Verdacht auf Viren & Trojaner

#1 Hallo,

Mein System läuft nicht mehr stabil.

Verbindung probleme bei firefox mancmall CPU auslastung %100

Folgendes gemacht ;

Mit Antivir, Spybot- Search, Ad-Aware Spyware Doctor, Nod32, gescant Nicht gefunden.


Hier das Log von Hijack This:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 21:21:38, on 12.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\Programme\AA_BEnN_PROG\SECURTY\ZoneAlarm\zlclient.exe
C:\Programme\Eset\nod32kui.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\FRITZ!DSL\FritzDSL.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\hijackthis_199\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\AA_BEN~1\SECURTY\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\AA_BEnN_PROG\SECURTY\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\AA_BEnN_PROG\MüZiK_TOOL\Sly Soft\SlySoftCloneCD\CloneCDTray.exe" /s
O4 - Startup: FRITZ!webProtect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!web DSL.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{667B132A-B5D6-4CAB-8B8A-BC810DFA86F5}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: Office Source Engine (ose) - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Zitat

Hier das Log von combofix


ay - 06-12-13 11:38:02,26 Service Pack 2
ComboFix 06.11.27W - Running from: "C:\Dokumente und Einstellungen\xx\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-11-13 to 2006-12-13 ))))))))))))))))))))))))))))))))))


2006-12-12 21:17 <DIR> d-------- C:\WINDOWS\Sun
2006-12-12 17:30 <DIR> d-------- C:\Dokumente und Einstellungen\xx\Anwendungsdaten\ID3-TagIT 3
2006-12-12 17:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ID3-TagIT 3
2006-12-12 16:56 <DIR> d-------- C:\Dokumente und Einstellungen\xx\Anwendungsdaten\Mp3tag
2006-12-12 01:24 47,360 --a------ C:\WINDOWS\system32\drivers\pcouffin.sys
2006-12-12 01:24 47,360 --a------ C:\Dokumente und Einstellungen\xx\Anwendungsdaten\pcouffin.sys
2006-12-12 01:24 <DIR> d-------- C:\Dokumente und Einstellungen\xx\Anwendungsdaten\Vso
2006-12-11 21:37 <DIR> d-------- C:\Dokumente und Einstellungen\xx\Anwendungsdaten\Ahead
2006-12-11 20:53 78,848 --a------ C:\WINDOWS\system32\VISCDRTL.DLL
2006-12-11 20:53 152,064 --a------ C:\WINDOWS\system32\VISCDUNR.DLL
2006-12-11 20:53 143,360 --a------ C:\WINDOWS\system32\VISCDUNZ.DLL
2006-12-11 19:35 <DIR> dr-h----- C:\Dokumente und Einstellungen\xx\Recent
2006-12-10 13:03 <DIR> d-------- C:\WINDOWS\AVM_Driver
2006-12-10 13:03 <DIR> d-------- C:\Dokumente und Einstellungen\xx\AVM_Driver
2006-12-10 01:30 <DIR> d-------- C:\Programme\VideoLAN
2006-12-09 22:44 <DIR> d-------- C:\Dokumente und Einstellungen\xx\Anwendungsdaten\Help


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-12-12 01:25 34 --a------ C:\Dokumente und Einstellungen\xx\Anwendungsdaten\pcouffin.log
2006-12-12 01:24 7176 --a------ C:\Dokumente und Einstellungen\xx\Anwendungsdaten\pcouffin.cat
2006-12-12 01:24 1144 --a------ C:\Dokumente und Einstellungen\xx\Anwendungsdaten\pcouffin.inf
2006-10-17 15:53 -------- d-------- C:\Programme\MSN BackUp
2006-10-17 15:11 -------- d-------- C:\Programme\Microsoft.NET
2006-10-17 15:11 -------- d-------- C:\Programme\Microsoft Office
2006-10-17 13:46 502208 --a------ C:\WINDOWS\system32\drivers\amon.sys
2006-10-17 13:46 270336 --a------ C:\WINDOWS\system32\imon.dll
2006-10-17 13:19 356352 --a------ C:\WINDOWS\eSellerateEngine.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Zone Labs Client"="C:\\Programme\\AA_BEnN_PROG\\SECURTY\\ZoneAlarm\\zlclient.exe"
"nod32kui"="\"C:\\Programme\\Eset\\nod32kui.exe\" /WAITSERVICE"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"CloneCDTray"="\"C:\\Programme\\AA_BEnN_PROG\\MüZiK_TOOL\\Sly Soft\\SlySoftCloneCD\\CloneCDTray.exe\" /s"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,de,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-12-13 11:38:55.91
C:\ComboFix2.txt ... 06-12-12 21:42
C:\ComboFix1.txt ... 06-12-12 21:43
C:\ComboFix.txt ... 06-12-13 11:38

Zitat

Danke erst mall,ich habe durch zufall eure Homepage gefunden sehr Hilfreich leider keine lösung gefunden für mein problem.

#2 xrum

versuche folgendes:

1.
deinstalliere zonealarm

2.
verabschiede dich von einem der 2 Virenscanner - entscheide dich nur fuer einen

dann berichte
__________
MfG Sabina

rund um die PC-Sicherheit

#3 @ Sabina

Danke für antwort

Zonealarm deinstallieren! ok was empfählest du den ein andere firewall?
Ohne firewall ja nicht gut.

Viren Programme leider immer so eine findet etwas der andere findet nicht.

Außer zwei Viren prog. Ist alles ok ? kann man sagen mein pc sauber ist ?

Ich melde mich nochmall leider habe zuviel ackern

Mit freundlichen Grüßen.

#4 belasse es erst mal bei der XP-Firewall, die bei SP2 autiomatisch aktiviert ist und auch bei nur einem Virenscanner.
wenn es verdacht auf Viren gibt, mache Onlinescans
http://virus-protect.org/onlinescan.html

dann berichte, wie es laeuft.
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo
Sorry das ich mich nicht frühe melden könnte

ich habe deine vorschlage probiert;

Zone deinstalliert

http://virus-protect.org/onlinescan.html

Paar datein probiert Laufende Anwendungen nicht gefunden.
Ich öffne bei Mozilla paar fenster mit mehrere tabs und habe etwas ältere PC P3 

Noch mall vom Combo

Zitat

xx- 06-12-24 17:45:49,99 Service Pack 2
ComboFix 06.11.27W - Running from: "C:\Dokumente und Einstellungen\xx\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-11-24 to 2006-12-24 ))))))))))))))))))))))))))))))))))


2006-12-24 17:14 <DIR> d-------- C:\WINDOWS\LastGood
2006-12-24 16:34 <DIR> d-------- C:\Programme\Kaspersky Lab
2006-12-24 16:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2006-12-24 16:26 <DIR> dr-h----- C:\Dokumente und Einstellungen\xx\Recent
2006-12-24 16:10 36,224 --a------ C:\WINDOWS\system32\drivers\an983.sys
2006-12-10 13:03 <DIR> d-------- C:\WINDOWS\AVM_Driver
2006-12-10 13:03 <DIR> d-------- C:\Dokumente und Einstellungen\xx\AVM_Driver
2006-12-10 01:30 <DIR> d-------- C:\Programme\VideoLAN
2006-12-09 22:44 <DIR> d-------- C:\Dokumente und Einstellungen\xx\Anwendungsdaten\Help


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-17 13:19 356352 --a------ C:\WINDOWS\eSellerateEngine.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,de,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-12-24 17:46:54.94

C:\ComboFix.txt ... 06-12-24 17:46

und Hijack log

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 17:49:57, on 24.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\AVM\De_serv.exe
C:\Programme\Gemeinsame Dateien\AVM\De_serv.exe
C:\Programme\Gemeinsame Dateien\AVM\De_serv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\hijackthis_199\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\AA_BEN~1\SECURTY\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{667B132A-B5D6-4CAB-8B8A-BC810DFA86F5}: NameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{7C669DD3-9BFD-4929-9905-76D108E0DE40}: NameServer = 192.168.179.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe

O23 - Service: Office Source Engine (ose) - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (file missing)

Was meint Ihr sauber ?

Mit freundlichen Grüßen