Trojan.Win32.Agent.azsy und weitere Viren

#16 Bei der startup.exe selber habe ich nichts gefunden, jedoch sind in dem Ordner is-UDDII auch eine Datei is-UDDII.exe und da steht auf jedenfall etwas von Kasperssky Anti Virus

Bei meinem Anti Virus sind 5 Dateien erstmal in Quarantäne, da er sie als Viren definiert hat. Was soll ich damit dann amchen?

#17 Die kannst du löschen. Also dann wird das Tool tatsächlich von Kaspersky sein. Du kannst es löschen wenn du willst. Kommen dann noch Meldungen?

Mach noch nen Kontrollscan mit FSecure:
http://virus-protect.org/artikel/tools/fsecureonline.html

Gruss Swiss

#18 Hi, habe den Kontrollscan mit FSecure gemacht und das kam heraus:

Scanning Report
Thursday, May 14, 2009 09:17:41 - 10:54:46

Computer name: PC
Scanning type: Scan system for malware, rootkits
Target: C:\
Result: 6 malware found
Backdoor.Win32.IRCBot (virus)
System
TrackingCookie.2o7 (spyware)
System
TrackingCookie.Advertising (spyware)
System
TrackingCookie.Atdmt (spyware)
System
TrackingCookie.Doubleclick (spyware)
System
W32/Zlob.gen123 (virus)
C:\DOKUMENTE UND EINSTELLUNGEN\BESITZER\DESKTOP\DOWNLOADS\09.05\SMITFRAUDFIX\AGENT.OMZ.FIX.EXE
Statistics
Scanned:
Files: 39395
System: 3784
Not scanned: 9
Actions:
Disinfected: 0
Renamed: 0
Deleted: 0
None: 6
Submitted: 0
Files not scanned:
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\WINDOWS\SYSTEM32\CONFIG\SAM
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
C:\DOKUMENTE UND EINSTELLUNGEN\BESITZER\DESKTOP\DOWNLOADS\09.05\SMITFRAUDFIX\REBOOT.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\BESITZER\DESKTOP\DOWNLOADS\09.05\SMITFRAUDFIX\RESTART.EXE
Options
Scanning engines:
F-Secure USS: 3.0.0
F-Secure Hydra: 3.8.9080, 2009-05-14
F-Secure AVP: 7.0.171, 2009-05-12
F-Secure Pegasus: 1.20.0, 1970-00-01
F-Secure Blacklight: 0.0.0
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JOB LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
Use Advanced heuristics

Gruss
Navigator

#19 Hmmm in welcher Datei wurde wohl der Backdoor.Win32.IRCBot (virus) gefunden.

>>
Mach mal nen Scan mit Catchme (bezgl. Rootkits):
http://virus-protect.org/catchme.html

>>
Zudem lass noch Superantispyware laufen:
http://board.protecus.de/t31252.htm

Gruss Swiss

#20 Hier sind die beiden Logs:

catchme:

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2009-05-15 09:25:55
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Programme\Franzis\Alcohol Virtual CD + DVD\"
"h0"=dword:00000000
"ujdew"=hex:71,0a,7f,d9,1e,d8,24,cd,2d,4c,2c,53,30,a9,6c,91,04,a6,46,89,15,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Programme\Franzis\Alcohol Virtual CD + DVD\"
"h0"=dword:00000000
"ujdew"=hex:71,0a,7f,d9,1e,d8,24,cd,2d,4c,2c,53,30,a9,6c,91,04,a6,46,89,15,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Programme\Franzis\Alcohol Virtual CD + DVD\"
"h0"=dword:00000000
"ujdew"=hex:71,0a,7f,d9,1e,d8,24,cd,2d,4c,2c,53,30,a9,6c,91,04,a6,46,89,15,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:d3433db4
"s2"=dword:a388245b
"h0"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Programme\Franzis\Alcohol Virtual CD + DVD\"
"h0"=dword:00000000
"ujdew"=hex:71,0a,7f,d9,1e,d8,24,cd,2d,4c,2c,53,30,a9,6c,91,04,a6,46,89,15,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"p0"="C:\Programme\DAEMON Tools Lite\"
"h0"=dword:00000001
"hdf12"=hex:88,3b,38,2d,c3,b4,56,2b,52,2a,34,ee,e0,c7,0b,34,3a,e4,cd,2d,39,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001]
"a0"=hex:20,01,00,00,60,df,56,2c,f7,1e,30,f3,10,98,81,8d,b4,2e,e9,4b,f6,..
"hdf12"=hex:7d,a8,28,94,75,96,86,70,2f,3c,72,75,b0,9a,fd,f5,f0,3f,86,67,76,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0]
"hdf12"=hex:f3,4b,f5,22,80,ea,df,de,5a,ed,7a,de,cb,44,26,77,d0,f0,21,1a,82,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Programme\Franzis\Alcohol Virtual CD + DVD\"
"h0"=dword:00000000
"ujdew"=hex:71,0a,7f,d9,1e,d8,24,cd,2d,4c,2c,53,30,a9,6c,91,04,a6,46,89,15,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"p0"="C:\Programme\DAEMON Tools Lite\"
"h0"=dword:00000001
"hdf12"=hex:88,3b,38,2d,c3,b4,56,2b,52,2a,34,ee,e0,c7,0b,34,3a,e4,cd,2d,39,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001]
"a0"=hex:20,01,00,00,60,df,56,2c,f7,1e,30,f3,10,98,81,8d,b4,2e,e9,4b,f6,..
"hdf12"=hex:7d,a8,28,94,75,96,86,70,2f,3c,72,75,b0,9a,fd,f5,f0,3f,86,67,76,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0]
"hdf12"=hex:f3,4b,f5,22,80,ea,df,de,5a,ed,7a,de,cb,44,26,77,d0,f0,21,1a,82,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


SuperAntiSpyware:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 05/15/2009 at 10:11 AM

Application Version : 4.26.1002

Core Rules Database Version : 3894
Trace Rules Database Version: 1842

Scan type : Complete Scan
Total Scan Time : 00:29:35

Memory items scanned : 498
Memory threats detected : 0
Registry items scanned : 6205
Registry threats detected : 0
File items scanned : 23850
File threats detected : 8

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@adserver.71i[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@atdmt[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@doubleclick[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@serving-sys[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@lgelectronics.122.2o7[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@msnportal.112.2o7[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@advertising[1].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@bs.serving-sys[1].txt


Gruss
Navigator

#21 Sieht doch gut aus. Das sind leiglich noch Cookies:
http://de.wikipedia.org/wiki/Cookie

Das kannst du Einstellen ob und wie Cookies erlaubt sind.


>>
OTMoveIt3.exe
bleepingcomputer.com

->OTMoveIt3.exe auf dem Desktop speichern

OTMoveIt.exe klicken

1. klicken: CleanUp! button

2. cleanup.txt wird vom Internet geladen (von Firewall zulassen!)

3. Begin cleanup process? klicke: Yes. - "Do you want to reboot?" klicke Yes

so wird von OTMoveIt automatisch alles an Tools entfernt, die zur Virenreinigung geladen wurden.

>>
Systemwiederherstellung deaktivieren (XP):
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
dann das Häkchen wieder rausnehmen. (also wieder aktivieren)

Dann Happy Surfing

Gruss Swiss

#22 Danke fuer die Hilfe.

Kannst du mir nun noch als letzten Tipp geben, welche Programme ich immer wieder ueber meinen Rechner laufen lassen sollte, damit er virenfrei bleibt?

Vielen DAnk

Gruss
Navigator

#23 Avira als Uptodate Scanner.
Dann würde ich ab und zu mal Malwarebytes laufen lassen (vorher immer updaten) und schauen ob was gefunden wird. Falls ja kannst Du dich ja hier wieder melden.

Zusätzlich hier noch einige Tips:
http://pctipp.ch/forum/showthread.php?t=3769

Das wichtigste ist vorallem überlegte surfen im Internet.

Gruss Swiss