roore.ws/1.exe trotz KasperskyIS

icke040

Hallo,

wie beschrieben hab ich mit einer neuen Version von ComboFix de Computer gescannt. Raus kam:

ComboFix 09-11-18.06 - Besitzer 18.11.2009 17:42.4.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.1471.1016 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\Test.exe
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00EB-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00FC-0D24-347CA8A3377C}
AV: Kaspersky Internet Security *On-access scanning disabled* (Outdated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

H:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2009-10-18 bis 2009-11-18 ))))))))))))))))))))))))))))))
.

2009-11-06 08:18 . 2009-08-05 13:58 93872 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2009-11-06 08:18 . 2009-11-06 09:19 -------- d-----w- C:\VIPRERESCUE
2009-11-02 20:38 . 2009-11-02 20:34 102664 ----a-w- c:\windows\system32\drivers\tmcomm.sys
2009-11-02 20:32 . 2009-11-02 20:41 -------- d-----w- c:\dokumente und einstellungen\Besitzer\.housecall6.6
2009-11-01 13:19 . 2009-11-01 13:19 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2009-11-01 13:18 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-01 13:18 . 2009-11-01 13:18 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-11-01 13:18 . 2009-11-01 13:19 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-11-01 13:18 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-10-25 21:46 . 2009-10-25 21:46 -------- d-----w- c:\programme\TeaTimer (Spybot - Search & Destroy)
2009-10-25 21:46 . 2009-10-25 21:46 -------- d-----w- c:\programme\Misc. Support Library (Spybot - Search & Destroy)
2009-10-25 21:45 . 2009-10-25 21:45 -------- d-----w- c:\programme\SDHelper (Spybot - Search & Destroy)
2009-10-25 21:45 . 2009-10-25 21:45 -------- d-----w- c:\programme\File Scanner Library (Spybot - Search & Destroy)
2009-10-24 07:10 . 2009-10-24 07:10 27656 ----a-w- c:\windows\system32\drivers\pxsec.sys
2009-10-24 07:10 . 2009-10-24 07:10 22024 ----a-w- c:\windows\system32\drivers\pxscan.sys
2009-10-24 07:09 . 2009-10-24 07:09 787000 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI\~PrevxCSIUpdate.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-18 16:18 . 2009-06-22 15:17 2200 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2009-11-18 16:18 . 2009-06-22 15:17 327712 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2009-11-18 16:12 . 2006-10-17 11:41 -------- d-----w- c:\programme\Zoom Player
2009-11-18 15:50 . 2008-10-21 10:46 -------- d-----w- c:\programme\PicMaster
2009-11-18 14:51 . 2009-06-22 15:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-11-17 20:08 . 2009-06-22 15:17 2053664 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-11-17 20:08 . 2009-06-22 15:17 19220 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-11-16 17:13 . 2008-01-16 14:18 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Vso
2009-11-15 21:00 . 2008-09-01 19:01 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-11-09 17:16 . 2006-10-12 09:52 40616 ----a-w- c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-11-08 01:00 . 2009-11-08 01:00 0 ----a-w- c:\windows\system32\SBRC.dat
2009-11-02 09:06 . 2009-06-30 21:08 117760 ----a-w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-10-25 21:53 . 2008-09-01 19:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-10-25 07:40 . 2004-11-11 12:00 48276 ----a-w- c:\windows\system32\perfc007.dat
2009-10-25 07:40 . 2004-11-11 12:00 316942 ----a-w- c:\windows\system32\perfh007.dat
2009-10-24 07:27 . 2008-09-04 08:08 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI
2009-10-18 20:27 . 2008-09-03 10:41 -------- d-----w- c:\programme\SUPERAntiSpyware
2009-10-14 18:44 . 2009-06-22 15:21 95259 ----a-w- c:\windows\system32\drivers\klick.dat
2009-10-14 18:44 . 2009-06-22 15:21 108059 ----a-w- c:\windows\system32\drivers\klin.dat
2009-10-11 08:06 . 2009-10-11 08:06 -------- d-----w- c:\programme\Gigaflat
2009-10-07 13:41 . 2009-10-07 10:21 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2009-09-07 12:02 . 2007-08-27 09:26 27944 ----a-w- c:\windows\system32\SBBD.exe
2009-08-30 18:42 . 2009-08-30 18:42 59920 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\mzvkbd.dll
2009-08-30 18:42 . 2009-08-30 18:42 109072 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\mzvkbd3.dll
2004-03-11 12:27 . 2007-01-19 16:56 40960 ----a-w- c:\programme\Uninstall_CDS.exe
2006-05-03 10:06 . 2008-05-18 15:59 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 11:47 . 2008-05-18 15:59 31232 --sh--r- c:\windows\system32\msfDX.dll
2007-12-17 13:43 . 2008-05-18 15:59 27648 --sh--w- c:\windows\system32\Smab0.dll
.

------- Sigcheck -------

[-] 2004-11-11 . 09EB23A4567BDD56D9580A059E616E23 . 359040 . . [5.1.2600.2505] . . c:\windows\system32\drivers\tcpip.sys

[-] 2004-11-11 . DB37D307003055ED09711CB3417814C7 . 507392 . . [5.1.2600.2180] . . c:\windows\system32\winlogon.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-10-18 2000112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-10-10 7286784]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-10-10 86016]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"InCD"="c:\programme\Ahead\InCD\InCD.exe" [2006-03-23 1398272]
"mxomssmenu"="c:\programme\Maxtor\OneTouch Status\maxmenumgr.exe" [2007-09-06 169264]
"SBCSTray"="c:\programme\Sunbelt Software\CounterSpy\SBCSTray.exe" [2007-12-21 698864]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2009-07-21 208616]
" Malwarebytes Anti-Malware (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2005-10-10 1519616]
"C-Media Mixer"="Mixer.exe" - c:\windows\mixer.exe [2007-08-14 1228800]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-11-11 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-10-11 17:22 548352 ----a-w- c:\programme\SUPERAntiSpyware\SASWINLO.DLL

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SBCSSvc]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [29.01.2008 16:29 33808]
R0 pxscan;pxscan;c:\windows\system32\drivers\pxscan.sys [24.10.2009 08:10 22024]
R0 pxsec;pxsec;c:\windows\system32\drivers\pxsec.sys [24.10.2009 08:10 27656]
R0 SBHR;SBHR;c:\windows\system32\drivers\sbhr.sys [26.03.2008 12:53 15544]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\SASDIFSV.SYS [19.08.2008 22:34 9968]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [19.08.2008 22:34 74480]
R1 SBRE;SBRE;c:\windows\system32\drivers\SBREDrv.sys [06.11.2009 09:18 93872]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [13.03.2008 17:02 26640]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [19.08.2008 22:34 7408]
R3 SBAPIFS;SBAPIFS;\??\c:\windows\system32\drivers\sbapifs.sys --> c:\windows\system32\drivers\sbapifs.sys [?]
S3 EC168BDA;EC168BDA service;c:\windows\system32\drivers\EC168BDA.sys [09.11.2008 13:28 87296]
S3 ptiusbf;PTI USB Filter;c:\windows\system32\drivers\ptiusbf.sys [14.04.2001 00:22 22474]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - SBAPIFS
*Deregistered* - mbr
*Deregistered* - PROCEXP113
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mStart Page = about:blank
FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\q0w5505z.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com/ig?hl=de&source=iglk
FF - component: c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\q0w5505z.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-18 17:49
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(708)
c:\windows\system32\sfc_os.dll
c:\programme\SUPERAntiSpyware\SASWINLO.DLL
.
Zeit der Fertigstellung: 2009-11-18 17:51
ComboFix-quarantined-files.txt 2009-11-18 16:51
ComboFix2.txt 2009-11-12 20:42

Vor Suchlauf: 10 Verzeichnis(se), 20.344.451.072 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 22.396.977.152 Bytes frei

- - End Of File - - E1AF7B2C48CB5375A16DC64853D94419

Und da wäre die beliebte sbapifs.sys wieder.

Hab mal gegoogelt:
Von harmlos bis "sehr gefährlich" reichen die Möglichkeiten.
Was hältst du von der letztgenannten Seite? Sollte ich das probieren oder lade ich mir damit noch mehr Malware?

Wieso meldet CF immer, ich hätte da noch AVIRA zu laufen? Das ist lange her. Bekomme ich diese Einträge irgendwie weg? Avira ist garantiert nicht mehr als Programm installiert.

Bis dann und danke für deine Mühe,: daumenhoc
icke