roore.ws/1.exe trotz KasperskyIS

icke040 · 21.11.2009, 15:25

Hallo,

na das klingt ja gut.

Nur was heißt das jetzt für mich?

Ist mein Freund geheilt?

Chris4You · 21.11.2009, 19:40

Hi,

Rechner sollte jetzt sauber sein...

chris

icke040 · 08.11.2009, 22:14

Hallo,

na das sind ja ermutigende Aussichten. Kitty ist also der Bösewicht.

Habe c:\windows\system32\DRIVERS\atapi.sys bei virustotal checken lassen:

Datei atapi.sys empfangen 2009.11.08 20:52:26 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 1/40 (2.5%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.41 2009.11.08 -
AhnLab-V3 5.0.0.2 2009.11.06 -
AntiVir 7.9.1.61 2009.11.08 -
Antiy-AVL 2.0.3.7 2009.11.05 -
Authentium 5.2.0.5 2009.11.08 -
Avast 4.8.1351.0 2009.11.08 -
AVG 8.5.0.423 2009.11.08 -
BitDefender 7.2 2009.11.08 -
CAT-QuickHeal 10.00 2009.11.07 -
ClamAV 0.94.1 2009.11.08 -
Comodo 2888 2009.11.08 -
DrWeb 5.0.0.12182 2009.11.08 -
eTrust-Vet 35.1.7108 2009.11.06 -
F-Prot 4.5.1.85 2009.11.08 -
F-Secure 9.0.15370.0 2009.11.04 -
Fortinet 3.120.0.0 2009.11.08 -
GData 19 2009.11.08 -
Ikarus T3.1.1.74.0 2009.11.08 -
Jiangmin 11.0.800 2009.11.08 -
K7AntiVirus 7.10.891 2009.11.07 -
Kaspersky 7.0.0.125 2009.11.08 -
McAfee 5796 2009.11.08 -
McAfee+Artemis 5796 2009.11.08 -
McAfee-GW-Edition 6.8.5 2009.11.08 Heuristic.BehavesLike.Win32.Rootkit.H
Microsoft 1.5202 2009.11.08 -
NOD32 4585 2009.11.08 -
Norman 6.03.02 2009.11.06 -
nProtect 2009.1.8.0 2009.11.08 -
Panda 10.0.2.2 2009.11.08 -
PCTools 7.0.3.5 2009.11.06 -
Prevx 3.0 2009.11.08 -
Rising 21.54.62.00 2009.11.08 -
Sophos 4.47.0 2009.11.08 -
Sunbelt 3.2.1858.2 2009.11.08 -
Symantec 1.4.4.12 2009.11.08 -
TheHacker 6.5.0.2.063 2009.11.06 -
TrendMicro 9.0.0.1003 2009.11.08 -
VBA32 3.12.10.11 2009.11.07 -
ViRobot 2009.11.6.2025 2009.11.06 -
VirusBuster 4.6.5.0 2009.11.08 -
weitere Informationen
File size: 95360 bytes
MD5...: cdfe4411a69c224bd1d11b2da92dac51
SHA1..: a42fbfeb5a4d94118b483d7f18113aa8c329a052
SHA256: 0e6b23a80f171550575bebc56f7500cd87a5cf03b2b9fdc49bc3de96282cd69d
ssdeep: 1536:BVzXEOXUOyD8HT6OhAVJqNoQrPs2W7IDdXBoDZYkvR5TJWBwEsjG0cXFIQ0
bbZPO:BVL/Eiz6OhrNoQzsnwBoDjR51hljrckO
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x155f7
timedatestamp.....: 0x41107b4d (Wed Aug 04 05:59:41 2004)
machinetype.......: 0x14c (I386)

( 9 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x380 0x9672 0x9680 6.45 70b67d65eb28dcccdcba61a31c4d40e2
NONPAGE 0x9a00 0x18e8 0x1900 6.48 5629c7db94fbcf0123c267ec52f0c942
.rdata 0xb300 0xa54 0xa80 4.37 569d2979d21f645730a1a59fd512d25c
.data 0xbd80 0xd94 0xe00 0.44 77b784be18c5257bf3b9c132a03019db
PAGESCAN 0xcb80 0x154f 0x1580 6.15 d1c7adb0c1e5491b58c485d62076561f
PAGE 0xe100 0x5f54 0x5f80 6.46 0951fe4f10eee3d01d5d5aab9a0472bc
INIT 0x14080 0x22a0 0x2300 6.48 4354ab341533bda39d4f4dc3548ef9bd
.rsrc 0x16380 0x3f0 0x400 3.40 0184b21986944fd39532f818b4c642ab
.reloc 0x16780 0xcf0 0xd00 6.46 ae8fd4a932f7899f6257876856210914

( 3 imports )
> ntoskrnl.exe: RtlInitUnicodeString, swprintf, KeSetEvent, IoCreateSymbolicLink, IoGetConfigurationInformation, IoDeleteSymbolicLink, MmFreeMappingAddress, IoFreeErrorLogEntry, IoDisconnectInterrupt, MmUnmapIoSpace, ObReferenceObjectByPointer, IofCompleteRequest, RtlCompareUnicodeString, IofCallDriver, MmAllocateMappingAddress, IoAllocateErrorLogEntry, IoConnectInterrupt, IoDetachDevice, KeWaitForSingleObject, KeInitializeEvent, RtlAnsiStringToUnicodeString, RtlInitAnsiString, IoBuildDeviceIoControlRequest, IoQueueWorkItem, MmMapIoSpace, IoInvalidateDeviceRelations, IoReportDetectedDevice, IoReportResourceForDetection, RtlxAnsiStringToUnicodeSize, NlsMbCodePageTag, PoRequestPowerIrp, KeInsertByKeyDeviceQueue, PoRegisterDeviceForIdleDetection, sprintf, MmMapLockedPagesSpecifyCache, ObfDereferenceObject, IoGetAttachedDeviceReference, IoInvalidateDeviceState, ZwClose, ObReferenceObjectByHandle, ZwCreateDirectoryObject, IoBuildSynchronousFsdRequest, PoStartNextPowerIrp, PoCallDriver, IoCreateDevice, IoAllocateDriverObjectExtension, RtlQueryRegistryValues, ZwOpenKey, RtlFreeUnicodeString, IoStartTimer, KeInitializeTimer, IoInitializeTimer, KeInitializeDpc, KeInitializeSpinLock, IoInitializeIrp, ZwCreateKey, RtlAppendUnicodeStringToString, RtlIntegerToUnicodeString, ZwSetValueKey, KeInsertQueueDpc, KefAcquireSpinLockAtDpcLevel, IoStartPacket, KefReleaseSpinLockFromDpcLevel, IoBuildAsynchronousFsdRequest, IoFreeMdl, MmUnlockPages, IoWriteErrorLogEntry, KeRemoveByKeyDeviceQueue, MmMapLockedPagesWithReservedMapping, MmUnmapReservedMapping, KeSynchronizeExecution, IoStartNextPacket, KeBugCheckEx, KeRemoveDeviceQueue, KeSetTimer, KeCancelTimer, _allmul, MmProbeAndLockPages, _except_handler3, PoSetPowerState, IoOpenDeviceRegistryKey, RtlWriteRegistryValue, _aulldiv, strstr, _strupr, KeQuerySystemTime, IoWMIRegistrationControl, KeTickCount, IoAttachDeviceToDeviceStack, IoDeleteDevice, ExAllocatePoolWithTag, IoAllocateWorkItem, IoAllocateIrp, IoAllocateMdl, MmBuildMdlForNonPagedPool, MmLockPagableDataSection, IoGetDriverObjectExtension, MmUnlockPagableImageSection, ExFreePoolWithTag, IoFreeIrp, IoFreeWorkItem, InitSafeBootMode, RtlCompareMemory, RtlCopyUnicodeString, memmove, MmHighestUserAddress
> HAL.dll: KfAcquireSpinLock, READ_PORT_UCHAR, KeGetCurrentIrql, KfRaiseIrql, KfLowerIrql, HalGetInterruptVector, HalTranslateBusAddress, KeStallExecutionProcessor, KfReleaseSpinLock, READ_PORT_BUFFER_USHORT, READ_PORT_USHORT, WRITE_PORT_BUFFER_USHORT, WRITE_PORT_UCHAR
> WMILIB.SYS: WmiSystemControl, WmiCompleteRequest

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
packers (Kaspersky): PE_Patch
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
description..: IDE/ATAPI Port Driver
original name: atapi.sys
internal name: atapi.sys
file version.: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

-------------------------

Dem Rest deiner Mitteilung kann ich nicht so recht folgen.

Was heißt

Zitat:

Als letzten Versuch kann ich CF scripten, dann muss allerdings alles komplett offline erfolgen, sonst laden die Teile wieder nach....

und

Zitat:

Die Datei müssen wir auch noch von CF-Backup hochladen, damit sie in die nächsten Signaturupdates rein kommt..

?

Ich bin nicht so oft von solchen Problemen betroffen. Ein wenig stolz macht es mich dennoch, dass ich der erste war, der diesen netten Gast

hatte (oder besser: Immer noch bewirtet)

Übrigens kommt die KIS-Warnung bezügl. Generic Host Dingsbums nicht mehr. Hat Combofix da was bewirkt, oder ist CF "nur" ein Scanner?

Egal was hier weiter rauskommt, mich hat beindruckt, dass du immer wusstest, worum es geht. Weiter so!

Na dann, bis bald.

Chris4You · 09.11.2009, 08:28

Hi,

CF ist nicht nur ein Scanner, er versucht auch alles was er findet gerade zu biegen (ist unsere Vielzweckwaffe). Nebenbei erstellt er ein aussagekräftiges Log, darin kann man dann versuchen noch was zu finden.

Bei Dir war ein Low-Level-Treiber für die Festplatte verseucht. Der hat alle Leseanweisungen überwacht, und wenn er selbst (das Rootkit) gelesen werden sollte, hat er sich einfach ausgeblendet. Daher konnte kein Scanner, der mit Windows-Boardmittlen liest, das Teil finden.

Bitte wie folgt vorgehen:
Inhalt im Verzeichnis C:\Qoobox (Backupverzeichnis von CF) mit einem Zipper packen und mit Passwort "virus" versehen.
Folge dann dem Punkt 2 unter:
http://www.trojaner-board.de/54791-a...ner-board.html

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

ATTFilter

c:\windows\system32\drivers\sbapifs.sys
c:\windows\system32\drivers\SBREDrv.sys
c:\dokume~1\Besitzer\ANWEND~1\MACROM~1\Common\0b30a0141.dll
c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\0b30a01419.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

ATTFilter

Files to delete:
c:\dokume~1\Besitzer\ANWEND~1\MACROM~1\Common\0b30a0141.dll
c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\0b30a01419.exe

Folders to delete:
c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Macromedia\Common

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

So, das hier als MacroMediaWeg.reg auf dem Desktop speichern (Start->Ausführen->Editor, dort den Text reinkopieren und als
MacroMediaWeg.reg auf dem Desktop speichern, nicht als .txt):

Code:

ATTFilter

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32]
"midi1"=-
"wave1"=-
"aux1"=-
"mixer1"=-
"aux2"=-
"midi2"=-
"wave2"=-
"mixer2"=-

Danach Doppelklick auf das File, die Frage nach dem "zusammenführen" abnicken...

Jetzt MAM updaten und nochmal komplett über den Rechner jagen...
Danach bitte CF deinstallieren (Start->Ausführen combofix /u), neu runterladen und laufen lassen...

chris

icke040 · 15.11.2009, 21:10

Hallo,

danke für die schnelle Antwort.

Zitat:

Lass bei Virustotal auch die
c:\windows\system32\drivers\tcpip.sys prüfen.

ergab:

Datei tcpip.sys empfangen 2009.11.15 19:52:57 (UTC)

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.41 2009.11.15 -
AhnLab-V3 5.0.0.2 2009.11.13 -
AntiVir 7.9.1.65 2009.11.15 -
Antiy-AVL 2.0.3.7 2009.11.13 -
Authentium 5.2.0.5 2009.11.15 -
Avast 4.8.1351.0 2009.11.15 -
AVG 8.5.0.425 2009.11.15 -
BitDefender 7.2 2009.11.15 -
CAT-QuickHeal 10.00 2009.11.13 -
ClamAV 0.94.1 2009.11.15 -
Comodo 2957 2009.11.15 -
DrWeb 5.0.0.12182 2009.11.15 -
eSafe 7.0.17.0 2009.11.15 -
eTrust-Vet 35.1.7121 2009.11.14 -
F-Prot 4.5.1.85 2009.11.15 -
F-Secure 9.0.15370.0 2009.11.11 -
Fortinet 3.120.0.0 2009.11.15 -
GData 19 2009.11.15 -
Ikarus T3.1.1.74.0 2009.11.15 -
Jiangmin 11.0.800 2009.11.12 -
K7AntiVirus 7.10.896 2009.11.13 -
Kaspersky 7.0.0.125 2009.11.15 -
McAfee 5803 2009.11.15 -
McAfee+Artemis 5803 2009.11.15 -
McAfee-GW-Edition 6.8.5 2009.11.15 Heuristic.LooksLike.Trojan.Peed.I
Microsoft 1.5202 2009.11.15 -
NOD32 4610 2009.11.15 -
Norman 6.03.02 2009.11.15 -
nProtect 2009.1.8.0 2009.11.15 -
Panda 10.0.2.2 2009.11.15 -
PCTools 7.0.3.5 2009.11.13 -
Prevx 3.0 2009.11.15 -
Rising 22.21.06.05 2009.11.15 -
Sophos 4.47.0 2009.11.15 -
Sunbelt 3.2.1858.2 2009.11.12 -
Symantec 1.4.4.12 2009.11.15 -
TheHacker 6.5.0.2.070 2009.11.14 -
TrendMicro 9.0.0.1003 2009.11.15 -
VBA32 3.12.10.11 2009.11.15 -
ViRobot 2009.11.14.2037 2009.11.14 -
VirusBuster 4.6.5.0 2009.11.15 -
weitere Informationen
File size: 359040 bytes
MD5...: 09eb23a4567bdd56d9580a059e616e23
SHA1..: 08f92da8c23d82e8c6e59c4293b9cb80e46561a4
SHA256: c75db4ab851f70da42f72b5e35c54c3e75d3d44ca907686adcffa473adeaad08
ssdeep: 6144:Zz7kfce2ijs7Wchmom6p+DmyiJcLeXJZfPeoMfntvgsJ/dfKuheJ5A:Zzbe
2iUWW66M2cLg9LMftt/I3
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x51196
timedatestamp.....: 0x411d45c1 (Fri Aug 13 22:50:41 2004)
machinetype.......: 0x14c (I386)

( 10 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x380 0x3e94e 0x3e980 6.59 5a720f1cab3a5b41fd08c950ff7b20af
.rdata 0x3ed00 0x57c 0x580 4.41 20f2956b25e2956148428004cf624d05
.data 0x3f280 0xa4a4 0xa500 0.06 23eed8fe582434d4b9bc7e201d352eee
PAGE 0x49780 0x1f27 0x1f80 6.39 282802fc700ccaf401b7e7165642efef
PAGEIPMc 0x4b700 0x2783 0x2800 6.41 ab97f31cdd32fb2b0aac2d13bd7d11cc
PAGELK 0x4df00 0x6f2 0x700 6.17 56f528e036ca025e239c9e2fcad941ee
.edata 0x4e600 0x2eb 0x300 5.34 2e7c9c6f03be1d1c2c645ab7748302e9
INIT 0x4e900 0x57f2 0x5800 6.21 5e09e530a8bd67b57e4e32812e49005b
.rsrc 0x54100 0x3e0 0x400 3.35 8913021b476928905d0830e1b0ada537
.reloc 0x54500 0x354c 0x3580 6.81 ca7c65958624e168b5de5493da512524

( 4 imports )
> HAL.dll: KfLowerIrql, KfRaiseIrql, KfReleaseSpinLock, KfAcquireSpinLock, KeGetCurrentIrql, KeRaiseIrqlToDpcLevel, KeQueryPerformanceCounter, ExAcquireFastMutex, ExReleaseFastMutex
> NDIS.SYS: NdisUnchainBufferAtFront, NdisAllocateBuffer, NdisFreePacket, NdisAllocatePacket, NdisSetPacketPoolProtocolId, NdisAllocatePacketPoolEx, NdisReturnPackets, NdisCompleteBindAdapter, NdisReEnumerateProtocolBindings, NdisFreeBufferPool, NdisFreePacketPool, NdisAllocateBufferPool, NdisCompletePnPEvent, NdisCloseAdapter, NdisCancelSendPackets, NdisRequest, NdisFreeMemory, NdisQueryAdapterInstanceName, NdisCopyBuffer, NdisRegisterProtocol, NdisGetReceivedPacket, NdisOpenAdapter, NdisGetDriverHandle
> ntoskrnl.exe: MmLockPagableSectionByHandle, _wcsicmp, wcscpy, wcsncpy, wcschr, RtlAppendUnicodeToString, RtlExtendedMagicDivide, ExLocalTimeToSystemTime, RtlTimeToTimeFields, RtlIpv4StringToAddressW, RtlUnicodeStringToInteger, ZwEnumerateValueKey, KeReadStateEvent, KeReleaseMutex, MmIsThisAnNtAsSystem, KeInitializeMutex, IoRaiseInformationalHardError, RtlAnsiStringToUnicodeString, RtlUnicodeStringToAnsiString, InterlockedPopEntrySList, InterlockedPushEntrySList, ZwQueryValueKey, ZwSetValueKey, ExIsProcessorFeaturePresent, RtlAddAccessAllowedAce, RtlCreateAcl, RtlLengthSid, SeExports, RtlMapGenericMask, IoGetFileObjectGenericMapping, ObReleaseObjectSecurity, SeSetSecurityDescriptorInfo, RtlLengthSecurityDescriptor, RtlSetDaclSecurityDescriptor, RtlCreateSecurityDescriptor, ObGetObjectSecurity, IofCallDriver, IoBuildDeviceIoControlRequest, IoGetDeviceObjectPointer, ObfDereferenceObject, RtlAddAce, RtlGetAce, MmLockPagableDataSection, RtlInitializeSid, RtlLengthRequiredSid, ObSetSecurityObjectByPointer, RtlSelfRelativeToAbsoluteSD, RtlGetSaclSecurityDescriptor, RtlGetGroupSecurityDescriptor, RtlGetOwnerSecurityDescriptor, RtlGetDaclSecurityDescriptor, RtlVerifyVersionInfo, VerSetConditionMask, IoWMIRegistrationControl, IoGetCurrentProcess, KeInitializeTimerEx, RtlExtendedIntegerMultiply, KeQueryInterruptTime, _aulldiv, DbgBreakPoint, KeSetTargetProcessorDpc, RtlSetBit, SeUnlockSubjectContext, SeAccessCheck, SeLockSubjectContext, ObDereferenceSecurityDescriptor, PsGetCurrentProcessId, RtlWalkFrameChain, _aulldvrm, ExNotifyCallback, ExCreateCallback, ObReferenceObjectByHandle, MmUnlockPages, SeFreePrivileges, SeAppendPrivileges, ObLogSecurityDescriptor, SeAssignSecurity, IoFileObjectType, MmProbeAndLockPages, IoAllocateMdl, _except_handler3, ProbeForWrite, ObfReferenceObject, PsGetCurrentProcess, RtlPrefetchMemoryNonTemporal, ExInitializeNPagedLookasideList, KeInitializeDpc, KeInitializeTimer, KeSetTimerEx, ZwClose, IoCreateDevice, IoDeleteDevice, ZwOpenKey, KeDelayExecutionThread, KeWaitForSingleObject, ExDeleteNPagedLookasideList, MmUnlockPagableImageSection, RtlInitUnicodeString, IoCreateSymbolicLink, IoDeleteSymbolicLink, KeSetEvent, KeQueryTimeIncrement, KeEnterCriticalRegion, KeLeaveCriticalRegion, ZwSetInformationThread, KeQuerySystemTime, _allmul, _alldiv, MmQuerySystemSize, ExfInterlockedInsertTailList, RtlCompareUnicodeString, RtlInitializeBitMap, RtlClearAllBits, RtlSetBits, wcslen, RtlCompareMemory, RtlAreBitsSet, RtlClearBits, RtlFindClearBitsAndSet, RtlFindClearRuns, KeCancelTimer, KeClearEvent, DbgPrint, memmove, RtlCopyUnicodeString, RtlAppendUnicodeStringToString, ZwLoadDriver, KeResetEvent, MmMapLockedPages, KeInitializeSpinLock, IoAcquireCancelSpinLock, IoReleaseCancelSpinLock, IofCompleteRequest, KeInitializeEvent, ExfInterlockedAddUlong, ExAllocatePoolWithTag, MmMapLockedPagesSpecifyCache, IoFreeMdl, KefAcquireSpinLockAtDpcLevel, KefReleaseSpinLockFromDpcLevel, KeNumberProcessors, ExFreePoolWithTag, ExAllocatePoolWithTagPriority, KeBugCheckEx, RtlSubAuthoritySid, KeTickCount, MmBuildMdlForNonPagedPool, ZwDeviceIoControlFile, ZwCreateFile
> TDI.SYS: CTESignal, CTESystemUpTime, CTEScheduleDelayedEvent, CTEInitEvent, CTEStartTimer, CTEInitTimer, CTEBlock, TdiProviderReady, CTEInitialize, TdiDeregisterNetAddress, TdiRegisterNetAddress, TdiDeregisterDeviceObject, CTEBlockWithTracker, CTELogEvent, TdiRegisterDeviceObject, TdiCopyMdlChainToMdlChain, TdiPnPPowerRequest, TdiDeregisterProvider, TdiRegisterProvider, TdiInitialize, TdiDeregisterPnPHandlers, TdiRegisterPnPHandlers, CTEScheduleEvent, TdiCopyBufferToMdl, CTERemoveBlockTracker, CTEInsertBlockTracker, TdiMapUserRequest, TdiCopyBufferToMdlWithReservedMappingAtDpcLevel

( 27 exports )
FreeIprBuff, GetIFAndLink, IPAddInterface, IPAllocBuff, IPDelInterface, IPDelayedNdisReEnumerateBindings, IPDeregisterARP, IPDisableSniffer, IPEnableSniffer, IPFreeBuff, IPGetAddrType, IPGetBestInterface, IPGetInfo, IPInjectPkt, IPProxyNdisRequest, IPRegisterARP, IPRegisterProtocol, IPSetIPSecStatus, IPTransmit, LookupRoute, LookupRouteInformation, LookupRouteInformationWithBuffer, SendICMPErr, SetIPSecPtr, UnSetIPSecPtr, UnSetIPSecSendPtr, tcpxsum
RDS...: NSRL Reference Data Set
-
pdfid.: -
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
description..: TCP/IP Protocol Driver
original name: tcpip.sys
internal name: tcpip.sys
file version.: 5.1.2600.2505 (xpsp.040806-1825)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
trid..: Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
-----------------------EoF---------------

Ist das ein FUND?

Zitat:

Die wilx34i.dll bitte von Prevx bereinigen lassen.

Kann ich leider nicht, dazu müsste ich PrevX in der Vollversion kaufen. (Licence required to clean.)

Die sbapifs.sys find ich blöderweise nicht. Selbst die Suche im Windows-Explorer gibt nichts her.
In welchem Ordner liegt die?

Gute Nacht!

Chris4You · 16.11.2009, 09:01

Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

ATTFilter

c:\windows\system32\drivers\sbapifs.sys

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Falls Du die Datei nicht findest, einfach mit Pfad in das Eingabefenster bei virustotal kopieren (c:\windows\system32\drivers\sbapifs.sys) und hochladen... (Das Teil ist mit R markiert, muss also laufen...)

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

ATTFilter

Files to delete:
C:\windows\wilx34i.dll

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

chris

icke040 · 20.11.2009, 22:45

Hallo,

hab Avira booten und scannen lassen. Ging sogar problemlos. Gefunden wurden einige Warnungen. Leider konnte ich den Report nicht kopieren oder speichern.
Ob die Rootkitsuche aktiv war, kann ich nicht sagen. Wenn die standardmäßig aktiv ist, dann lief die mit, ansonsten hab ich nichts extra eingestellt.

Aber, was für ein Wunder, gmer läuft! Hab es nachdem ich deine Meldung gelesen habe, gleich angeworfen, und siehe da, es lief durch.

Hier die Log-File:

GMER 1.0.15.15163 - http://www.gmer.net
Rootkit scan 2009-11-20 21:25:55
Windows 5.1.2600 Service Pack 2
Running: gmer.exe; Driver: C:\DOKUME~1\Besitzer\LOKALE~1\Temp\kwkiifod.sys

---- System - GMER 1.0.15 ----

SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwAdjustPrivilegesToken [0xB74D61DA]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwClose [0xB74D67AE]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwConnectPort [0xB74D81EA]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateFile [0xB74D7B9C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateKey [0xB74D5950]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateSymbolicLinkObject [0xB74D9B7C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateThread [0xB74D65AE]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeleteKey [0xB74D5D92]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeleteValueKey [0xB74D5F92]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeviceIoControlFile [0xB74D7EAC]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDuplicateObject [0xB74DA084]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateKey [0xB74D60A8]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateValueKey [0xB74D6110]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwFsControlFile [0xB74D7D5E]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwLoadDriver [0xB74D9620]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenFile [0xB74D79F8]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenKey [0xB74D5AB2]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenProcess [0xB74D63B2]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenSection [0xB74D9BA6]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenThread [0xB74D62FE]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryKey [0xB74D6178]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryMultipleValueKey [0xB74D5E7C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryValueKey [0xB74D5C5A]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueueApcThread [0xB74D9888]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwReplaceKey [0xB74D55D2]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwRequestWaitReplyPort [0xB74D8A74]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwRestoreKey [0xB74D5734]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwResumeThread [0xB74D9F56]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSaveKey [0xB74D53D0]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSecureConnectPort [0xB74D808C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetContextThread [0xB74D66AC]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetSecurityObject [0xB74D971A]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetSystemInformation [0xB74D9BD0]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetValueKey [0xB74D5B08]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSuspendProcess [0xB74D9CB4]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSuspendThread [0xB74D9DE0]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSystemDebugControl [0xB74D954C]
SSDT \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xB72960B0]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwWriteVirtualMemory [0xB74D64F0]

Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) FsRtlCheckLockForReadAccess
Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) IoIsOperationSynchronous

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!FsRtlCheckLockForReadAccess 804E9E14 5 Bytes JMP B74ED626 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)
.text ntkrnlpa.exe!IoIsOperationSynchronous 804EE54E 5 Bytes JMP B74ED9E0 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)
.text ntkrnlpa.exe!ZwCallbackReturn + 23A8 805010AC 4 Bytes JMP D0B74D81
.text ntkrnlpa.exe!ZwCallbackReturn + 2720 80501424 12 Bytes [B4, 9C, 4D, B7, E0, 9D, 4D, ...]
? C:\WINDOWS\system32\drivers\sbapifs.sys Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

? C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe[1900] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch;
.text C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe[1900] USER32.dll!VRipOutput + FFFA5010 77D12A78 4 Bytes [70, 11, 41, 6D] {JO 0x13; INC ECX; INSD }
? C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe[1908] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch;
.text C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe[1908] USER32.dll!VRipOutput + FFFA5010 77D12A78 4 Bytes [70, 11, 41, 6D] {JO 0x13; INC ECX; INSD }

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [BA11B660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [BA11B070] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [BA11B250] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject] [BA12E820] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject] [BA12E820] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [BA11B830] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [BA11B070] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [BA11B250] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [BA11B660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [BA11B070] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [BA11B830] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [BA11B660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [BA11B250] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Tcpip \Device\Ip kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Tcpip \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\ControlSet001\Services\Aha154x@Tag\0\0\0 6

---- Files - GMER 1.0.15 ----

File C:\WINDOWS\temp\cch~3f5dc38ed.htp 8192 bytes
File C:\WINDOWS\temp\cch~3f5dc5032.htp 8192 bytes

---- EOF - GMER 1.0.15 ----

Natürlich hatte ich nur die gmer-exe, die schon ein paar Tage alt ist, macht das was?

Eine original XP-CD hab ich nicht.

Also keine, mit der mein jetziges Windows installiert wurde. Hab den Computer billig gekauft, da hab ich nach sowas nicht gefragt.

Ist das ein gutes Zeichen, dass GMER jetzt durchläuft?

Im Log steht wieder was von sbapifs, hab das fett gemacht.

Werd mal in deinen anderen thread reinschauen, mal sehen, wie's da läuft.

Gute Nacht!

Chris4You · 21.11.2009, 10:40

Hi,

sieht gut aus, zu sbapifs.sys

Code:

ATTFilter

    Sbapifs.sys is related to SBAPIFS Active Protection Driver.
    Manufacturer: Sunbelt Software

chris

icke040 · 12.11.2009, 18:56

Hallo Chris,

schön, dass du wieder (für mich) da bist.

Hab Avenger laufen lassen, Report hier:

Zitat:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\dokume~1\Besitzer\ANWEND~1\MACROM~1\Common\0b30a0141.dll" deleted successfully.
File "c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\0b30a01419.exe" deleted successfully.
Folder "c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Macromedia\Common" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Das Registry-Teil hab ich auch laufen lassen. Dabei fällt mir ein, das ich seit einiger Zeit keinen Ton habe. Dann kam das mit dem Trojaner, oder was auch immer Kitty ate it oder Silentbanker sind. Auf das Fixen des Tons wollte ich mich danach konzentrieren. Oder hat der Tonausfall irgendwas mit der bösartigen Tätigkeit auf meinem Computer zu tun?

MaM läuft gerade. Das dauert ja ein Weilchen, jedenfalls der volle Scan.

Kann ich ComboFix auch über was anderes deinstallieren? Mit der "Ausführen"-Box kenn ich mich nicht aus. Damit kann ich nicht mal den Editor starten. Vielleicht find ich ComboFix im CCleaner?

Bist du guter Hoffnung, dass der ganze Müll von meiner Festplatte durch deine Maßnahmen verschwinden wird? Das wär toll.

Bis gleich, icke.

Chris4You · 13.11.2009, 08:04

Hi,

der Ton ist weg, weil das Teil sich als diese Treiber hat registrieren lassen (d. h. Du hast das Teil seid der Ton weg war!)... Die verseuchten Reg.-Einträge habe ich über das Script endgelöst, so dass Du die Treiber neu installieren musst...
(sollte hoffentlich kein Problem sein)...

Bitte noch einmal MAM updaten und laufen lassen...

Danach noch SilentRunner:
Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen.
Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten.
http://www.silentrunners.org/Silent%20Runners.zip

Was treibt der Rechner so?

chris

icke040 · 13.11.2009, 17:29

Hallo,

aha, über den Ton hat sich der Mistkerl eingenistet. Na da werd ich mal die CD meiner Soundkarte suchen.

Hier ist der Report von MaM gleich nach dem Laufen von Avenger und dem Registrieren der reg-datei:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3155
Windows 5.1.2600 Service Pack 2

12.11.2009 19:19:57
mbam-log-2009-11-12 (19-19-57).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|H:\|)
Durchsuchte Objekte: 192811
Laufzeit: 37 minute(s), 26 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rundll32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wab (Trojan.Dropper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Macromedia\Common\0b30a01419.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
--------------------EoF---------------

Gleich danach hab ich MaM nochmal laufen lassen:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3155
Windows 5.1.2600 Service Pack 2

12.11.2009 20:38:09
mbam-log-2009-11-12 (20-38-09).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|H:\|)
Durchsuchte Objekte: 192675
Laufzeit: 35 minute(s), 34 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
------------------EoF-------------------

ComboFix hab ich wirklich nach deiner Anleitung deinstalliert bekommen Und danch neu runtergeladen und laufen lassen: (dieses "NewlyCreated* - SBAPIFS" gefält mir gar nicht)

ComboFix 09-11-13.02 - Besitzer 12.11.2009 21:35.3.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.1471.1028 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\Test.exe.exe
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00EB-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00FC-0D24-347CA8A3377C}
AV: Kaspersky Internet Security *On-access scanning disabled* (Outdated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

H:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2009-10-12 bis 2009-11-12 ))))))))))))))))))))))))))))))
.

2009-11-06 08:18 . 2009-08-05 13:58 93872 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2009-11-06 08:18 . 2009-11-06 09:19 -------- d-----w- C:\VIPRERESCUE
2009-11-02 20:38 . 2009-11-02 20:34 102664 ----a-w- c:\windows\system32\drivers\tmcomm.sys
2009-11-02 20:32 . 2009-11-02 20:41 -------- d-----w- c:\dokumente und einstellungen\Besitzer\.housecall6.6
2009-11-01 13:19 . 2009-11-01 13:19 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2009-11-01 13:18 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-01 13:18 . 2009-11-01 13:18 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-11-01 13:18 . 2009-11-01 13:19 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-11-01 13:18 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-10-25 21:46 . 2009-10-25 21:46 -------- d-----w- c:\programme\TeaTimer (Spybot - Search & Destroy)
2009-10-25 21:46 . 2009-10-25 21:46 -------- d-----w- c:\programme\Misc. Support Library (Spybot - Search & Destroy)
2009-10-25 21:45 . 2009-10-25 21:45 -------- d-----w- c:\programme\SDHelper (Spybot - Search & Destroy)
2009-10-25 21:45 . 2009-10-25 21:45 -------- d-----w- c:\programme\File Scanner Library (Spybot - Search & Destroy)
2009-10-24 07:10 . 2009-10-24 07:10 27656 ----a-w- c:\windows\system32\drivers\pxsec.sys
2009-10-24 07:10 . 2009-10-24 07:10 22024 ----a-w- c:\windows\system32\drivers\pxscan.sys
2009-10-24 07:09 . 2009-10-24 07:09 787000 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI\~PrevxCSIUpdate.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-12 20:09 . 2009-06-22 15:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-11-12 20:07 . 2009-06-22 15:17 319520 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2009-11-12 20:07 . 2009-06-22 15:17 2172 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2009-11-12 20:07 . 2009-06-22 15:17 2050080 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-11-12 20:07 . 2009-06-22 15:17 19192 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-11-09 22:14 . 2006-10-17 11:41 -------- d-----w- c:\programme\Zoom Player
2009-11-09 17:16 . 2006-10-12 09:52 40616 ----a-w- c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-11-08 01:00 . 2009-11-08 01:00 0 ----a-w- c:\windows\system32\SBRC.dat
2009-11-02 09:06 . 2009-06-30 21:08 117760 ----a-w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-10-25 22:05 . 2008-09-01 19:01 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-10-25 21:53 . 2008-09-01 19:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-10-25 07:40 . 2004-11-11 12:00 48276 ----a-w- c:\windows\system32\perfc007.dat
2009-10-25 07:40 . 2004-11-11 12:00 316942 ----a-w- c:\windows\system32\perfh007.dat
2009-10-24 07:27 . 2008-09-04 08:08 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI
2009-10-18 20:27 . 2008-09-03 10:41 -------- d-----w- c:\programme\SUPERAntiSpyware
2009-10-14 18:44 . 2009-06-22 15:21 95259 ----a-w- c:\windows\system32\drivers\klick.dat
2009-10-14 18:44 . 2009-06-22 15:21 108059 ----a-w- c:\windows\system32\drivers\klin.dat
2009-10-11 08:06 . 2009-10-11 08:06 -------- d-----w- c:\programme\Gigaflat
2009-10-07 13:41 . 2009-10-07 10:21 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2009-09-07 12:02 . 2007-08-27 09:26 27944 ----a-w- c:\windows\system32\SBBD.exe
2009-08-30 18:42 . 2009-08-30 18:42 59920 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\mzvkbd.dll
2009-08-30 18:42 . 2009-08-30 18:42 109072 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\mzvkbd3.dll
2004-03-11 12:27 . 2007-01-19 16:56 40960 ----a-w- c:\programme\Uninstall_CDS.exe
2006-05-03 10:06 . 2008-05-18 15:59 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 11:47 . 2008-05-18 15:59 31232 --sh--r- c:\windows\system32\msfDX.dll
2007-12-17 13:43 . 2008-05-18 15:59 27648 --sh--w- c:\windows\system32\Smab0.dll
.

------- Sigcheck -------

[-] 2004-11-11 . 09EB23A4567BDD56D9580A059E616E23 . 359040 . . [5.1.2600.2505] . . c:\windows\system32\drivers\tcpip.sys

[-] 2004-11-11 . DB37D307003055ED09711CB3417814C7 . 507392 . . [5.1.2600.2180] . . c:\windows\system32\winlogon.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-10-18 2000112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-10-10 7286784]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-10-10 86016]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"InCD"="c:\programme\Ahead\InCD\InCD.exe" [2006-03-23 1398272]
"mxomssmenu"="c:\programme\Maxtor\OneTouch Status\maxmenumgr.exe" [2007-09-06 169264]
"SBCSTray"="c:\programme\Sunbelt Software\CounterSpy\SBCSTray.exe" [2007-12-21 698864]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2009-07-21 208616]
" Malwarebytes Anti-Malware (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2005-10-10 1519616]
"C-Media Mixer"="Mixer.exe" - c:\windows\mixer.exe [2007-08-14 1228800]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-11-11 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-10-11 17:22 548352 ----a-w- c:\programme\SUPERAntiSpyware\SASWINLO.DLL

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SBCSSvc]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [29.01.2008 16:29 33808]
R0 pxscan;pxscan;c:\windows\system32\drivers\pxscan.sys [24.10.2009 08:10 22024]
R0 pxsec;pxsec;c:\windows\system32\drivers\pxsec.sys [24.10.2009 08:10 27656]
R0 SBHR;SBHR;c:\windows\system32\drivers\sbhr.sys [26.03.2008 12:53 15544]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\SASDIFSV.SYS [19.08.2008 22:34 9968]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [19.08.2008 22:34 74480]
R1 SBRE;SBRE;c:\windows\system32\drivers\SBREDrv.sys [06.11.2009 09:18 93872]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [13.03.2008 17:02 26640]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [19.08.2008 22:34 7408]
R3 SBAPIFS;SBAPIFS;\??\c:\windows\system32\drivers\sbapifs.sys --> c:\windows\system32\drivers\sbapifs.sys [?]
S3 EC168BDA;EC168BDA service;c:\windows\system32\drivers\EC168BDA.sys [09.11.2008 13:28 87296]
S3 ptiusbf;PTI USB Filter;c:\windows\system32\drivers\ptiusbf.sys [14.04.2001 00:22 22474]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - SBAPIFS
*Deregistered* - mbr
*Deregistered* - PROCEXP113
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mStart Page = about:blank
FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\q0w5505z.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com/ig?hl=de&source=iglk
FF - component: c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\q0w5505z.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-12 21:40
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(716)
c:\windows\system32\sfc_os.dll
c:\programme\SUPERAntiSpyware\SASWINLO.DLL
.
Zeit der Fertigstellung: 2009-11-12 21:42
ComboFix-quarantined-files.txt 2009-11-12 20:42
ComboFix2.txt 2009-11-09 17:30

Vor Suchlauf: 10 Verzeichnis(se), 22.440.562.688 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 22.413.017.088 Bytes frei

- - End Of File - - CB8A658906637356C3A98067DC434F61

PrevX hatte doch noch Grund zur Klage (Screenshot)

Zitat:

wilx34i.dll in c:\windows\

Ist da wirklich was los?

virustotal sagt zu dieser Datei:

Datei WILX34I.DLL empfangen 2009.11.13 16:16:52 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 2/41 (4.88%)

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.41 2009.11.13 -
AhnLab-V3 5.0.0.2 2009.11.13 -
AntiVir 7.9.1.65 2009.11.13 -
Antiy-AVL 2.0.3.7 2009.11.13 -
Authentium 5.2.0.5 2009.11.13 -
Avast 4.8.1351.0 2009.11.13 -
AVG 8.5.0.425 2009.11.13 -
BitDefender 7.2 2009.11.13 -
CAT-QuickHeal 10.00 2009.11.13 -
ClamAV 0.94.1 2009.11.13 -
Comodo 2943 2009.11.13 -
DrWeb 5.0.0.12182 2009.11.13 -
eSafe 7.0.17.0 2009.11.12 -
eTrust-Vet 35.1.7119 2009.11.13 -
F-Prot 4.5.1.85 2009.11.13 -
F-Secure 9.0.15370.0 2009.11.11 -
Fortinet 3.120.0.0 2009.11.13 -
GData 19 2009.11.13 -
Ikarus T3.1.1.74.0 2009.11.13 -
Jiangmin 11.0.800 2009.11.12 -
K7AntiVirus 7.10.896 2009.11.13 -
Kaspersky 7.0.0.125 2009.11.13 -
McAfee 5800 2009.11.12 -
McAfee+Artemis 5800 2009.11.12 Artemis!463C16D4F2B2
McAfee-GW-Edition 6.8.5 2009.11.13 -
Microsoft 1.5202 2009.11.13 -
NOD32 4604 2009.11.13 -
Norman 6.03.02 2009.11.13 -
nProtect 2009.1.8.0 2009.11.13 -
Panda 10.0.2.2 2009.11.13 -
PCTools 7.0.3.5 2009.11.13 -
Prevx 3.0 2009.11.13 Medium Risk Malware
Rising 22.21.04.09 2009.11.13 -
Sophos 4.47.0 2009.11.13 -
Sunbelt 3.2.1858.2 2009.11.12 -
Symantec 1.4.4.12 2009.11.13 -
TheHacker 6.5.0.2.067 2009.11.12 -
TrendMicro 9.0.0.1003 2009.11.13 -
VBA32 3.12.10.11 2009.11.13 -
ViRobot 2009.11.13.2035 2009.11.13 -
VirusBuster 4.6.5.0 2009.11.13 -
weitere Informationen
File size: 25984 bytes
MD5...: 463c16d4f2b291663ec8473e55a7fb60
SHA1..: 30396ec7e86537523436fcfc28c7419dc79cf791
SHA256: 826c4d5afa6cb6e20d17ce1da1b880827cf7d32e337a77dcaf8e282ea51ecbc5
ssdeep: 768:80Fz7CBeDucpqpcJQqK7S39NuF9WvLmdb:9oeaO9JVK4v4b
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xe10a
timedatestamp.....: 0x3e02329c (Thu Dec 19 20:57:00 2002)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4e00 0x4e00 6.77 bde54932578d23e2983e6c3255abd835
.rdata 0x6000 0xc00 0xc00 2.52 040cfe68d6c4b7f87df00f5bd6987ddc
.data 0x7000 0x45d8 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b
.rsrc 0xc000 0xbd0 0x600 3.29 bd9b01cb92656312b09f696031159349
Oreloc 0xd000 0x800 0x800 1.89 4b51621564ffa15ffe5fcded674378e2
.neolit 0xe000 0x18ea 0x1a00 6.49 98146d643b19ed846f62e355d50cef63
.reloc 0x10000 0xdc 0x200 3.24 6ef62733de7a3720f3d5e8aa3c2eb561

( 2 imports )
> KERNEL32.dll: GetProcAddress, LoadLibraryA
> USER32.dll: GetWindowTextA

( 2 exports )
_WILExtender2@40, _WILExtenderQuery@12
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
packers (Kaspersky): NeoLite
packers (F-Prot): Neolite
sigcheck:
publisher....: Wilson WindowWare, Inc.
copyright....: Copyright (c) 1994-2003 Wilson WindowWare, Inc. All rights reserved.
product......: WIL WILX Extender DLL
description..: WIL WILX Extender DLL
original name: n/a
internal name: WILX Extender
file version.: 39000
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=2970DB0B8048BB48653400A15F76C400417685D9' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=2970DB0B8048BB48653400A15F76C400417685D9</a>
---------------EoF-------------------

Silentrunner werd ich gleich runterladen und anwerfen. Mal sehen was da rauskommt.

Tja, der Computer an sich läuft jetzt ohne Mucken, zuvor ist er immer langsamer geworden, je länger ich online war. Was da unter der Haube läuft, kann ich natürlich nicht beurteilen.

Übrigens hat sich Combofix bei jedem Sart beschwert, dass da noch AVIRA aktiv wäre. (Screenshot). Den Virenscanner hab ich aber längst nicht mehr auf dem Rechner. Dachte auch, dass CCleaner alle Reste entfernt hätte.

Und was hat es mit der Wiederherstellungskonsole auf sich? Nach der verlangt Combofix ja immer wieder. Übrigens hat mir eines der Tools (ich vermute Combofix), einiges in Windows verändert: versteckte Dateien werden nicht angezeigt, IE ist aktiv, Sicherheitscenter auch.

Hab was über SilentBanker gelesen: Wenn das wirklich der Bösewicht war, hab ich gut daran getan, seitdem ich bemerkt hatte, das da was schief läuft, auf OnlineBanking zu verzichten. Muss wohl trotzdem die Kontoauszüge kontrollieren.

Bis bald!

icke040 · 18.11.2009, 20:54

Hallo,

wie beschrieben hab ich mit einer neuen Version von ComboFix de Computer gescannt. Raus kam:

ComboFix 09-11-18.06 - Besitzer 18.11.2009 17:42.4.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.1471.1016 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\Test.exe
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00EB-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00FC-0D24-347CA8A3377C}
AV: Kaspersky Internet Security *On-access scanning disabled* (Outdated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

H:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2009-10-18 bis 2009-11-18 ))))))))))))))))))))))))))))))
.

2009-11-06 08:18 . 2009-08-05 13:58 93872 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2009-11-06 08:18 . 2009-11-06 09:19 -------- d-----w- C:\VIPRERESCUE
2009-11-02 20:38 . 2009-11-02 20:34 102664 ----a-w- c:\windows\system32\drivers\tmcomm.sys
2009-11-02 20:32 . 2009-11-02 20:41 -------- d-----w- c:\dokumente und einstellungen\Besitzer\.housecall6.6
2009-11-01 13:19 . 2009-11-01 13:19 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2009-11-01 13:18 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-01 13:18 . 2009-11-01 13:18 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-11-01 13:18 . 2009-11-01 13:19 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-11-01 13:18 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-10-25 21:46 . 2009-10-25 21:46 -------- d-----w- c:\programme\TeaTimer (Spybot - Search & Destroy)
2009-10-25 21:46 . 2009-10-25 21:46 -------- d-----w- c:\programme\Misc. Support Library (Spybot - Search & Destroy)
2009-10-25 21:45 . 2009-10-25 21:45 -------- d-----w- c:\programme\SDHelper (Spybot - Search & Destroy)
2009-10-25 21:45 . 2009-10-25 21:45 -------- d-----w- c:\programme\File Scanner Library (Spybot - Search & Destroy)
2009-10-24 07:10 . 2009-10-24 07:10 27656 ----a-w- c:\windows\system32\drivers\pxsec.sys
2009-10-24 07:10 . 2009-10-24 07:10 22024 ----a-w- c:\windows\system32\drivers\pxscan.sys
2009-10-24 07:09 . 2009-10-24 07:09 787000 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI\~PrevxCSIUpdate.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-18 16:18 . 2009-06-22 15:17 2200 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2009-11-18 16:18 . 2009-06-22 15:17 327712 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2009-11-18 16:12 . 2006-10-17 11:41 -------- d-----w- c:\programme\Zoom Player
2009-11-18 15:50 . 2008-10-21 10:46 -------- d-----w- c:\programme\PicMaster
2009-11-18 14:51 . 2009-06-22 15:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-11-17 20:08 . 2009-06-22 15:17 2053664 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-11-17 20:08 . 2009-06-22 15:17 19220 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-11-16 17:13 . 2008-01-16 14:18 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Vso
2009-11-15 21:00 . 2008-09-01 19:01 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-11-09 17:16 . 2006-10-12 09:52 40616 ----a-w- c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-11-08 01:00 . 2009-11-08 01:00 0 ----a-w- c:\windows\system32\SBRC.dat
2009-11-02 09:06 . 2009-06-30 21:08 117760 ----a-w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-10-25 21:53 . 2008-09-01 19:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-10-25 07:40 . 2004-11-11 12:00 48276 ----a-w- c:\windows\system32\perfc007.dat
2009-10-25 07:40 . 2004-11-11 12:00 316942 ----a-w- c:\windows\system32\perfh007.dat
2009-10-24 07:27 . 2008-09-04 08:08 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI
2009-10-18 20:27 . 2008-09-03 10:41 -------- d-----w- c:\programme\SUPERAntiSpyware
2009-10-14 18:44 . 2009-06-22 15:21 95259 ----a-w- c:\windows\system32\drivers\klick.dat
2009-10-14 18:44 . 2009-06-22 15:21 108059 ----a-w- c:\windows\system32\drivers\klin.dat
2009-10-11 08:06 . 2009-10-11 08:06 -------- d-----w- c:\programme\Gigaflat
2009-10-07 13:41 . 2009-10-07 10:21 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2009-09-07 12:02 . 2007-08-27 09:26 27944 ----a-w- c:\windows\system32\SBBD.exe
2009-08-30 18:42 . 2009-08-30 18:42 59920 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\mzvkbd.dll
2009-08-30 18:42 . 2009-08-30 18:42 109072 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\mzvkbd3.dll
2004-03-11 12:27 . 2007-01-19 16:56 40960 ----a-w- c:\programme\Uninstall_CDS.exe
2006-05-03 10:06 . 2008-05-18 15:59 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 11:47 . 2008-05-18 15:59 31232 --sh--r- c:\windows\system32\msfDX.dll
2007-12-17 13:43 . 2008-05-18 15:59 27648 --sh--w- c:\windows\system32\Smab0.dll
.

------- Sigcheck -------

[-] 2004-11-11 . 09EB23A4567BDD56D9580A059E616E23 . 359040 . . [5.1.2600.2505] . . c:\windows\system32\drivers\tcpip.sys

[-] 2004-11-11 . DB37D307003055ED09711CB3417814C7 . 507392 . . [5.1.2600.2180] . . c:\windows\system32\winlogon.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-10-18 2000112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-10-10 7286784]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-10-10 86016]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"InCD"="c:\programme\Ahead\InCD\InCD.exe" [2006-03-23 1398272]
"mxomssmenu"="c:\programme\Maxtor\OneTouch Status\maxmenumgr.exe" [2007-09-06 169264]
"SBCSTray"="c:\programme\Sunbelt Software\CounterSpy\SBCSTray.exe" [2007-12-21 698864]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2009-07-21 208616]
" Malwarebytes Anti-Malware (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2005-10-10 1519616]
"C-Media Mixer"="Mixer.exe" - c:\windows\mixer.exe [2007-08-14 1228800]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-11-11 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-10-11 17:22 548352 ----a-w- c:\programme\SUPERAntiSpyware\SASWINLO.DLL

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SBCSSvc]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [29.01.2008 16:29 33808]
R0 pxscan;pxscan;c:\windows\system32\drivers\pxscan.sys [24.10.2009 08:10 22024]
R0 pxsec;pxsec;c:\windows\system32\drivers\pxsec.sys [24.10.2009 08:10 27656]
R0 SBHR;SBHR;c:\windows\system32\drivers\sbhr.sys [26.03.2008 12:53 15544]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\SASDIFSV.SYS [19.08.2008 22:34 9968]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [19.08.2008 22:34 74480]
R1 SBRE;SBRE;c:\windows\system32\drivers\SBREDrv.sys [06.11.2009 09:18 93872]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [13.03.2008 17:02 26640]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [19.08.2008 22:34 7408]
R3 SBAPIFS;SBAPIFS;\??\c:\windows\system32\drivers\sbapifs.sys --> c:\windows\system32\drivers\sbapifs.sys [?]
S3 EC168BDA;EC168BDA service;c:\windows\system32\drivers\EC168BDA.sys [09.11.2008 13:28 87296]
S3 ptiusbf;PTI USB Filter;c:\windows\system32\drivers\ptiusbf.sys [14.04.2001 00:22 22474]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - SBAPIFS
*Deregistered* - mbr
*Deregistered* - PROCEXP113
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mStart Page = about:blank
FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\q0w5505z.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com/ig?hl=de&source=iglk
FF - component: c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\q0w5505z.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-18 17:49
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(708)
c:\windows\system32\sfc_os.dll
c:\programme\SUPERAntiSpyware\SASWINLO.DLL
.
Zeit der Fertigstellung: 2009-11-18 17:51
ComboFix-quarantined-files.txt 2009-11-18 16:51
ComboFix2.txt 2009-11-12 20:42

Vor Suchlauf: 10 Verzeichnis(se), 20.344.451.072 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 22.396.977.152 Bytes frei

- - End Of File - - E1AF7B2C48CB5375A16DC64853D94419

Und da wäre die beliebte sbapifs.sys wieder.

Hab mal gegoogelt:
Von harmlos

Zitat:

http://www.greatis.com/appdata/a/s/sbapifs.sys.htm

bis "sehr gefährlich"

Zitat:

http://www.scanforfree.com/34/remove-sbapifs-sys.html

reichen die Möglichkeiten.
Was hältst du von der letztgenannten Seite? Sollte ich das probieren oder lade ich mir damit noch mehr Malware?

Wieso meldet CF immer, ich hätte da noch AVIRA zu laufen? Das ist lange her. Bekomme ich diese Einträge irgendwie weg? Avira ist garantiert nicht mehr als Programm installiert.

Bis dann und danke für deine Mühe,: daumenhoc
icke

Chris4You · 20.11.2009, 08:29

Hi,

so kommen wir nicht weiter, wir müssen von aussen scannen...

Antivir, Rescue-CD (wenn keine ATI-GraKa)
http://www.avira.de/de/support/support_downloads.html
Dort bitte das Rescue System sowie das update
dazu runterladen. Beim Start der Anwendung leere CD in den Brenner,
CD brennen lassen. Zweite CD brennen mit dem ausgepackten Update.
Von CD booten (Einstellung im BIOS vornehmen)...
http://www.pcwelt.de/start/sicherheit/antivirus/news/149200/

G Data-Rettungs-CD, Größe ca. 110 MB:
http://www.gdata.de/typo3conf/ext/dam_frontend/pushfile.php?docID=5101
Runterladen, Boot-CD erstellen, von CD booten (im Bios die Bootreihenfolge umstellen, gilt auch für AVIRA)....

Finger von den beiden Webseiten lassen, die sind nicht ganz "koscher" (installiere Dir das WOT-Plugin in den Firefox ;o)...

chris

roore.ws/1.exe trotz KasperskyIS

Log-Analyse und Auswertung: roore.ws/1.exe trotz KasperskyIS