Hallo Forum,

vor kurzem hat mein Avira Antivirus angeschlagen und folgende Datei gefunden.

C:\Users\Admin\AppData\Roaming\Heafe\osxo.exe mit der Meldung auf "TR/PSW.Zbot.605"


Enfernen wollte er ihn erst nicht, hat es aber komischerweise beim zweiten Durchlauf geschafft, ihn in Quarantäne zu schieben. Mittlerweile läuft AntiVirs ohne Beanstandungen durch. Ad Aware findet auch nichts. Im Avira Forum hat man mir gleich geraten, mein System neu aufzusetzen. Das würde ich aber nur sehr ungerne machen, sprich nur, wenn es wirklich nötig ist. Deshalb bitte ich euch um eine zweite Meinung.

Hier die ursprüngliche Antivirus Meldung

Code: Alles auswählenAufklappen

ATTFilter

 
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 15. Februar 2012 22:55

Es wird nach 3465832 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 x64
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : Admin
Computername : FATMAN4

Versionsinformationen:
BUILD.DAT : 10.2.0.707 Bytes 25.01.2012 12:53:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 01.07.2011 17:09:31
AVSCAN.DLL : 10.0.5.0 57192 Bytes 01.07.2011 17:09:31
LUKE.DLL : 10.3.0.5 45416 Bytes 01.07.2011 17:09:31
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 01.07.2011 17:09:32
AVREG.DLL : 10.3.0.9 88833 Bytes 17.07.2011 13:13:48
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 17:03:13
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 11:49:57
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 16:28:46
VBASE004.VDF : 7.11.21.239 2048 Bytes 01.02.2012 16:28:58
VBASE005.VDF : 7.11.21.240 2048 Bytes 01.02.2012 16:28:59
VBASE006.VDF : 7.11.21.241 2048 Bytes 01.02.2012 16:28:59
VBASE007.VDF : 7.11.21.242 2048 Bytes 01.02.2012 16:28:59
VBASE008.VDF : 7.11.21.243 2048 Bytes 01.02.2012 16:28:59
VBASE009.VDF : 7.11.21.244 2048 Bytes 01.02.2012 16:28:59
VBASE010.VDF : 7.11.21.245 2048 Bytes 01.02.2012 16:28:59
VBASE011.VDF : 7.11.21.246 2048 Bytes 01.02.2012 16:29:01
VBASE012.VDF : 7.11.21.247 2048 Bytes 01.02.2012 16:29:03
VBASE013.VDF : 7.11.22.33 1486848 Bytes 03.02.2012 16:29:58
VBASE014.VDF : 7.11.22.56 687616 Bytes 03.02.2012 16:30:30
VBASE015.VDF : 7.11.22.92 178176 Bytes 06.02.2012 08:39:44
VBASE016.VDF : 7.11.22.154 144896 Bytes 08.02.2012 08:39:51
VBASE017.VDF : 7.11.22.220 183296 Bytes 13.02.2012 21:16:04
VBASE018.VDF : 7.11.23.34 202752 Bytes 15.02.2012 21:16:05
VBASE019.VDF : 7.11.23.35 2048 Bytes 15.02.2012 21:16:05
VBASE020.VDF : 7.11.23.36 2048 Bytes 15.02.2012 21:16:05
VBASE021.VDF : 7.11.23.37 2048 Bytes 15.02.2012 21:16:05
VBASE022.VDF : 7.11.23.38 2048 Bytes 15.02.2012 21:16:05
VBASE023.VDF : 7.11.23.39 2048 Bytes 15.02.2012 21:16:05
VBASE024.VDF : 7.11.23.40 2048 Bytes 15.02.2012 21:16:05
VBASE025.VDF : 7.11.23.41 2048 Bytes 15.02.2012 21:16:05
VBASE026.VDF : 7.11.23.42 2048 Bytes 15.02.2012 21:16:05
VBASE027.VDF : 7.11.23.43 2048 Bytes 15.02.2012 21:16:05
VBASE028.VDF : 7.11.23.44 2048 Bytes 15.02.2012 21:16:05
VBASE029.VDF : 7.11.23.45 2048 Bytes 15.02.2012 21:16:06
VBASE030.VDF : 7.11.23.46 2048 Bytes 15.02.2012 21:16:06
VBASE031.VDF : 7.11.23.56 24064 Bytes 15.02.2012 21:16:06
Engineversion : 8.2.10.2
AEVDF.DLL : 8.1.2.2 106868 Bytes 26.10.2011 06:42:08
AESCRIPT.DLL : 8.1.4.5 442745 Bytes 10.02.2012 08:41:37
AESCN.DLL : 8.1.8.2 131444 Bytes 29.01.2012 18:29:51
AESBX.DLL : 8.2.4.5 434549 Bytes 01.12.2011 20:30:23
AERDL.DLL : 8.1.9.15 639348 Bytes 10.09.2011 13:16:52
AEPACK.DLL : 8.2.16.3 799094 Bytes 10.02.2012 08:41:27
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 30.12.2011 16:43:58
AEHEUR.DLL : 8.1.3.27 4391285 Bytes 10.02.2012 08:41:16
AEHELP.DLL : 8.1.19.0 254327 Bytes 26.01.2012 20:36:08
AEGEN.DLL : 8.1.5.21 409971 Bytes 05.02.2012 16:30:37
AEEXP.DLL : 8.1.0.20 70004 Bytes 15.02.2012 21:16:06
AEEMU.DLL : 8.1.3.0 393589 Bytes 13.12.2010 07:39:10
AECORE.DLL : 8.1.25.4 201079 Bytes 15.02.2012 21:16:06
AEBB.DLL : 8.1.1.0 53618 Bytes 13.12.2010 07:39:10
AVWINLL.DLL : 10.0.0.0 19304 Bytes 13.12.2010 07:39:20
AVPREF.DLL : 10.0.3.2 44904 Bytes 01.07.2011 17:09:31
AVREP.DLL : 10.0.0.10 174120 Bytes 17.05.2011 19:20:27
AVARKT.DLL : 10.0.26.1 255336 Bytes 01.07.2011 17:09:31
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 01.07.2011 17:09:31
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17.06.2010 13:27:02
AVSMTP.DLL : 10.0.0.17 63848 Bytes 13.12.2010 07:39:20
NETNT.DLL : 10.0.0.0 11624 Bytes 17.06.2010 13:27:01
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 01.07.2011 17:09:31
RCTEXT.DLL : 10.0.64.0 98664 Bytes 01.07.2011 17:09:31

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: ShlExt
Konfigurationsdatei...................: C:\Users\Admin\AppData\Local\Temp\1be90a04.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Mittwoch, 15. Februar 2012 22:55

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\Admin\AppData\Roaming\Heafe\osxo.exe'
C:\Users\Admin\AppData\Roaming\Heafe\osxo.exe
[FUND] Ist das Trojanische Pferd TR/PSW.Zbot.605

Beginne mit der Desinfektion:
C:\Users\Admin\AppData\Roaming\Heafe\osxo.exe
[FUND] Ist das Trojanische Pferd TR/PSW.Zbot.605
[WARNUNG] Der Registrierungseintrag <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{592FAEE0-FA19-68B3-11C0-A8DBF6380D89}> konnte nicht repariert werden.
[HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
[HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2536508807-2297835802-4044230041-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{592FAEE0-FA19-68B3-11C0-A8DBF6380D89}> wurde erfolgreich repariert.
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[WARNUNG] Der Registrierungseintrag <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{592FAEE0-FA19-68B3-11C0-A8DBF6380D89}> konnte nicht repariert werden.
[HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
[WARNUNG] Die Datei konnte nicht zum Löschen nach dem Neustart markiert werden. Mögliche Ursache: Zugriff verweigert

[HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
         

Hier die Datei von Malwarebytes:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.17.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Admin :: FATMAN4 [Administrator]

Schutz: Deaktiviert

17.02.2012 19:27:23
mbam-log-2012-02-17 (19-27-23).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 497909
Laufzeit: 1 Stunde(n), 4 Minute(n), 11 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Und hier von ESET

Code: Alles auswählenAufklappen

ATTFilter

 ESETSmartInstaller@High as downloader log:
Can not open internetESETSmartInstaller@High as downloader log:
Can not open internetesets_scanner_update returned -1 esets_gle=12
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=28b9dfbfced97c43a47c88c3304c1303
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-02-16 09:55:01
# local_time=2012-02-16 10:55:01 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1797 16775165 100 94 84793 65958672 77670 0
# compatibility_mode=5893 16776573 100 94 85842 81051701 0 0
# compatibility_mode=8192 67108863 100 0 3820 3820 0 0
# scanned=295215
# found=1
# cleaned=0
# scan_time=7450
C:\Users\Admin\AppData\Local\Temp\NERO13346\Toolbar.exe	Win32/Toolbar.AskSBar application (unable to clean)	00000000000000000000000000000000	I
         

Würde mich sehr freuen, wenn ihr mal drauf schaut.

Vielen Dank!

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.