Hallo,

wie beschrieben hab ich mit einer neuen Version von ComboFix de Computer gescannt. Raus kam:

ComboFix 09-11-18.06 - Besitzer 18.11.2009 17:42.4.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.1471.1016 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\Test.exe
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00EB-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00FC-0D24-347CA8A3377C}
AV: Kaspersky Internet Security *On-access scanning disabled* (Outdated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

H:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2009-10-18 bis 2009-11-18 ))))))))))))))))))))))))))))))
.

2009-11-06 08:18 . 2009-08-05 13:58 93872 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2009-11-06 08:18 . 2009-11-06 09:19 -------- d-----w- C:\VIPRERESCUE
2009-11-02 20:38 . 2009-11-02 20:34 102664 ----a-w- c:\windows\system32\drivers\tmcomm.sys
2009-11-02 20:32 . 2009-11-02 20:41 -------- d-----w- c:\dokumente und einstellungen\Besitzer\.housecall6.6
2009-11-01 13:19 . 2009-11-01 13:19 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2009-11-01 13:18 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-01 13:18 . 2009-11-01 13:18 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-11-01 13:18 . 2009-11-01 13:19 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-11-01 13:18 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-10-25 21:46 . 2009-10-25 21:46 -------- d-----w- c:\programme\TeaTimer (Spybot - Search & Destroy)
2009-10-25 21:46 . 2009-10-25 21:46 -------- d-----w- c:\programme\Misc. Support Library (Spybot - Search & Destroy)
2009-10-25 21:45 . 2009-10-25 21:45 -------- d-----w- c:\programme\SDHelper (Spybot - Search & Destroy)
2009-10-25 21:45 . 2009-10-25 21:45 -------- d-----w- c:\programme\File Scanner Library (Spybot - Search & Destroy)
2009-10-24 07:10 . 2009-10-24 07:10 27656 ----a-w- c:\windows\system32\drivers\pxsec.sys
2009-10-24 07:10 . 2009-10-24 07:10 22024 ----a-w- c:\windows\system32\drivers\pxscan.sys
2009-10-24 07:09 . 2009-10-24 07:09 787000 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI\~PrevxCSIUpdate.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-18 16:18 . 2009-06-22 15:17 2200 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2009-11-18 16:18 . 2009-06-22 15:17 327712 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2009-11-18 16:12 . 2006-10-17 11:41 -------- d-----w- c:\programme\Zoom Player
2009-11-18 15:50 . 2008-10-21 10:46 -------- d-----w- c:\programme\PicMaster
2009-11-18 14:51 . 2009-06-22 15:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-11-17 20:08 . 2009-06-22 15:17 2053664 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-11-17 20:08 . 2009-06-22 15:17 19220 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-11-16 17:13 . 2008-01-16 14:18 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Vso
2009-11-15 21:00 . 2008-09-01 19:01 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-11-09 17:16 . 2006-10-12 09:52 40616 ----a-w- c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-11-08 01:00 . 2009-11-08 01:00 0 ----a-w- c:\windows\system32\SBRC.dat
2009-11-02 09:06 . 2009-06-30 21:08 117760 ----a-w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-10-25 21:53 . 2008-09-01 19:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-10-25 07:40 . 2004-11-11 12:00 48276 ----a-w- c:\windows\system32\perfc007.dat
2009-10-25 07:40 . 2004-11-11 12:00 316942 ----a-w- c:\windows\system32\perfh007.dat
2009-10-24 07:27 . 2008-09-04 08:08 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI
2009-10-18 20:27 . 2008-09-03 10:41 -------- d-----w- c:\programme\SUPERAntiSpyware
2009-10-14 18:44 . 2009-06-22 15:21 95259 ----a-w- c:\windows\system32\drivers\klick.dat
2009-10-14 18:44 . 2009-06-22 15:21 108059 ----a-w- c:\windows\system32\drivers\klin.dat
2009-10-11 08:06 . 2009-10-11 08:06 -------- d-----w- c:\programme\Gigaflat
2009-10-07 13:41 . 2009-10-07 10:21 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2009-09-07 12:02 . 2007-08-27 09:26 27944 ----a-w- c:\windows\system32\SBBD.exe
2009-08-30 18:42 . 2009-08-30 18:42 59920 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\mzvkbd.dll
2009-08-30 18:42 . 2009-08-30 18:42 109072 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\mzvkbd3.dll
2004-03-11 12:27 . 2007-01-19 16:56 40960 ----a-w- c:\programme\Uninstall_CDS.exe
2006-05-03 10:06 . 2008-05-18 15:59 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 11:47 . 2008-05-18 15:59 31232 --sh--r- c:\windows\system32\msfDX.dll
2007-12-17 13:43 . 2008-05-18 15:59 27648 --sh--w- c:\windows\system32\Smab0.dll
.

------- Sigcheck -------

[-] 2004-11-11 . 09EB23A4567BDD56D9580A059E616E23 . 359040 . . [5.1.2600.2505] . . c:\windows\system32\drivers\tcpip.sys

[-] 2004-11-11 . DB37D307003055ED09711CB3417814C7 . 507392 . . [5.1.2600.2180] . . c:\windows\system32\winlogon.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-10-18 2000112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-10-10 7286784]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-10-10 86016]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"InCD"="c:\programme\Ahead\InCD\InCD.exe" [2006-03-23 1398272]
"mxomssmenu"="c:\programme\Maxtor\OneTouch Status\maxmenumgr.exe" [2007-09-06 169264]
"SBCSTray"="c:\programme\Sunbelt Software\CounterSpy\SBCSTray.exe" [2007-12-21 698864]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2009-07-21 208616]
" Malwarebytes Anti-Malware (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2005-10-10 1519616]
"C-Media Mixer"="Mixer.exe" - c:\windows\mixer.exe [2007-08-14 1228800]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-11-11 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-10-11 17:22 548352 ----a-w- c:\programme\SUPERAntiSpyware\SASWINLO.DLL

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SBCSSvc]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [29.01.2008 16:29 33808]
R0 pxscan;pxscan;c:\windows\system32\drivers\pxscan.sys [24.10.2009 08:10 22024]
R0 pxsec;pxsec;c:\windows\system32\drivers\pxsec.sys [24.10.2009 08:10 27656]
R0 SBHR;SBHR;c:\windows\system32\drivers\sbhr.sys [26.03.2008 12:53 15544]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\SASDIFSV.SYS [19.08.2008 22:34 9968]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [19.08.2008 22:34 74480]
R1 SBRE;SBRE;c:\windows\system32\drivers\SBREDrv.sys [06.11.2009 09:18 93872]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [13.03.2008 17:02 26640]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [19.08.2008 22:34 7408]
R3 SBAPIFS;SBAPIFS;\??\c:\windows\system32\drivers\sbapifs.sys --> c:\windows\system32\drivers\sbapifs.sys [?]
S3 EC168BDA;EC168BDA service;c:\windows\system32\drivers\EC168BDA.sys [09.11.2008 13:28 87296]
S3 ptiusbf;PTI USB Filter;c:\windows\system32\drivers\ptiusbf.sys [14.04.2001 00:22 22474]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - SBAPIFS
*Deregistered* - mbr
*Deregistered* - PROCEXP113
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mStart Page = about:blank
FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\q0w5505z.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com/ig?hl=de&source=iglk
FF - component: c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\q0w5505z.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-18 17:49
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(708)
c:\windows\system32\sfc_os.dll
c:\programme\SUPERAntiSpyware\SASWINLO.DLL
.
Zeit der Fertigstellung: 2009-11-18 17:51
ComboFix-quarantined-files.txt 2009-11-18 16:51
ComboFix2.txt 2009-11-12 20:42

Vor Suchlauf: 10 Verzeichnis(se), 20.344.451.072 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 22.396.977.152 Bytes frei

- - End Of File - - E1AF7B2C48CB5375A16DC64853D94419

Und da wäre die beliebte sbapifs.sys wieder.

Hab mal gegoogelt:
Von harmlos

Zitat:

http://www.greatis.com/appdata/a/s/sbapifs.sys.htm

bis "sehr gefährlich"

Zitat:

http://www.scanforfree.com/34/remove-sbapifs-sys.html

reichen die Möglichkeiten.
Was hältst du von der letztgenannten Seite? Sollte ich das probieren oder lade ich mir damit noch mehr Malware?

Wieso meldet CF immer, ich hätte da noch AVIRA zu laufen? Das ist lange her. Bekomme ich diese Einträge irgendwie weg? Avira ist garantiert nicht mehr als Programm installiert.

Bis dann und danke für deine Mühe,: daumenhoc
icke

Hi,

so kommen wir nicht weiter, wir müssen von aussen scannen...

Antivir, Rescue-CD (wenn keine ATI-GraKa)
http://www.avira.de/de/support/support_downloads.html
Dort bitte das Rescue System sowie das update
dazu runterladen. Beim Start der Anwendung leere CD in den Brenner,
CD brennen lassen. Zweite CD brennen mit dem ausgepackten Update.
Von CD booten (Einstellung im BIOS vornehmen)...
http://www.pcwelt.de/start/sicherheit/antivirus/news/149200/

G Data-Rettungs-CD, Größe ca. 110 MB:
http://www.gdata.de/typo3conf/ext/dam_frontend/pushfile.php?docID=5101
Runterladen, Boot-CD erstellen, von CD booten (im Bios die Bootreihenfolge umstellen, gilt auch für AVIRA)....

Finger von den beiden Webseiten lassen, die sind nicht ganz "koscher" (installiere Dir das WOT-Plugin in den Firefox ;o)...

chris

Hallo,
na das sind ja keine guten Nachrichten. Ist da immer noch was aktiv, weshalb ich die Boot-Cd runterlade?

Das mach ich natürlich. Reicht eigentlich eine der Möglichkeiten, oder müssen es alle drei sein?

Und: Was mach ich, wenn ich dann von CD gebootet habe? (Falls das klappt, mit dem Booten von CD hab ich mit diesem Computer Schwierigkeiten, aber das werd ich ja sehen.)

Was ist denn das WOT-Plugin für Firefox?
(Hab's gerade rausgefunden: https://addons.mozilla.org/de/firefox/addon/3456 und installiert.)

Bis gleich!

Hi,

von CD booten, eine reicht (Aviar) und dann denn scanner über die
Festplatte laufen lassen. Wichtig, dabei die Rootkitsuche anschalten...

Wir müssen unbedingt noch GMER zum Laufen bringen, notfalls im abgesicherten Modus probieren, ich brauch ein Log. Ich hege den begründeten Verdacht, das es uns nicht gelungen ist, das Rootkit vollständig zu killen (das Teil kostet mich gerade in einem anderen Thread Nerven ohne Ende: ->http://www.trojaner-board.de/76404-werde-virus-trojaner-nicht-los-vermtl-win32-trojan-tdss-10.html
Du hattest/hast den gleichen drauf, ComboFix hat zwar gemeldet das es bereinigt wurde, die Abstürze von GMER sprechen dagegen...

Hast Du eine Windows-CD von der wir booten können und ggf. die atapi.sys ersetzen können...?

chris

Hallo,

hab Avira booten und scannen lassen. Ging sogar problemlos. Gefunden wurden einige Warnungen. Leider konnte ich den Report nicht kopieren oder speichern.
Ob die Rootkitsuche aktiv war, kann ich nicht sagen. Wenn die standardmäßig aktiv ist, dann lief die mit, ansonsten hab ich nichts extra eingestellt.

Aber, was für ein Wunder, gmer läuft! Hab es nachdem ich deine Meldung gelesen habe, gleich angeworfen, und siehe da, es lief durch.

Hier die Log-File:

GMER 1.0.15.15163 - http://www.gmer.net
Rootkit scan 2009-11-20 21:25:55
Windows 5.1.2600 Service Pack 2
Running: gmer.exe; Driver: C:\DOKUME~1\Besitzer\LOKALE~1\Temp\kwkiifod.sys


---- System - GMER 1.0.15 ----

SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwAdjustPrivilegesToken [0xB74D61DA]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwClose [0xB74D67AE]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwConnectPort [0xB74D81EA]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateFile [0xB74D7B9C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateKey [0xB74D5950]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateSymbolicLinkObject [0xB74D9B7C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateThread [0xB74D65AE]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeleteKey [0xB74D5D92]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeleteValueKey [0xB74D5F92]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeviceIoControlFile [0xB74D7EAC]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDuplicateObject [0xB74DA084]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateKey [0xB74D60A8]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateValueKey [0xB74D6110]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwFsControlFile [0xB74D7D5E]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwLoadDriver [0xB74D9620]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenFile [0xB74D79F8]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenKey [0xB74D5AB2]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenProcess [0xB74D63B2]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenSection [0xB74D9BA6]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenThread [0xB74D62FE]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryKey [0xB74D6178]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryMultipleValueKey [0xB74D5E7C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryValueKey [0xB74D5C5A]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueueApcThread [0xB74D9888]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwReplaceKey [0xB74D55D2]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwRequestWaitReplyPort [0xB74D8A74]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwRestoreKey [0xB74D5734]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwResumeThread [0xB74D9F56]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSaveKey [0xB74D53D0]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSecureConnectPort [0xB74D808C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetContextThread [0xB74D66AC]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetSecurityObject [0xB74D971A]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetSystemInformation [0xB74D9BD0]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetValueKey [0xB74D5B08]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSuspendProcess [0xB74D9CB4]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSuspendThread [0xB74D9DE0]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSystemDebugControl [0xB74D954C]
SSDT \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xB72960B0]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwWriteVirtualMemory [0xB74D64F0]

Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) FsRtlCheckLockForReadAccess
Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) IoIsOperationSynchronous

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!FsRtlCheckLockForReadAccess 804E9E14 5 Bytes JMP B74ED626 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)
.text ntkrnlpa.exe!IoIsOperationSynchronous 804EE54E 5 Bytes JMP B74ED9E0 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)
.text ntkrnlpa.exe!ZwCallbackReturn + 23A8 805010AC 4 Bytes JMP D0B74D81
.text ntkrnlpa.exe!ZwCallbackReturn + 2720 80501424 12 Bytes [B4, 9C, 4D, B7, E0, 9D, 4D, ...]
? C:\WINDOWS\system32\drivers\sbapifs.sys Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

? C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe[1900] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch;
.text C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe[1900] USER32.dll!VRipOutput + FFFA5010 77D12A78 4 Bytes [70, 11, 41, 6D] {JO 0x13; INC ECX; INSD }
? C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe[1908] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch;
.text C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe[1908] USER32.dll!VRipOutput + FFFA5010 77D12A78 4 Bytes [70, 11, 41, 6D] {JO 0x13; INC ECX; INSD }

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [BA11B660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [BA11B070] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [BA11B250] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject] [BA12E820] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject] [BA12E820] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [BA11B830] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [BA11B070] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [BA11B250] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [BA11B660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [BA11B070] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [BA11B830] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [BA11B660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [BA11B250] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Tcpip \Device\Ip kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Tcpip \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\ControlSet001\Services\Aha154x@Tag\0\0\0 6

---- Files - GMER 1.0.15 ----

File C:\WINDOWS\temp\cch~3f5dc38ed.htp 8192 bytes
File C:\WINDOWS\temp\cch~3f5dc5032.htp 8192 bytes

---- EOF - GMER 1.0.15 ----

Natürlich hatte ich nur die gmer-exe, die schon ein paar Tage alt ist, macht das was?

Eine original XP-CD hab ich nicht. Also keine, mit der mein jetziges Windows installiert wurde. Hab den Computer billig gekauft, da hab ich nach sowas nicht gefragt.

Ist das ein gutes Zeichen, dass GMER jetzt durchläuft? Im Log steht wieder was von sbapifs, hab das fett gemacht.

Werd mal in deinen anderen thread reinschauen, mal sehen, wie's da läuft.

Gute Nacht!

Hi,

sieht gut aus, zu sbapifs.sys

Code: Alles auswählenAufklappen

ATTFilter

    Sbapifs.sys is related to SBAPIFS Active Protection Driver.
    Manufacturer: Sunbelt Software
         

chris

Hallo,

na das klingt ja gut. Nur was heißt das jetzt für mich?

Ist mein Freund geheilt?

Hi,

Rechner sollte jetzt sauber sein...

chris

Hallo,

das ist ja richtig goldig, alles wieder ok?

Herzlichen Dank für deine Bemühungen, offenbar haben die mich dazu gebracht, den Bösewicht unschädlich zu machen. Ohne deine Anleitung hätt ich ganz schön alt ausgesehen.

Werd mir nochmal deine Empfehlungen von ganz am Anfang durchlesen. Weißt du, woher ich das SP3 bekomme? Windows7 wird wohl auf meinem System nicht laufen, außerdem läuft das Upgrade von XP nicht so einfach.

Na dann, bis irgendwann mal wieder, ich kann jetzt beruhigt und

icke.

Hi,

SP3-Download: http://www.netzwelt.de/download/6407-microsoft-windows-xp-service-pack-3.html

Ist aber mit einigen 100MB recht moppsig...

Chris