Hi,
durch o.g. Sicherheitslücke bzw. Verseuchung war ein Angriff auf mein Onlinebanking möglich. Habe mit Avira und Malwarebytes gearbeitet. Was ist weiter zu tun, um den PC zu desinfizieren? Ist eine Systemerneuerung notwendig? Über einen guten Rat würde ich mich sehr freuen!!!

Folgende Logs:
1.
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 31. Mai 2011 17:35

Es wird nach 2698629 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : CHRISPC

Versionsinformationen:
BUILD.DAT : 10.0.0.648 31823 Bytes 01.04.2011 18:23:00
AVSCAN.EXE : 10.0.4.2 442024 Bytes 06.05.2011 17:03:38
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16
LUKE.DLL : 10.0.3.2 104296 Bytes 15.12.2010 11:59:02
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 11:59:01
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 08:09:28
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 14:51:46
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 13:32:19
VBASE005.VDF : 7.11.8.179 2048 Bytes 31.05.2011 13:32:20
VBASE006.VDF : 7.11.8.180 2048 Bytes 31.05.2011 13:32:20
VBASE007.VDF : 7.11.8.181 2048 Bytes 31.05.2011 13:32:21
VBASE008.VDF : 7.11.8.182 2048 Bytes 31.05.2011 13:32:21
VBASE009.VDF : 7.11.8.183 2048 Bytes 31.05.2011 13:32:21
VBASE010.VDF : 7.11.8.184 2048 Bytes 31.05.2011 13:32:21
VBASE011.VDF : 7.11.8.185 2048 Bytes 31.05.2011 13:32:21
VBASE012.VDF : 7.11.8.186 2048 Bytes 31.05.2011 13:32:21
VBASE013.VDF : 7.11.8.187 2048 Bytes 31.05.2011 13:32:21
VBASE014.VDF : 7.11.8.188 2048 Bytes 31.05.2011 13:32:22
VBASE015.VDF : 7.11.8.189 2048 Bytes 31.05.2011 13:32:22
VBASE016.VDF : 7.11.8.190 2048 Bytes 31.05.2011 13:32:22
VBASE017.VDF : 7.11.8.191 2048 Bytes 31.05.2011 13:32:22
VBASE018.VDF : 7.11.8.192 2048 Bytes 31.05.2011 13:32:22
VBASE019.VDF : 7.11.8.193 2048 Bytes 31.05.2011 13:32:22
VBASE020.VDF : 7.11.8.194 2048 Bytes 31.05.2011 13:32:22
VBASE021.VDF : 7.11.8.195 2048 Bytes 31.05.2011 13:32:22
VBASE022.VDF : 7.11.8.196 2048 Bytes 31.05.2011 13:32:22
VBASE023.VDF : 7.11.8.197 2048 Bytes 31.05.2011 13:32:22
VBASE024.VDF : 7.11.8.198 2048 Bytes 31.05.2011 13:32:22
VBASE025.VDF : 7.11.8.199 2048 Bytes 31.05.2011 13:32:22
VBASE026.VDF : 7.11.8.200 2048 Bytes 31.05.2011 13:32:22
VBASE027.VDF : 7.11.8.201 2048 Bytes 31.05.2011 13:32:22
VBASE028.VDF : 7.11.8.202 2048 Bytes 31.05.2011 13:32:22
VBASE029.VDF : 7.11.8.203 2048 Bytes 31.05.2011 13:32:22
VBASE030.VDF : 7.11.8.204 2048 Bytes 31.05.2011 13:32:22
VBASE031.VDF : 7.11.8.207 20480 Bytes 31.05.2011 13:32:23
Engineversion : 8.2.5.6
AEVDF.DLL : 8.1.2.1 106868 Bytes 09.08.2010 11:35:33
AESCRIPT.DLL : 8.1.3.65 1606010 Bytes 27.05.2011 07:40:06
AESCN.DLL : 8.1.7.2 127349 Bytes 15.12.2010 11:59:01
AESBX.DLL : 8.2.1.33 323956 Bytes 27.05.2011 07:40:06
AERDL.DLL : 8.1.9.9 639347 Bytes 04.04.2011 20:35:04
AEPACK.DLL : 8.2.6.8 557430 Bytes 22.05.2011 20:17:39
AEOFFICE.DLL : 8.1.1.23 205178 Bytes 27.05.2011 07:40:04
AEHEUR.DLL : 8.1.2.122 3494263 Bytes 27.05.2011 07:40:03
AEHELP.DLL : 8.1.17.2 246135 Bytes 22.05.2011 20:17:35
AEGEN.DLL : 8.1.5.6 401780 Bytes 22.05.2011 20:17:35
AEEMU.DLL : 8.1.3.0 393589 Bytes 15.12.2010 11:59:01
AECORE.DLL : 8.1.21.1 196983 Bytes 27.05.2011 07:39:54
AEBB.DLL : 8.1.1.0 53618 Bytes 11.05.2010 22:52:10
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.10 174120 Bytes 22.05.2011 20:17:41
AVREG.DLL : 10.0.3.2 53096 Bytes 15.12.2010 11:59:01
AVSCPLR.DLL : 10.0.4.2 84840 Bytes 06.05.2011 17:03:38
AVARKT.DLL : 10.0.22.6 231784 Bytes 15.12.2010 11:59:01
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 15.12.2010 11:59:01

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_e8d327f5\guard_slideup.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch

Beginn des Suchlaufs: Dienstag, 31. Mai 2011 17:35

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NOTEPAD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINWORD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OUTLOOK.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpswp_clipbook.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqgpc01.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqbam08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqSTE08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fxssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'STacSV.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'snmp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CDAC11BA.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ScannerFinder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QTTask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWuSchd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DevDetect.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AGRSMMSG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sttray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MsMpEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\System Volume Information\_restore{90912BF0-FF3B-4D5B-8A45-C3F8A9E32B2A}\RP257\A0023107.exe'
C:\System Volume Information\_restore{90912BF0-FF3B-4D5B-8A45-C3F8A9E32B2A}\RP257\A0023107.exe
[FUND] Ist das Trojanische Pferd TR/Agent.ar.55
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d2dab94.qua' verschoben!


Ende des Suchlaufs: Dienstag, 31. Mai 2011 17:35
Benötigte Zeit: 00:13 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
60 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
59 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.


2.
alwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6732

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

31.05.2011 17:57:40
mbam-log-2011-05-31 (17-57-33).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 255960
Laufzeit: 38 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 2
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (userinit.exe) -> No action taken.

Infizierte Verzeichnisse:
c:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
c:\recycle.bin (Trojan.Spyeyes) -> No action taken.

Infizierte Dateien:
c:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
c:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
c:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> No action taken.
c:\recycle.bin\config.bin (Trojan.Spyeyes) -> No action taken.

dein pc muss formatiert werden, da wir nicht für eine reinigung garantieren können, dies ist logischerweise nötig um ein sicheres system zu erhalten, ich erkläre dir wie du das system absicherst und neu aufsetzt falls erwünscht.
danach sind alle passwörter zu endern.

Hi markusg,
vielen Dank für die prompte Antwort. Onlinebankingzugang habe ich schon gesperrt, weitere Dienste nehme ich vor Änderung der passwörter nicht mehr in Anspruch. Wäre super wenn Du mir bei Formatierung und Absicherung helfen könntest.

deaktiviere erst mal autorun
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
sichere jetzt alle wichtigen daten. meld dich wenn fertig

werde es so machen und melde mich später....

Hi markusg,
noch online? meine daten sind jetzt gesichert.

weist du wie das mit dem formatieren geht? falls nein nutzt du ne windows cd, recovery cd oder recovery partition?

ich habe eine original recovery cd (windows xp, he sp2)

Hi markusg,
erstmal vielen Dank für heute. Ich kann erst morgen abend weitermachen. Gibt es bei der Formatierung via Recovery CD etwas wichtiges zu beachten?

nein eig nicht. cd einlegen pc neustarten, pc sollte von cd starten, dann formatieren, windows neu instalieren und dann hiermit weiter:

http://www.trojaner-board.de/96344-a...-rechners.html
hier alles unter xp /und allgemeines abarbeiten!
außerdem den abschnitt
Maßnahmen für ALLE Windows-Versionen abarbeiten.

als antivirus kannst du zb avast nutzen. pdf zur anleitung gibts hier:
http://www.trojaner-board.de/127580-...igurieren.html
denke die haben das beste gesammt angebot für kostenlose produkte.
als browser opera.
falls er dir nicht zusagt, passe ich die anleitung für nen andern browser an
um das surfen sicherer zu machen, würde ich Sandboxie empfehlen.
Download:
Sandbox*Einstellungen |

(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.

eine sandbox ist eine isulierte umgebung aus der kein programm raus kommt.

um die volle wirkung zu erreichen muss alles umgesetzt und eingehalten werden.
alle benötigten verknüpfungen fürs eingeschrenkte konto nach
c:\benutzer\Default\desktop bzw \startmenü
kopieren. so sind sie für alle sichtbar
wenn du fragen hast, probleme, oder erfolgreich warst, melde dich bitte.
wenn du online banking betreibst, lese den passenden abschnitt, die card reader gibts verbilligt bei den banken. ist ein sehr sicheres verfahren.

Hi Markusg,
vielen Dank für Deine Hilfe. Werde alles jetzt Schritt für Schritt umsetzen. Super Service!!!