Trojaner - Onlinebanking gesperrt TR/bafi.A.X

elawolol

Hallo,
Seit ein paar Tagen ist mein Onlinebanking gesperrt, weil sich jemand aus Asien auf meinen Account angemeldet habe.
Das selbe bei meineM facebook Account.
Avira hat einige Trojaner gefunden:


Avira Free Antivirus
Erstellungsdatum der Reportdatei: Donnerstag, 12. Januar 2012 18:33

Es wird nach 3065252 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 x64
Windowsversion : (plain) [6.1.7600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : PHILIPP-PC

Versionsinformationen:
BUILD.DAT : 12.0.0.872 41826 Bytes 15.12.2011 16:24:00
AVSCAN.EXE : 12.1.0.18 490448 Bytes 15.12.2011 13:59:39
AVSCAN.DLL : 12.1.0.17 65744 Bytes 15.12.2011 13:59:56
LUKE.DLL : 12.1.0.17 68304 Bytes 15.12.2011 13:59:47
AVSCPLR.DLL : 12.1.0.21 99536 Bytes 15.12.2011 13:59:39
AVREG.DLL : 12.1.0.27 227536 Bytes 15.12.2011 13:59:38
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 23:31:49
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 16:03:27
VBASE003.VDF : 7.11.19.171 2048 Bytes 20.12.2011 16:03:27
VBASE004.VDF : 7.11.19.172 2048 Bytes 20.12.2011 16:03:27
VBASE005.VDF : 7.11.19.173 2048 Bytes 20.12.2011 16:03:27
VBASE006.VDF : 7.11.19.174 2048 Bytes 20.12.2011 16:03:27
VBASE007.VDF : 7.11.19.175 2048 Bytes 20.12.2011 16:03:27
VBASE008.VDF : 7.11.19.176 2048 Bytes 20.12.2011 16:03:27
VBASE009.VDF : 7.11.19.177 2048 Bytes 20.12.2011 16:03:27
VBASE010.VDF : 7.11.19.178 2048 Bytes 20.12.2011 16:03:27
VBASE011.VDF : 7.11.19.179 2048 Bytes 20.12.2011 16:03:27
VBASE012.VDF : 7.11.19.180 2048 Bytes 20.12.2011 16:03:27
VBASE013.VDF : 7.11.19.217 182784 Bytes 22.12.2011 16:03:28
VBASE014.VDF : 7.11.19.255 148480 Bytes 24.12.2011 16:03:28
VBASE015.VDF : 7.11.20.29 164352 Bytes 27.12.2011 16:03:28
VBASE016.VDF : 7.11.20.70 180224 Bytes 29.12.2011 16:03:28
VBASE017.VDF : 7.11.20.102 240640 Bytes 02.01.2012 16:03:28
VBASE018.VDF : 7.11.20.139 164864 Bytes 04.01.2012 16:03:29
VBASE019.VDF : 7.11.20.178 167424 Bytes 06.01.2012 16:03:29
VBASE020.VDF : 7.11.20.207 230400 Bytes 10.01.2012 16:03:29
VBASE021.VDF : 7.11.20.236 150528 Bytes 11.01.2012 16:03:30
VBASE022.VDF : 7.11.20.237 2048 Bytes 11.01.2012 16:03:30
VBASE023.VDF : 7.11.20.238 2048 Bytes 11.01.2012 16:03:30
VBASE024.VDF : 7.11.20.239 2048 Bytes 11.01.2012 16:03:30
VBASE025.VDF : 7.11.20.240 2048 Bytes 11.01.2012 16:03:30
VBASE026.VDF : 7.11.20.241 2048 Bytes 11.01.2012 16:03:30
VBASE027.VDF : 7.11.20.242 2048 Bytes 11.01.2012 16:03:30
VBASE028.VDF : 7.11.20.243 2048 Bytes 11.01.2012 16:03:30
VBASE029.VDF : 7.11.20.244 2048 Bytes 11.01.2012 16:03:30
VBASE030.VDF : 7.11.20.245 2048 Bytes 11.01.2012 16:03:31
VBASE031.VDF : 7.11.21.0 77824 Bytes 12.01.2012 16:03:31
Engineversion : 8.2.8.22
AEVDF.DLL : 8.1.2.2 106868 Bytes 15.12.2011 13:59:36
AESCRIPT.DLL : 8.1.3.96 434554 Bytes 12.01.2012 16:03:34
AESCN.DLL : 8.1.7.2 127349 Bytes 14.12.2011 23:31:02
AESBX.DLL : 8.2.4.5 434549 Bytes 15.12.2011 13:59:35
AERDL.DLL : 8.1.9.15 639348 Bytes 14.12.2011 23:31:02
AEPACK.DLL : 8.2.15.1 770423 Bytes 15.12.2011 13:59:35
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 12.01.2012 16:03:34
AEHEUR.DLL : 8.1.3.15 4264310 Bytes 12.01.2012 16:03:34
AEHELP.DLL : 8.1.18.0 254327 Bytes 15.12.2011 13:59:31
AEGEN.DLL : 8.1.5.17 405877 Bytes 15.12.2011 13:59:31
AEEMU.DLL : 8.1.3.0 393589 Bytes 14.12.2011 23:30:58
AECORE.DLL : 8.1.24.3 201079 Bytes 12.01.2012 16:03:31
AEBB.DLL : 8.1.1.0 53618 Bytes 14.12.2011 23:30:58
AVWINLL.DLL : 12.1.0.17 27344 Bytes 15.12.2011 13:59:41
AVPREF.DLL : 12.1.0.17 51920 Bytes 15.12.2011 13:59:38
AVREP.DLL : 12.1.0.17 179408 Bytes 15.12.2011 13:59:38
AVARKT.DLL : 12.1.0.19 208848 Bytes 15.12.2011 13:59:36
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 15.12.2011 13:59:37
SQLITE3.DLL : 3.7.0.0 398288 Bytes 15.12.2011 13:59:50
AVSMTP.DLL : 12.1.0.17 62928 Bytes 15.12.2011 13:59:39
NETNT.DLL : 12.1.0.17 17104 Bytes 15.12.2011 13:59:47
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 15.12.2011 13:59:58
RCTEXT.DLL : 12.1.0.16 98512 Bytes 15.12.2011 13:59:59

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4f0f1795\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Donnerstag, 12. Januar 2012 18:33

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemonu.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BambooCore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'facemoodssrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dropbox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LOLRecorder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'onsuu.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Connectify.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTShellHlp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VMCService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'statuscached.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ConnectifyD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ConnectifyService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TabTip32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvSCPAPISvr.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\Philipp\AppData\Roaming\5064\components\AcroFF064.dll'
C:\Users\Philipp\AppData\Roaming\5064\components\AcroFF064.dll
[0] Archivtyp: RSRC
--> Object
[FUND] Ist das Trojanische Pferd TR/Offend.7066051
--> Object
[FUND] Ist das Trojanische Pferd TR/bafi.A.9
--> Object
[FUND] Ist das Trojanische Pferd TR/bafi.A.8
--> Object
[FUND] Ist das Trojanische Pferd TR/bafi.A.4
--> Object
[FUND] Ist das Trojanische Pferd TR/bafi.A.7
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b92b47f.qua' verschoben!
Beginne mit der Suche in 'C:\Users\Philipp\AppData\Roaming\5064\components\AcroFF0645.dll'
C:\Users\Philipp\AppData\Roaming\5064\components\AcroFF0645.dll
[FUND] Ist das Trojanische Pferd TR/Offend.7066051
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '53059bd8.qua' verschoben!
Beginne mit der Suche in 'C:\Users\Philipp\AppData\Roaming\5064\components\AcroFF0646.dll'
C:\Users\Philipp\AppData\Roaming\5064\components\AcroFF0646.dll
[FUND] Ist das Trojanische Pferd TR/bafi.A.9
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '015ac130.qua' verschoben!
Beginne mit der Suche in 'C:\Users\Philipp\AppData\Roaming\5064\components\AcroFF0647.dll'
C:\Users\Philipp\AppData\Roaming\5064\components\AcroFF0647.dll
[FUND] Ist das Trojanische Pferd TR/bafi.A.8
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '676d8ef2.qua' verschoben!
Beginne mit der Suche in 'C:\Users\Philipp\AppData\Roaming\5064\components\AcroFF0648.dll'
C:\Users\Philipp\AppData\Roaming\5064\components\AcroFF0648.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Banker.Gen2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '22e9a3cc.qua' verschoben!
Beginne mit der Suche in 'C:\Users\Philipp\AppData\Roaming\5064\components\AcroFF0649.dll'
C:\Users\Philipp\AppData\Roaming\5064\components\AcroFF0649.dll
[FUND] Ist das Trojanische Pferd TR/bafi.A.7
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5df291ad.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 12. Januar 2012 18:34
Benötigte Zeit: 00:19 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
674 Dateien wurden geprüft
11 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
6 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
663 Dateien ohne Befall
1 Archive wurden durchsucht
0 Warnungen
6 Hinweise


Log-Dateien:
hxxp://dl.dropbox.com/u/14974351/Extras.Txt


hxxp://dl.dropbox.com/u/14974351/OTL.Txt

Wie gehe ich jetzt am klügsten vor? Am liebsten ohne formatieren zu müssen - mir stehen gerade keine Medien zur datensicherung zur Verfügung.

Grüße
philipp