Trojaner TR/Spy.ZBot.bque in c:\windows\system32\memmvsetup.exe

jhFriese

Hallo,

es geht um einen PC mit Windows XP Home SP3.

Seit ca. 3 Wochen befindet sich ein Trojaner im Systemverzeichnis c:\windows\system32, der
öfter mal seinen Dateinamen und die Trojanerbezeichnung wechselt.
(siehe Antivir-Scan AVSCAN-20110619-162845-A95F91B7.LOG im Anhang)

Die aktuelle Dateiname ist memmvsetup.exe (Trojaner TR/Spy.ZBot.bque).
Der vorherige Dateiname war memymem.exe (Trojaner TR/Kazy.25272).

Diese Dateien ließen sich nicht reparieren (umbenennen, löschen, in Quarantäne verschieben), da Windows sich dann nicht mehr starten läßt.

Als Vorsichtsmaßnahme hatte ich diese Dateien mit einer Rettungs-CD gesichert (mit Windows
ließen sich die Dateien nicht kopieren oder umbenennen), so dass sich Windows wiederherstellen ließ.
Ich habe den PC sofort vom Netz genommen.
Alle Anwenderdaten sind gesichert.
Ich habe dieses Problem schon im Avira-Support-Forrum vorgestellt und dort als Lösung vorgeschlagen bekommen, alles neu zu installieren. Diese Lösung möchte ich unbedingt vermeiden, da auf dem PC eine SW_Konfiguration ist, die sich nur schwer wiederherstellen läßt. Da dieses Thema im Avira Support Forum aus meiner Sicht beendet ist, hoffe ich, dass dieser Beitrag nicht unter Crosspostng fällt und ihr mir eventuell weiterhelfen könnt.

Ich habe die von Euch angegebenen Scanner Defogger, OTL und GMER angewendet und die Protokolle im Dateianhang mitgeschickt.
Bin mir allerdings nicht sicher, ob das Programm defogger korrekt gelaufen ist.

Ich bedanke mich schon mal im voraus für Eure Bemühungen und bin gespannt darauf, was ihr vorschlagt.

jhFriese