Downloader.delf.Firewall Killer hatte meine Firewall blockiert Log File anbei

#1 Hallo zusammen,

dies ist mein erste Post hier in diesem Forum. Deshalb schon mal vielen Dank im voraus. Nun zu meinem Problem. Auf meinem PC läuft die Antivir Premium Security Suite, PC Tools Spyware + Arovax Antispyware.

Taugt der Avrovax Scanner überhaupt etwas? Auf der Website von dem Hersteller steht Releasedatum 2007, hatte mir ein Bekannter empfohlen.


Die Firewall von Antivir war deaktivert und lies sich nicht mehr aktivieren. Angezeigt wurde der Downloader.delf. Firewall Killer.

Scan mit Malware Antibyte zeigte nichts verdächtiges. Logfiles von Combofix und Hijack werden angehängt.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\taskmgr.com

.
((((((((((((((((((((((( Dateien erstellt von 2008-12-24 bis 2009-01-24 ))))))))))))))))))))))))))))))
.

2009-01-24 09:23 . 2009-01-24 09:23 423,130 --a------ c:\windows\system32\prfh0407.dat
2009-01-24 09:23 . 2009-01-24 09:23 77,778 --a------ c:\windows\system32\prfc0407.dat
2009-01-23 20:39 . 2009-01-23 21:00 <DIR> d-------- c:\programme\Spybot - Search & Destroy
2009-01-23 19:51 . 2008-05-07 13:20 71,592 --a------ c:\windows\system32\drivers\avfwot.sys
2009-01-23 18:37 . 2009-01-23 21:16 <DIR> d-------- c:\programme\Spyware Doctor
2009-01-23 18:37 . 2009-01-23 18:37 <DIR> d-------- c:\dokumente und einstellungen\Alex_2\Anwendungsdaten\PC Tools
2009-01-23 18:37 . 2008-08-25 12:36 81,288 --a------ c:\windows\system32\drivers\iksyssec.sys
2009-01-23 18:37 . 2008-08-25 12:36 66,952 --a------ c:\windows\system32\drivers\iksysflt.sys
2009-01-23 18:37 . 2008-08-25 12:36 40,840 --a------ c:\windows\system32\drivers\ikfilesec.sys
2009-01-23 18:37 . 2008-06-02 16:19 29,576 --a------ c:\windows\system32\drivers\kcom.sys
2009-01-23 18:20 . 2009-01-23 18:20 <DIR> d-------- c:\programme\Avira
2009-01-23 15:46 . 2009-01-23 15:46 <DIR> d-------- C:\fsaua.data
2009-01-23 13:41 . 2009-01-23 14:04 <DIR> d-------- c:\dokumente und einstellungen\Alex_2\.housecall6.6
2009-01-23 11:17 . 2009-01-23 11:42 <DIR> d-------- c:\programme\Exterminate It!
2009-01-23 10:56 . 2009-01-23 10:56 26 --a------ c:\windows\Lic.xxx
2009-01-11 14:16 . 2009-01-11 15:02 73,278 --a------ c:\windows\War3Unin.dat
2009-01-11 14:13 . 2009-01-23 21:54 <DIR> d-------- c:\programme\Warcraft III
2009-01-11 12:38 . 2009-01-11 12:38 <DIR> d-------- c:\windows\PIF
2009-01-04 16:59 . 2009-01-04 16:59 <DIR> d-------- c:\dokumente und einstellungen\alex\Anwendungsdaten\OpenOffice.org
2009-01-04 16:52 . 2009-01-04 16:52 <DIR> d-------- c:\dokumente und einstellungen\Alex_2\Anwendungsdaten\OpenOffice.org
2009-01-04 16:43 . 2009-01-04 16:43 <DIR> d-------- c:\programme\JRE
2009-01-04 16:42 . 2009-01-04 16:43 <DIR> d-------- c:\programme\OpenOffice.org 3

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-24 17:29 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-01-24 16:19 --------- d-----w c:\programme\Arovax AntiSpyware
2009-01-24 16:19 --------- d-----w c:\dokumente und einstellungen\Alex_2\Anwendungsdaten\Skype
2009-01-24 10:14 --------- d-----w c:\programme\SpywareDetector
2009-01-23 22:07 --------- d-----w c:\programme\ThreatFire
2009-01-23 22:05 --------- d-----w c:\dokumente und einstellungen\alex\Anwendungsdaten\Skype
2009-01-23 20:00 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-01-23 18:40 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-01-22 09:29 1,060,864 ----a-w c:\windows\system32\CheckDll.dll
2009-01-18 19:11 --------- d-----w c:\dokumente und einstellungen\alex\Anwendungsdaten\LimeWire
2009-01-11 13:20 2,829 ----a-w c:\windows\War3Unin.pif
2009-01-11 13:20 139,264 ----a-w c:\windows\War3Unin.exe
2009-01-07 16:20 13,776 ----a-w c:\windows\system32\SDEarlyDelete.exe
2009-01-04 15:42 --------- d-----w c:\programme\OpenOffice.org 2.4
2009-01-01 17:20 --------- d-----w c:\dokumente und einstellungen\alex\Anwendungsdaten\OpenOffice.org2
2008-12-18 20:15 --------- d-----w c:\dokumente und einstellungen\Alex_2\Anwendungsdaten\LimeWire
2008-12-18 20:10 --------- d-----w c:\programme\LimeWire
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-08-17 11:41 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008081720080818\index.dat
.

------- Sigcheck -------

2007-06-13 14:21 1036288 64d320c0e301eedc5a4adbbdc5024f7f c:\windows\explorer.exe
2007-06-13 14:21 1036288 64d320c0e301eedc5a4adbbdc5024f7f c:\windows\ServicePackFiles\i386\explorer.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"Eraser"="c:\programme\Eraser\eraser.exe" [2007-12-23 916240]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2007-01-12 25367592]
"Arovax AntiSpyware"="c:\programme\Arovax AntiSpyware\arovaxantispyware.exe" [2007-07-07 1941504]
"SandboxieControl"="c:\programme\Sandboxie\SbieCtrl.exe" [2008-01-13 370688]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SDActiveMonitor"="c:\programme\SpywareDetector\SDActiveMonitor.exe" [2008-12-16 1362696]
"avgnt"="c:\programme\Avira\Avira Premium Security Suite\avgnt.exe" [2008-06-12 266497]
"ISTray"="c:\programme\Spyware Doctor\pctsTray.exe" [2008-08-25 1168264]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\SDNotify]
2008-12-01 11:15 475136 c:\programme\SpywareDetector\SDNotify.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ SDEarlyDelete \??\c:\programme\SpywareDetector\0autocheck autochk *

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Alex_2^Startmenü^Programme^Autostart^OpenOffice.org 2.3.lnk]
path=c:\dokumente und einstellungen\Alex_2\Startmenü\Programme\Autostart\OpenOffice.org 2.3.lnk
backup=c:\windows\pss\OpenOffice.org 2.3.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Arovax AntiSpyware]
--a------ 2007-07-07 10:40 1941504 c:\programme\Arovax AntiSpyware\ArovaxAntiSpyware.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-04 00:57 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2007-09-26 13:42 267064 c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]
--a------ 2005-08-31 11:47 1961984 c:\programme\Ahead\Nero BackItUp\NBJ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2003-10-06 13:16 5058560 c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2003-10-06 13:16 49152 c:\windows\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-06-29 05:24 286720 c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 01:11 132496 c:\programme\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2003-10-06 13:16 741376 c:\windows\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\P17Helper]
--a------ 2005-05-03 10:38 64512 c:\windows\system32\P17.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Warcraft III\\Warcraft III.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\msncall.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\THQ\\Dawn of War - Dark Crusade\\DarkCrusade.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R1 SDManager;SDManager;c:\programme\SpywareDetector\SDManager.sys [2009-01-11 13696]
R4 sdAuxService;PC Tools Auxiliary Service;c:\programme\Spyware Doctor\pctsAuxs.exe [2009-01-23 356920]
S0 TfFsMon;TfFsMon;c:\windows\system32\drivers\TfFsMon.sys --> c:\windows\system32\drivers\TfFsMon.sys [?]
S0 TfSysMon;TfSysMon;c:\windows\system32\drivers\TfSysMon.sys --> c:\windows\system32\drivers\TfSysMon.sys [?]
S1 avfwot;avfwot;c:\windows\system32\drivers\avfwot.sys [2009-01-23 71592]
S3 avfwim;AvFw Packet Filter Miniport;c:\windows\system32\DRIVERS\avfwim.sys --> c:\windows\system32\DRIVERS\avfwim.sys [?]
S3 SbieDrv;SbieDrv;c:\programme\Sandboxie\SbieDrv.sys [2008-01-13 92160]
S3 SDActMon;SDActMon;c:\programme\SpywareDetector\SDActMon.sys [2008-11-02 21888]
S3 TfNetMon;TfNetMon;\??\c:\windows\system32\drivers\TfNetMon.sys --> c:\windows\system32\drivers\TfNetMon.sys [?]
S4 AntiVirMailService;Avira Premium Security Suite MailGuard;c:\programme\Avira\Avira Premium Security Suite\avmailc.exe [2009-01-23 164097]
S4 antivirwebservice;Avira Premium Security Suite WebGuard;c:\programme\Avira\Avira Premium Security Suite\avwebgrd.exe [2009-01-23 258305]
S4 AVEService;Avira Premium Security Suite MailGuard Hilfsdienst;c:\programme\Avira\Avira Premium Security Suite\avesvc.exe [2009-01-23 41217]
S4 SDMainSvc;SDMainSvc;c:\programme\SpywareDetector\SDMainService.exe [2008-12-23 920840]
S4 SDService;SDService;c:\programme\SpywareDetector\SDService.exe [2008-11-02 1713616]
S4 ThreatFire;ThreatFire;c:\programme\ThreatFire\TFService.exe service --> c:\programme\ThreatFire\TFService.exe service [?]
.
Inhalt des "geplante Tasks" Ordners

2009-01-06 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 13:57]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = msn.com
mStart Page = about:blank
FF - ProfilePath - c:\dokumente und einstellungen\Alex_2\Anwendungsdaten\Mozilla\Firefox\Profiles\3i5bpfws.default\
FF - prefs.js: browser.startup.homepage - hxxp://msn.com
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-24 18:35:04
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(232)
c:\programme\SpywareDetector\SDNotify.dll
.
Zeit der Fertigstellung: 2009-01-24 18:37:40
ComboFix-quarantined-files.txt 2009-01-24 17:37:10

Vor Suchlauf: 16 Verzeichnis(se), 58,204,073,984 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 58,212,098,048 Bytes frei

176 --- E O F --- 2008-11-02 10:57:34

---------------------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:50:01, on 24.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\Avira Premium Security Suite\sched.exe
C:\Programme\Avira\Avira Premium Security Suite\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\SpywareDetector\SDActiveMonitor.exe
C:\Programme\Avira\Avira Premium Security Suite\avgnt.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Eraser\eraser.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe
C:\Programme\Sandboxie\SbieCtrl.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\SpywareDetector\SDMainService.exe
C:\Programme\SpywareDetector\SDService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
C:\Programme\Skype\Plugin Manager\SkypePM.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
F:\Virenentfernung\HiJackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = msn.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SDActiveMonitor] C:\Programme\SpywareDetector\SDActiveMonitor.exe -AUTO
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\Avira Premium Security Suite\avgnt.exe" /min
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Arovax AntiSpyware] C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe /s
O4 - HKCU\..\Run: [SandboxieControl] "C:\Programme\Sandboxie\SbieCtrl.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1229587169962
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira Premium Security Suite MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe
O23 - Service: Avira Premium Security Suite Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\sched.exe
O23 - Service: Avira Premium Security Suite Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avguard.exe
O23 - Service: Avira Premium Security Suite WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Avira Premium Security Suite MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: SDMainSvc - Max Secure Software - C:\Programme\SpywareDetector\SDMainService.exe
O23 - Service: SDService - Max Secure Software - C:\Programme\SpywareDetector\SDService.exe
O23 - Service: ThreatFire - Unknown owner - C:\Programme\ThreatFire\TFService.exe (file missing)

--
End of file - 7196 bytes
----------------------------------------------------------------------------

Adobe Flash Player Plugin
Adobe Reader 8.1.2
Adobe Shockwave Player
AnyDVD
Apple Mobile Device Support
Apple Software Update
Arovax AntiSpyware 2.1.143
Avira Premium Security Suite
Chicago 1930
Dawn of War - Dark Crusade
Deutschbuch 5 interaktiv
Deutschbuch 6 interaktiv
Eraser
Eraser
Exterminate It!
Guild Wars
HijackThis 2.0.2
Hotfix for Windows Media Format SDK (KB902344)
Hotfix für Windows Internet Explorer 7 (KB947864)
Hotfix für Windows XP (KB952287)
ICQ6
Image Expert
iTunes
J2SE Runtime Environment 5.0 Update 3
Java(TM) 6 Update 2
Java(TM) 6 Update 3
Java(TM) 6 Update 4
Java(TM) 6 Update 5
Java(TM) 6 Update 7
Macromedia Flash Player 8
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
Microsoft National Language Support Downlevel APIs
Microsoft Visual C++ 2005 Redistributable
Monsters v1.1
Mozilla Firefox (3.0)
Nero Suite
NVIDIA Display Driver
OpenOffice.org 2.4
OpenOffice.org 3.0
QuickTime
Sandboxie 3.22
Sicherheitsupdate für Windows Internet Explorer 7 (KB928090)
Sicherheitsupdate für Windows Internet Explorer 7 (KB929969)
Sicherheitsupdate für Windows Internet Explorer 7 (KB931768)
Sicherheitsupdate für Windows Internet Explorer 7 (KB933566)
Sicherheitsupdate für Windows Internet Explorer 7 (KB937143)
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 10 (KB917734)
Sicherheitsupdate für Windows Media Player 10 (KB936782)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
SiS 900 PCI Fast Ethernet Adapter Driver
Skype 3.0
Skype Plugin Manager
Spyware Detector
Spyware Doctor 6.0
SpywareBlaster 4.1
U.S. Robotics USB Phone
Uniblue Registry Booster
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Windows Genuine Advantage v1.3.0254.0
Windows Live Messenger
Windows Live Sign-in Assistant
Windows Media Format Runtime
Windows Media Player 10
Windows XP Service Pack 3
WinFast(R) Display Driver
Xfire (remove only)
XPize Darkside 2.0


Mit freundlichen Grüßen

Matthias

#2 >>
Combofix entfernen:
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"
(oder, wenn es nicht funktioniert: C:\QooBox löschen)

>>
Start - Ausführen - gib ein: regedit

Geh nach:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
rechtsklick auf den Eintrag "EnableFirewall"

die 0 wegklicken und 1 reinschreiben, dann abspeichern

>>
Versteckte Dateien sichtbar machen:
1. Klicke unter Start auf Arbeitsplatz.
2. Klicke im Menü Extras auf Ordneroptionen.
3. Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden --> Haken entfernen
4. Geschützte und Systemdateien ausblenden --> Haken entfernen
5. Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen --> Haken setzen.

Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.
http://virus-protect.org/invisible.html

>>
Lasse folgende Datei bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis:

c:\windows\Lic.xxx

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren



>>
Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log:
(Vor der Anwendung Update nicht vergessen)
http://virus-protect.org/artikel/tools/malwarebytes.html

>>
Arbeite datfindbat ab - poste von jedem log nur die Daten der letzten drei Monate:
http://www.virus-protect.org/datfindbat.html

#3 Hi,

habe die Datei bei Virustotal überprüfen lassen:

Ergebnis ist hier:
http://www.virustotal.com/de/analisis/598e904cf983da43ac9387bc28de954d

Das Programm von Malwarebyte konnte keine verdächtigen Dateien finden.

Die Analyse mit datfindbat stelle ich jetzt hier rein.

Verzeichnis von c:\

25.01.2009 08:32 0 dirdat.txt
25.01.2009 08:09 1.073.270.784 hiberfil.sys
25.01.2009 08:09 1.157.627.904 pagefile.sys
24.01.2009 18:37 12.513 ComboFix.txt
24.01.2009 11:14 4.973.934 SDSignature.txt
24.01.2009 11:12 4.272.861 SDVirus.txt
24.01.2009 11:12 1.896.516 ExecSignature.txt
23.01.2009 12:01 0 23990098.$$$
02.11.2008 10:26 552.344 SdHeuristic.txt

Verzeichnis von C:\WINDOWS\system32

25.01.2009 08:12 2.206 wpa.dbl
24.01.2009 09:23 407.670 perfh009.dat
24.01.2009 09:23 64.200 perfc009.dat
24.01.2009 09:23 423.130 prfh0407.dat
24.01.2009 09:23 77.778 prfc0407.dat
23.01.2009 18:38 77.778 perfc007.dat
23.01.2009 18:38 423.130 perfh007.dat
23.01.2009 18:38 985.598 PerfStringBackup.INI
22.01.2009 10:29 1.060.864 CheckDll.dll
11.01.2009 12:36 102 SDEarlyDelete.ini
10.01.2009 02:35 20.853.704 MRT.exe
07.01.2009 17:20 13.776 SDEarlyDelete.exe
05.01.2009 22:09 118.152 FNTCACHE.DAT
18.12.2008 11:11 837.340 TZLog.log
13.12.2008 07:36 3.593.216 mshtml.dll

Verzeichnis von C:\WINDOWS

25.01.2009 08:12 2.069.580 WindowsUpdate.log
25.01.2009 08:10 159 wiadebug.log
25.01.2009 08:09 50 wiaservc.log
25.01.2009 08:09 32.580 SchedLgU.Txt
25.01.2009 08:09 2.048 bootstat.dat
24.01.2009 18:35 227 system.ini
23.01.2009 10:56 26 Lic.xxx
11.01.2009 15:02 73.278 War3Unin.dat
11.01.2009 14:20 2.829 War3Unin.pif
11.01.2009 14:20 139.264 War3Unin.exe
11.01.2009 13:57 2.260 Sandboxie.ini

Verzeichnis von C:\DOKUME~1\Alex_2\LOKALE~1\Temp

25.01.2009 08:13 131.072 ~DF7295.tmp
25.01.2009 08:13 5.473 asp19.tmp
25.01.2009 08:12 49.152 ~DF8BA2.tmp
24.01.2009 19:01 311.296 ~DF8499.tmp
24.01.2009 18:58 131.072 ~DF67CD.tmp
24.01.2009 18:58 5.473 asp2.tmp
24.01.2009 18:58 49.152 ~DF794C.tmp
24.01.2009 18:53 0 mmc15FED49E.xml
24.01.2009 18:45 49.152 ~DF93E.tmp
24.01.2009 18:45 131.072 ~DFE447.tmp
24.01.2009 18:45 5.473 asp1.tmp

Gruss
matthias

#4 >>
Stelle Dein Avira Antivir so ein wie hier beschrieben. Dann scanne und poste das Log.
(Nach dem scanen, Einstellungen wieder zurücksetzen)
http://board.protecus.de/t23979.htm

>>
JAVA Update:
http://board.protecus.de/t32385-1.htm

>>
Dabei die älteren Einträge unter Software löschnen:

Zitat

J2SE Runtime Environment 5.0 Update 3
Java(TM) 6 Update 2
Java(TM) 6 Update 3
Java(TM) 6 Update 4
Java(TM) 6 Update 5
Java(TM) 6 Update 7

Gruss Swiss

#5 So,

habe alle alten Java Einträge entfernt und das aktuelle installiert.

Antivir gemäß Vorgabe konfiguriert und einen Scan über die Festplatte ausgeführt.

Log:
Version information:
BUILD.DAT : 8.2.0.252 27422 Bytes 21.11.2008 10:13:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18.11.2008 08:21:26
AVSCAN.DLL : 8.1.4.0 40705 Bytes 26.05.2008 07:56:40
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:19
LUKERES.DLL : 8.1.4.0 12033 Bytes 26.05.2008 07:58:52
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14.01.2009 18:48:49
ANTIVIR2.VDF : 7.1.1.172 958464 Bytes 23.01.2009 18:49:50
ANTIVIR3.VDF : 7.1.1.173 2048 Bytes 23.01.2009 18:49:52
Engineversion : 8.2.0.60
AEVDF.DLL : 8.1.0.6 102772 Bytes 14.10.2008 10:05:56
AESCRIPT.DLL : 8.1.1.32 340347 Bytes 23.01.2009 18:51:02
AESCN.DLL : 8.1.1.5 123251 Bytes 07.11.2008 15:06:41
AERDL.DLL : 8.1.1.3 438645 Bytes 04.11.2008 13:58:38
AEPACK.DLL : 8.1.3.5 393588 Bytes 23.01.2009 18:50:55
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 23.01.2009 18:50:44
AEHEUR.DLL : 8.1.0.86 1552759 Bytes 23.01.2009 18:50:39
AEHELP.DLL : 8.1.2.0 119159 Bytes 23.01.2009 18:50:09
AEGEN.DLL : 8.1.1.10 323957 Bytes 23.01.2009 18:50:05
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 10:05:56
AECORE.DLL : 8.1.5.2 172405 Bytes 23.01.2009 18:49:57
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:05
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:28:01
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:40
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:23
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:49
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:40
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:10
RCIMAGE.DLL : 8.0.0.51 2904321 Bytes 12.06.2008 13:36:58
RCTEXT.DLL : 8.0.46.0 86273 Bytes 12.06.2008 13:37:12

Configuration settings for the scan:
Jobname..........................: Local Drives
Configuration file...............: c:\programme\avira\avira premium security suite\alldrives.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, D:, E:,
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: off
Smart extensions.................: on
Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Macro heuristic..................: on
File heuristic...................: high
Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Start of the scan: Sonntag, 25. Januar 2009 13:33

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'skypePM.exe' - '1' Module(s) have been scanned
Scan process 'SbieCtrl.exe' - '1' Module(s) have been scanned
Scan process 'ArovaxAntiSpyware.exe' - '1' Module(s) have been scanned
Scan process 'Skype.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'Eraser.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'SDActiveMonitor.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'wscntfy.exe' - '1' Module(s) have been scanned
Scan process 'pctsTray.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'avwebgrd.exe' - '1' Module(s) have been scanned
Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'SDService.exe' - '1' Module(s) have been scanned
Scan process 'SDMainService.exe' - '1' Module(s) have been scanned
Scan process 'pctsSvc.exe' - '1' Module(s) have been scanned
Scan process 'pctsAuxs.exe' - '1' Module(s) have been scanned
Scan process 'SbieSvc.exe' - '1' Module(s) have been scanned
Scan process 'avesvc.exe' - '1' Module(s) have been scanned
Scan process 'AppleMobileDeviceService.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
39 processes with 39 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!

Starting to scan the registry.
The registry was scanned ( '53' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\hiberfil.sys
[WARNING] The file could not be opened!
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\****\Eigene Dateien\wordplay jason mraz.mp3
[DETECTION] Contains recognition pattern of the EXP/ASF.GetCodec.Gen exploit
[NOTE] The file was moved to '49af5cb4.qua'!
Begin scan in 'D:\'
Search path D:\ could not be opened!
System error [21]: Das Gerät ist nicht bereit.
Begin scan in 'E:\'
Search path E:\ could not be opened!
System error [21]: Das Gerät ist nicht bereit.


End of the scan: Sonntag, 25. Januar 2009 14:00
Used time: 27:42 Minute(s)

The scan has been done completely.

5627 Scanning directories
272241 Files were scanned
1 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
1 files were moved to quarantine
0 files were renamed
2 Files cannot be scanned
272238 Files not concerned
1422 Archives were scanned
2 Warnings
1 Notes

Gruß
matthias

#6 Entferne auch Spyware Detector
http://forums.spybot.info/showpost.php?p=121863&postcount=7
__________
MfG Argus

#7 Ja, danke für den Hinweis! Habe ich gleich deinstalliert.

Jetzt noch mal ne kurze Frage. Jedes mal wenn der PC startet wird der Arovax Antispyware Scanner automatisch gestartet. Er findet jedesmal Einträge, die sonst kein anderes Programm entdeckt haben, z.B. MalwareAntibyte, Antivir etc.
Handelt es sich hierbei auch um False Positive Einträge.

Und kann ein Spyware Scanner was taugen, der schon seit Ende 2007 kein Update mehr bekommen hat.

Vielen Dank an alle für die super Unterstützung.

gruß
Matthias

#8 Nein

Zitat

Und kann ein Spyware Scanner was taugen, der schon seit Ende 2007 kein Update mehr bekommen hat.

Auch das benutzen von Spyware Doctor zusammen mit die Immunisier funktion von Spybot s&d und/oder SpywareBlaster kann Probleme geben
da Spyware Doctor die Eintraege von beide Programme wieder entfernt

Zur Zeit sollte man auch die neue Version vom Ad-aware 2009 nicht benutzen wegen "False Positieve"
__________
MfG Argus