Cycbot.B Trojaner / csrss.exe gemeldet, entfernt. Formatieren nötig?

SteGri

Hallo zusammen.

Windows Defender und AntiVir hatten bei mir einen Cycbot.B Trojaner gemeldet. Die gemeldeten Dateien habe ich löschen lassen, den gesamten TEMP-Ordner, in dem sie sich befanden, ebenso und mit dem ERASER alles vernichtet. Im Temp-Ordner war eine Datei namens csrss.exe, die sich zunächst nicht löschen ließ ("wird von einem anderen Programm verwendet"), welche nach einem Neustart aber doch gelöscht und ERASEd werden konnte.

Bei meinen Webbrowsern (Firefox und IE) waren auf einmal Proxy-Server-Einstellungen mit einer .gov.uk Adresse aktiv (ich hatte vorher keine Proxies), womit allerdings keine Internetverbindung mehr zustande kam (deshalb hab ichs gemerkt und den Proxy entfernt). Danach habe ich den Defender und AntiVir eine Komplett-Prüfung machen lassen sowie den Online-Virus-Check bei security.symantec.com. Es wurde nichts mehr gemeldet.

Schließlich habe ich noch Malwarebytes' Anti-Malware laufen lassen. Da wurden vier Dateien gemeldet. Die habe ich löschen lassen. Siehe Report unten.

Muss ich trotzdem das System neu formatieren weil der Trojaner sich schon verbreitet hat und die Virus-Programme das nur nicht erkennen?

Außerdem: es heißt der Trojaner stiehlt Passwörter. Wie geht das? Ich habe bei den Web-Browsern keine Passwörter gespeichert und meine Emails rufe ich mit einem Thunderbird-Programm über einen USB-Stick ab, der aber nicht im Gerät steckte. Oder werden die Passwörter gestohlen sobald ich bspw. beim Online-Banking eins in den Browser eingebe? Ich bin in der Materie leider nicht sehr bewandert.

Herzlichen Dank.
SteGri

Windows Vista Home Premium Service Pack 2
AppData\Local\Temp\1A6C.exe
AppData\Local\Temp\BB72.exe
'TR/Crypt.XPACK.Gen'


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5755

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.7930.16406

14.02.2011 01:50:52
mbam-log-2011-02-14 (01-50-52).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 158617
Laufzeit: 4 Minute(n), 0 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
c:\syscheckrt\syscheckrt.exe (Spyware.Passwords.XGen) -> 3396 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Value: Load -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Value: Shell -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\syscheckrt\syscheckrt.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.