SPAM Elektroshop Wagner - TR/Spy.Abvier.A und TR/Spy.ZBot.PR

saku

Hallo,

meine Eltern haben sich auf ihrem Laptop über eine gefälschte Rechnungsmail mit zip-Anhang einen (zwei?) Trojaner eingefangen. Leider haben sie den Anhang geöffnet, oder es versucht. So wie ich das verstehe, wurde dabei ein Installationsprogramm gestartet, das wie eines von Adobe (PDF? Flash?) aussieht. Zum Glück hatte mich meine Mutter angerufen und um Rat gefragt. Ich habe sie gebeten, den Rechner erstmal nicht mehr einzuschalten, damit ich mir das ansehen kann.

Die Mail entspricht dieser hier:
http://www.trojaner-board.de/135012-...-648148-a.html

Ich habe sie gespeichert, gezippt und zur Analyse eingeschickt (hxxp://markusg.trojaner-board.de/).

Was ich bisher unternommen habe:
- Boot mit einer alten Knoppicillin-CD > Update der Virendefinitionen erfolgreich, aber die Scanengine war wohl nicht kompatibel und lief nicht richtig.
- Download der Avira-Boot-CD > scheinbar Problem mit der Netzwerkkarte des Laptops, daher kein automatisches Update möglich. Beim manuellen Update war ich nicht erfolgreich. Daher Scan mit der Virendefinition vom 06.05.2013.
Ergebnis:
ALERT: [TR/Agent.qrzd] /media/Devices/sda3/FactoryRecovery/cdrivebackup.wim --> 1 <<< Is the Trojan horse TR/Agent.qrzd [archive scan abort]
Datei wurde umbenannt.
- Normaler Start des Rechners (War vielleicht ein Fehler, aber ich war durch mit den schlechten Boot-CDs) und Update von Avira
- Trennen aller Netzwerkverbindungen
- Erneuter Scan. Ergebnis: TR/Spy.Abvier.A und TR/Spy.ZBot.PR
- Wie hier im Forum empfohlen OTL-Scan durchgeführt. Ergebnisse hängen an.

Habe mich erstmal von der Vorstellung verabschiedet, dass ich das heute Abend noch lösen kann, und werde den Rechner erstmal mit nach Hause nehmen. Wie kann ich weiter verfahren, um den Schädling los zu kriegen?

Ich wäre sehr dankbar für jegliche Tips!

Viele Grüße,
Saku.