bytes 04.11.2010 13:44:05
VBASE014.VDF : 7.10.13.117 2048 Bytes 04.11.2010 13:44:05
VBASE015.VDF : 7.10.13.118 2048 Bytes 04.11.2010 13:44:06
VBASE016.VDF : 7.10.13.119 2048 Bytes 04.11.2010 13:44:06
VBASE017.VDF : 7.10.13.120 2048 Bytes 04.11.2010 13:44:06
VBASE018.VDF : 7.10.13.121 2048 Bytes 04.11.2010 13:44:06
VBASE019.VDF : 7.10.13.122 2048 Bytes 04.11.2010 13:44:06
VBASE020.VDF : 7.10.13.123 2048 Bytes 04.11.2010 13:44:06
VBASE021.VDF : 7.10.13.124 2048 Bytes 04.11.2010 13:44:06
VBASE022.VDF : 7.10.13.125 2048 Bytes 04.11.2010 13:44:06
VBASE023.VDF : 7.10.13.126 2048 Bytes 04.11.2010 13:44:06
VBASE024.VDF : 7.10.13.127 2048 Bytes 04.11.2010 13:44:06
VBASE025.VDF : 7.10.13.128 2048 Bytes 04.11.2010 13:44:06
VBASE026.VDF : 7.10.13.129 2048 Bytes 04.11.2010 13:44:06
VBASE027.VDF : 7.10.13.130 2048 Bytes 04.11.2010 13:44:06
VBASE028.VDF : 7.10.13.131 2048 Bytes 04.11.2010 13:44:06
VBASE029.VDF : 7.10.13.132 2048 Bytes 04.11.2010 13:44:06
VBASE030.VDF : 7.10.13.133 2048 Bytes 04.11.2010 13:44:06
VBASE031.VDF : 7.10.13.142 79872 Bytes 05.11.2010 13:44:06
Engineversion : 8.2.4.92
AEVDF.DLL : 8.1.2.1 106868 Bytes 08.08.2010 18:00:03
AESCRIPT.DLL : 8.1.3.46 1364347 Bytes 03.11.2010 20:39:54
AESCN.DLL : 8.1.6.1 127347 Bytes 13.05.2010 13:14:36
AESBX.DLL : 8.1.3.1 254324 Bytes 26.04.2010 12:26:12
AERDL.DLL : 8.1.9.2 635252 Bytes 23.09.2010 15:46:00
AEPACK.DLL : 8.2.3.11 471416 Bytes 11.10.2010 15:32:19
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 29.07.2010 08:54:15
AEHEUR.DLL : 8.1.2.38 2990455 Bytes 03.11.2010 20:39:54
AEHELP.DLL : 8.1.14.0 246134 Bytes 11.10.2010 15:32:17
AEGEN.DLL : 8.1.3.24 401781 Bytes 03.11.2010 20:39:54
AEEMU.DLL : 8.1.2.0 393588 Bytes 26.04.2010 12:26:11
AECORE.DLL : 8.1.17.0 196982 Bytes 29.09.2010 14:42:46
AEBB.DLL : 8.1.1.0 53618 Bytes 26.04.2010 12:26:11
AVWINLL.DLL : 10.0.0.0 19304 Bytes 13.09.2010 20:22:17
AVPREF.DLL : 10.0.0.0 44904 Bytes 13.09.2010 20:22:34
AVREP.DLL : 10.0.0.8 62209 Bytes 13.09.2010 20:23:02
AVREG.DLL : 10.0.3.2 53096 Bytes 03.11.2010 20:39:54
AVSCPLR.DLL : 10.0.3.1 83816 Bytes 03.11.2010 20:39:54
AVARKT.DLL : 10.0.0.14 227176 Bytes 13.09.2010 20:22:29
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 13.09.2010 20:22:31
SQLITE3.DLL : 3.6.19.0 355688 Bytes 13.09.2010 20:22:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 13.09.2010 20:22:36
NETNT.DLL : 10.0.0.0 11624 Bytes 13.09.2010 20:22:49
RCIMAGE.DLL : 10.0.0.32 2631528 Bytes 13.09.2010 20:22:19
RCTEXT.DLL : 10.0.58.0 98152 Bytes 03.11.2010 20:39:54

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Suche nach Rootkits und aktiver Malware
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\rootkit.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Samstag, 6. November 2010 00:43

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '106' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTFMON.EXE' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '110' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '137' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '163' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '368' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:'


Ende des Suchlaufs: Samstag, 6. November 2010 01:31
Benötigte Zeit: 48:35 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

3087 Verzeichnisse wurden überprüft
322819 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
322819 Dateien ohne Befall
2771 Archive wurden durchsucht
0 Warnungen
0 Hinweise
238112 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden


Gmer Log:


GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2010-11-08 21:17:19
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\0000005f ST380215AS rev.3.AAD
Running: w11cbgqv.exe; Driver: C:\DOKUME~1\XP\LOKALE~1\Temp\awroafow.sys


---- System - GMER 1.0.15 ----

SSDT F7B60AC6 ZwCreateKey
SSDT F7B60ABC ZwCreateThread
SSDT F7B60ACB ZwDeleteKey
SSDT F7B60AD5 ZwDeleteValueKey
SSDT F7B60AF3 ZwLoadDriver
SSDT F7B60ADA ZwLoadKey
SSDT F7B60AA8 ZwOpenProcess
SSDT F7B60AAD ZwOpenThread
SSDT F7B60AE4 ZwReplaceKey
SSDT F7B60ADF ZwRestoreKey
SSDT F7B60AF8 ZwSetSystemInformation
SSDT F7B60AD0 ZwSetValueKey
SSDT F7B60AB7 ZwTerminateProcess
SSDT F7B60AB2 ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF6C05380, 0x2468FD, 0xE8000020]

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----


Kann man hiermit etwas anfangen oder was soll ich als nächstes machen?
Vielen Dank im voraus.

Zitat:

Würde daher gerne folgendes machen und benötige Unterstützung:
1. Paßwörter ändern mittles des Rechners: Ist es hierbei möglich, dass der Rechner ebenfalls infiziert ist (ggf. über den Router) ? Ein Suchlauf mit AntiVir sowie GMER ergibt hier für mich kein sichtbares Ergebnis.

Unmöglich ist es nicht (da es keine 100%ige Sicherheit gibt) aber unwahrscheinlich.

Zitat:

2. Sichern der Dateien (Fotos und Videos) des Laptops auf eine externe Festplatte. Besteht hier die Möglichkeit das die Dateilen bereits infiziert sind
und ich somit die Trojaner mit auf die externe Festplatte nehme? Es handelt sich zu 95% um eigen erstellte Fotos und kurze Videos (hauptsächlich des Nachwuches).

Alle nicht ausführbaren Dateien wie zB Videos, eigene Dokumente oder Musik kann man immer problemlos sichern.

Zitat:

3. Formatierung und Neubespielung des Laptops: Was muss ich hier beachten?

Siehe Neuinstallation von Windows