SUISA Trojaner auf W7

ruedistark

Hallo heute Morgen hat der SUISA Trojaner meinen Laptop geblockt. Nach eurer Anleitung (diese sei hiermit herzlich verdankt) habe ich das System nach anfänglichen Schwierigkeiten im abgesicherten Modus gestartet.
Malwarebytes Anti-Malware habe ich auf einem andern Gerät heruntergeladen und via USB Stick auf dem Laptop installiert.
Malwarebytes Anti-Malware konnte nach dem Start nicht aktualisiert werden wegen abgesichertem Modus und gekaptem Web-Zugang.
Nach Bestätigung der entsprechenden Meldung der Quickscan einwandfrei durchgefürt werden. Die entsprechenden Funde habe ich entfernen lassen, das Logfile (mbam-log-2012-08-13 (11-05-02).txt) folgt im Anschluss.
Nach getaner Arbeit habe ich den Rechner neu gestartet, mit dem Netz verbunden und Malwarebytes Anti-Malware neu gestartet. Nach Aktualisierung der Datenbank habe ich einen Fullscan durchlaufen lassen und die neuen Funde entfernt (ausser zwei win-zip Downloaddateien). Auch dieses Logfile (mbam-log-2012-08-13 (12-10-12).txt) folgt im Anschluss.
Wie gehts nun weiter?
Herzlichen Dank schon mal für eure Bemühungen.
Gruss Ruedi Stark

Log des Quickscan: mbam-log-2012-08-13 (11-05-02).txt

Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.03.05

Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus)
Internet Explorer 9.0.8112.16421
BTA_AW- :: BTA_AW--PC [Administrator]

Schutz: Deaktiviert

13.08.2012 11:05:02
mbam-log-2012-08-13 (11-05-02).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 238088
Laufzeit: 3 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 4
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|4067C6A15E2491 (Trojan.Agent.RNSGen) -> Daten: C:\ProgramData\4067C6A15E2491\4067C6A15E2491.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|4067C6A15E42CB (Trojan.Agent.RNSGen) -> Daten: C:\ProgramData\4067C6A15E42CB\4067C6A15E42CB.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|4067C6A15E45E7 (Trojan.Agent.RNSGen) -> Daten: C:\ProgramData\4067C6A15E45E7\4067C6A15E45E7.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|4067C6A15E536E (Trojan.Agent.RNSGen) -> Daten: C:\ProgramData\4067C6A15E536E\4067C6A15E536E.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 7
C:\Users\BTA_AW-\AppData\Local\Temp\is-EUCJD.tmp\InstallManager.exe (Affiliate.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\BTA_AW-\AppData\Local\Temp\is-HT11P.tmp\InstallManager.exe (Affiliate.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\BTA_AW-\AppData\Roaming\twain.dll (Trojan.MSIL) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\4067C6A15E2491\4067C6A15E2491.exe (Trojan.Agent.RNSGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\4067C6A15E42CB\4067C6A15E42CB.exe (Trojan.Agent.RNSGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\4067C6A15E45E7\4067C6A15E45E7.exe (Trojan.Agent.RNSGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\4067C6A15E536E\4067C6A15E536E.exe (Trojan.Agent.RNSGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Log des Fullscan: mbam-log-2012-08-13 (12-10-12).txt

Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.13.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
BTA_AW- :: BTA_AW--PC [Administrator]

Schutz: Aktiviert

13.08.2012 12:10:12
mbam-log-2012-08-13 (12-10-12).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|G:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 558729
Laufzeit: 1 Stunde(n), 21 Minute(n), 26 Sekunde(n)

Infizierte Speicherprozesse: 1
C:\Users\BTA_AW-\AppData\Local\{DAB1D725-E5DD-1800-8E4B-AD636D403A5C}\syshost.exe (Trojan.Phex.THAGen6) -> 3332 -> Löschen bei Neustart.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|syshost32 (Trojan.Phex.THAGen6) -> Daten: C:\Users\BTA_AW-\AppData\Local\{DAB1D725-E5DD-1800-8E4B-AD636D403A5C}\syshost.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
G:\Downloads\SoftonicDownloader_fuer_7-zip.exe (PUP.OfferBundler.ST) -> Keine Aktion durchgeführt.
G:\Downloads\SoftonicDownloader_fuer_winzip.exe (PUP.OfferBundler.ST) -> Keine Aktion durchgeführt.
C:\Users\BTA_AW-\AppData\Local\{DAB1D725-E5DD-1800-8E4B-AD636D403A5C}\syshost.exe (Trojan.Phex.THAGen6) -> Löschen bei Neustart.

(Ende)