Trojaner: Trojan-GameThief.Win32.Magania

#1 Hallo,

der Virenscanner von Kaspersky Internet Security 2010 hat bei mir 21 Infektionen mit dem Trojaner Trojan-GameThief.Win32.Magania erkannt. Diese konnten entfernt werden.

Vorher waren folgende Probleme aufgetreten, die mittlerweile wieder behoben zu sein scheinen:
- Versteckte Dateien und Ordner ließen sich nicht anzeigen, selbst wenn die entsprechende Option ausgewählt wurde.
- Unter Arbeitsplatz ließen sich einzelne Laufwerke nicht durch Doppelklick öffnen. Statt dessen erschien das Fenster "Wählen Sie ein Programm aus der Liste aus". Kurzzeitig trat dieses Problem vorhin wieder auf. Nach dem Neustart war es verschwunden

Auch wenn diese Probleme nun nicht mehr bestehen, bin ich mir nicht sicher, ob ich den Trojaner wirklich los bin.

Neben Kaspersky habe ich auch Ad-Aware und Spybot Search & Destroy durchlaufen lassen.

Außerdem war Kaspersky vorhin auf einmal beschädigt, sodass ich es neu installieren
muss

Wie kann ich sicher gehen, dass ich den Trojaner los bin?
Ist eine Neuinstallation des Systems erforderlich? Falls ja, wie kann ich am besten meine Daten sichern? Der Trojaner war auch auf meiner externen Festplatte.

Danke im Voraus für eure Hilfe!

#2 Arbeite ab, poste Logs:
http://board.protecus.de/t23187.htm

#3 So, habe die Liste abgearbeitet, hier die Logs:

3. Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2876
Windows 5.1.2600 Service Pack 3

30.09.2009 14:54:44
mbam-log-2009-09-30 (14-54-44).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 91785
Laufzeit: 6 minute(s), 45 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

4. Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:08:33, on 30.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\WiFi\bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\IPSSVC.EXE
C:\WINDOWS\system32\acs.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Intel\WiFi\bin\EvtEng.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
C:\WINDOWS\System32\TPHDEXLG.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
C:\Programme\ThinkPad\Utilities\PWMDBSVC.exe
C:\Programme\Lenovo\System Update\SUService.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lenovo\TrackPoint\tp4serv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\TpShocks.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\Google Calendar Sync\GoogleCalendarSync.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\AcroTray.exe
C:\Programme\Java\jre6\bin\javaw.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\Office12\WINWORD.EXE
C:\Programme\Trend Micro\HijackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.winfuture.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: CmjBrowserHelperObject Object - {07A11D74-9D25-4fea-A833-8B0D76A5577A} - C:\Programme\Mindjet\MindManager 7\Mm7InternetExplorer.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [TrackPointSrv] C:\Programme\Lenovo\TrackPoint\tp4serv.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Google Calendar Sync.lnk = C:\Programme\Google\Google Calendar Sync\GoogleCalendarSync.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: An Mindjet MindManager senden - {941E1A34-C6AF-4baa-A973-224F9C3E04BF} - C:\Programme\Mindjet\MindManager 7\Mm7InternetExplorer.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O23 - Service: Atheros Configuration Service (acs) - Atheros - C:\WINDOWS\system32\acs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Programme\Intel\WiFi\bin\EvtEng.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: IPS-Basisservice (IPSSVC) - Lenovo Group Limited - C:\WINDOWS\system32\IPSSVC.EXE
O23 - Service: Power Manager DBC Service - Unknown owner - C:\Programme\ThinkPad\Utilities\PWMDBSVC.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless WiFi Service (S24EventMonitor) - Intel(R) Corporation - C:\Programme\Intel\WiFi\bin\S24EvMon.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: System Update (SUService) - Lenovo Group Limited - C:\Programme\Lenovo\System Update\SUService.exe
O23 - Service: ThinkVantage Registry Monitor Service - Lenovo Group Limited - C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\WINDOWS\System32\TPHDEXLG.exe
O23 - Service: TVT Scheduler - Lenovo Group Limited - C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe

--
End of file - 9994 bytes

5. GMER 1.0.15.15087 - http://www.gmer.net
Rootkit scan 2009-09-30 18:54:13
Windows 5.1.2600 Service Pack 3
Running: 3yio7sx2.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\pgtdrpow.sys


---- System - GMER 1.0.15 ----

SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwAdjustPrivilegesToken [0xA866E36E]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwClose [0xA866EA86]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwConnectPort [0xA866F60C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateEvent [0xA866FB40]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateFile [0xA866ED78]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateKey [0xA866D460]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateMutant [0xA866FA18]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateNamedPipeFile [0xA866CD0A]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreatePort [0xA866F8D4]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateSection [0xA866E102]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateSemaphore [0xA866FC72]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateSymbolicLinkObject [0xA867140E]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateThread [0xA866E886]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateWaitablePort [0xA866F976]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwDeleteKey [0xA866DA20]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwDeleteValueKey [0xA866DCF8]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwDeviceIoControlFile [0xA866F21C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwDuplicateObject [0xA8671980]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwEnumerateKey [0xA866DE3A]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwEnumerateValueKey [0xA866DEE4]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwFsControlFile [0xA866F016]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwLoadDriver [0xA8670EA6]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwLoadKey [0xA866D43C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwLoadKey2 [0xA866D44E]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwNotifyChangeKey [0xA866E030]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwOpenEvent [0xA866FBE2]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwOpenFile [0xA866EB08]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwOpenKey [0xA866D604]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwOpenMutant [0xA866FAB0]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwOpenProcess [0xA866E56E]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwOpenSection [0xA8671438]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwOpenSemaphore [0xA866FD14]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwOpenThread [0xA866E492]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwQueryKey [0xA866DF8E]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwQueryMultipleValueKey [0xA866DBB6]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwQueryValueKey [0xA866D8BC]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwQueueApcThread [0xA8671128]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwRenameKey [0xA866DB34]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwReplaceKey [0xA866D0C2]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwReplyPort [0xA867009E]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwReplyWaitReceivePort [0xA866FF64]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwRequestWaitReplyPort [0xA8670C30]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwRestoreKey [0xA866D224]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwResumeThread [0xA8671860]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSaveKey [0xA866CEC4]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSecureConnectPort [0xA866F312]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSetContextThread [0xA866E984]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSetInformationToken [0xA86705F2]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSetSecurityObject [0xA8670FA0]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSetSystemInformation [0xA86714C2]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSetValueKey [0xA866D744]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSuspendProcess [0xA86715A6]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSuspendThread [0xA86716D2]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSystemDebugControl [0xA8670DD2]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwTerminateProcess [0xA866E6EA]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwTerminateThread [0xA866E63C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwWriteVirtualMemory [0xA866E7C8]

INT 0x62 ? 8A564BF8
INT 0x63 ? 8A28CBF8
INT 0x73 ? 8A28CBF8
INT 0x82 ? 8A564BF8
INT 0xA4 ? 8A28CBF8
INT 0xB4 ? 8A28CBF8

Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) FsRtlCheckLockForReadAccess
Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) IoIsOperationSynchronous

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!FsRtlCheckLockForReadAccess 804E9FA0 5 Bytes JMP A8663424 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)
.text ntkrnlpa.exe!IoIsOperationSynchronous 804EE87E 5 Bytes JMP A86637DE \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)
.text ntkrnlpa.exe!ZwCallbackReturn + 23C8 80501C00 4 Bytes JMP ABC2A866
.text ntkrnlpa.exe!ZwCallbackReturn + 242C 80501C64 16 Bytes [02, E1, 66, A8, 72, FC, 66, ...]
.text ntkrnlpa.exe!ZwCallbackReturn + 24E8 80501D20 12 Bytes [A6, 0E, 67, A8, 3C, D4, 66, ...]
.text ntkrnlpa.exe!ZwCallbackReturn + 2664 80501E9C 16 Bytes [34, DB, 66, A8, C2, D0, 66, ...]
.text ntkrnlpa.exe!ZwCallbackReturn + 26B8 80501EF0 4 Bytes JMP 4908C75B
.text ...
? sphx.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload B951C8AC 5 Bytes JMP 8A28C1D8
.text azh526g3.SYS B8F69384 1 Byte [20]
.text azh526g3.SYS B8F69384 37 Bytes [20, 00, 00, 68, 00, 00, 00, ...]
.text azh526g3.SYS B8F693AA 24 Bytes [00, 00, 20, 00, 00, E0, 00, ...]
.text azh526g3.SYS B8F693C4 3 Bytes [00, 00, 00]
.text azh526g3.SYS B8F693C9 1 Byte [00]
.text ...

---- User code sections - GMER 1.0.15 ----

? C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe[420] C:\WINDOWS\system32\ntdll.dll time/date stamp mismatch;
? C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe[420] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch;
.text C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe[420] USER32.dll!AlignRects + FFFA5598 7E362A78 4 Bytes [70, 11, 32, 6D]
? C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe[1388] C:\WINDOWS\system32\ntdll.dll time/date stamp mismatch;
? C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe[1388] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch;
.text C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe[1388] USER32.dll!AlignRects + FFFA5598 7E362A78 4 Bytes [70, 11, 32, 6D]

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [BA6AC040] sphx.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [BA6AC13C] sphx.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [BA6AC0BE] sphx.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [BA6AC7FC] sphx.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [BA6AC6D2] sphx.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [BA6BBD92] sphx.sys
IAT \SystemRoot\System32\Drivers\azh526g3.SYS[HAL.dll!KfAcquireSpinLock] 000000AD
IAT \SystemRoot\System32\Drivers\azh526g3.SYS[HAL.dll!READ_PORT_UCHAR] 000000D4
IAT \SystemRoot\System32\Drivers\azh526g3.SYS[HAL.dll!KeGetCurrentIrql] 000000A2
IAT \SystemRoot\System32\Drivers\azh526g3.SYS[HAL.dll!KfRaiseIrql] 000000AF
IAT \SystemRoot\System32\Drivers\azh526g3.SYS[HAL.dll!KfLowerIrql] 0000009C
IAT \SystemRoot\System32\Drivers\azh526g3.SYS[HAL.dll!HalGetInterruptVector] 000000A4
IAT \SystemRoot\System32\Drivers\azh526g3.SYS[HAL.dll!HalTranslateBusAddress] 00000072
IAT \SystemRoot\System32\Drivers\azh526g3.SYS[HAL.dll!KeStallExecutionProcessor] 000000C0
IAT \SystemRoot\System32\Drivers\azh526g3.SYS[HAL.dll!KfReleaseSpinLock] 000000B7
IAT \SystemRoot\System32\Drivers\azh526g3.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] 000000FD
IAT \SystemRoot\System32\Drivers\azh526g3.SYS[HAL.dll!READ_PORT_USHORT] 00000093
IAT \SystemRoot\System32\Drivers\azh526g3.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 00000026
IAT \SystemRoot\System32\Drivers\azh526g3.SYS[HAL.dll!WRITE_PORT_UCHAR] 00000036
IAT \SystemRoot\System32\Drivers\azh526g3.SYS[WMILIB.SYS!WmiSystemControl] 000000F7
IAT \SystemRoot\System32\Drivers\azh526g3.SYS[WMILIB.SYS!WmiCompleteRequest] 000000CC
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject] [B9FDB7B0] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject] [B9FDB7B0] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8A5631F8

AttachedDevice \Driver\Tcpip \Device\Ip kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

Device \Driver\PCI_PNP9630 \Device\00000050 sphx.sys
Device \Driver\sptd \Device\53592130 sphx.sys
Device \Driver\usbuhci \Device\USBPDO-0 8A28B1F8
Device \Driver\usbuhci \Device\USBPDO-1 8A28B1F8
Device \Driver\usbuhci \Device\USBPDO-2 8A28B1F8
Device \Driver\usbuhci \Device\USBPDO-3 8A28B1F8
Device \Driver\usbehci \Device\USBPDO-4 8A25E1F8

AttachedDevice \Driver\Tcpip \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

Device \Driver\Ftdisk \Device\HarddiskVolume1 8A4F91F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{7D30C85E-C47A-4C6C-A74E-D4B91E86D36A} 895F11F8
Device \Driver\Cdrom \Device\CdRom0 8A1231F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{4249F239-C6E8-46DE-B751-97024B7BC4F5} 895F11F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 895F11F8
Device \Driver\NetBT \Device\NetbiosSmb 895F11F8

AttachedDevice \Driver\Tcpip \Device\Udp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Tcpip \Device\RawIp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

Device \Driver\usbuhci \Device\USBFDO-0 8A28B1F8
Device \Driver\usbuhci \Device\USBFDO-1 8A28B1F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 895EB1F8
Device \Driver\usbuhci \Device\USBFDO-2 8A28B1F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 895EB1F8
Device \Driver\usbuhci \Device\USBFDO-3 8A28B1F8
Device \Driver\usbehci \Device\USBFDO-4 8A25E1F8
Device \Driver\Ftdisk \Device\FtControl 8A4F91F8
Device \Driver\azh526g3 \Device\Scsi\azh526g31 8A1851F8
Device \Driver\azh526g3 \Device\Scsi\azh526g31Port2Path0Target0Lun0 8A1851F8
Device \FileSystem\Cdfs \Cdfs 8A1A8298

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x1C 0xD8 0x68 0x7A ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0xD3 0xF8 0x50 0x1B ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0x16 0x6F 0x97 0x08 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x1C 0xD8 0x68 0x7A ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0xD3 0xF8 0x50 0x1B ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0x16 0x6F 0x97 0x08 ...

---- EOF - GMER 1.0.15 ----

6. Uninstall List
Access IBM
Adobe Acrobat 7.0 Professional
Adobe Bridge 1.0
Adobe Common File Installer
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Help Center 1.0
Adobe Photoshop CS2
Adobe Reader 9.1 - Deutsch
Adobe Shockwave Player 11.5
Adobe Stock Photos 1.0
Apple Application Support
Apple Mobile Device Support
Apple Software Update
Ergänzung zu Productivity Center für ThinkPad
FoxyTunes for Firefox
Funktion "TrackPoint-Eingabehilfen"
Google Calendar Sync
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB952287)
Hotfix für Windows XP (KB961118)
Intel PROSet Wireless
Intel(R) Graphics Media Accelerator Driver for Mobile
iTunes
Java(TM) 6 Update 16
Kaspersky Internet Security 2010
Kaspersky Internet Security 2010
K-Lite Codec Pack 5.1.0 (Full)
Maintenance Manager
Malwarebytes' Anti-Malware
Message Center Plus
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Kernel-Mode Driver Framework Feature Pack 1.7
Microsoft Office Access MUI (German) 2007
Microsoft Office Enterprise 2007
Microsoft Office Enterprise 2007
Microsoft Office Excel MUI (German) 2007
Microsoft Office Groove MUI (German) 2007
Microsoft Office InfoPath MUI (German) 2007
Microsoft Office OneNote MUI (German) 2007
Microsoft Office Outlook MUI (German) 2007
Microsoft Office PowerPoint MUI (German) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (Italian) 2007
Microsoft Office Proofing (German) 2007
Microsoft Office Publisher MUI (German) 2007
Microsoft Office Shared MUI (German) 2007
Microsoft Office Word MUI (German) 2007
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Mindjet MindManager Pro 7
Mozilla Firefox (3.5.3)
MSXML 4.0 SP2 (KB954430)
Nero 7 Ultra Edition
PDF-XChange 3.0
QuickTime
Sicherheitsupdate für Windows Internet Explorer 8 (KB971961)
Sicherheitsupdate für Windows Internet Explorer 8 (KB972260)
Sicherheitsupdate für Windows Media Player (KB968816)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB956844)
Skype™ 4.1
Spybot - Search & Destroy
System Update
ThinkPad 11a/b/g/n Wireless LAN Mini-PCI Express Adapter
ThinkPad Bluetooth with Enhanced Data Rate Software
ThinkPad Energie-Manager
ThinkPad Integrated 56K Modem
ThinkPad Power Management Driver
ThinkPad SATA Power Management Driver
ThinkPad TrackPoint Driver
ThinkPad-Konfiguration
ThinkVantage Fingerprint Software
ThinkVantage Productivity Center
ThinkVantage System für aktiven Festplattenschutz
Trillian
TuneUp Utilities 2008
Tweak UI
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)
Update für Windows XP (KB898461)
Update für Windows XP (KB951978)
Update für Windows XP (KB967715)
Update für Windows XP (KB968389)
Visual C++ 2008 x86 Runtime - (v9.0.30729)
Visual C++ 2008 x86 Runtime - v9.0.30729.01
VLC media player 1.0.1
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows Media Player Firefox Plugin
WinRAR Archivierer

#4 führe noch combofix aus, poste das log

#5 Hier der Combofix Log:

ComboFix 09-09-29.04 - Administrator 30.09.2009 19:56.1.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2038.1516 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
AV: Kaspersky Internet Security *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2009-08-28 bis 2009-09-30 ))))))))))))))))))))))))))))))
.

2009-09-30 13:06 . 2009-09-30 13:06 -------- d-----w- c:\programme\Trend Micro
2009-09-30 12:41 . 2009-09-30 12:41 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2009-09-30 12:41 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-30 12:41 . 2009-09-30 12:41 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-30 12:39 . 2009-09-30 12:41 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-09-30 12:39 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-29 19:18 . 2009-09-29 19:18 -------- d-----w- c:\windows\Sun
2009-09-29 18:07 . 2001-08-18 02:22 12288 -c--a-w- c:\windows\system32\dllcache\mouhid.sys
2009-09-29 18:07 . 2001-08-18 02:22 12288 ----a-w- c:\windows\system32\drivers\mouhid.sys
2009-09-26 07:27 . 2009-09-29 07:06 128400 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-09-23 23:21 . 2009-09-30 17:47 -------- d-----w- c:\programme\Trillian
2009-09-23 18:52 . 2009-07-27 23:02 28672 ------w- c:\windows\PWMBTHLP.EXE
2009-09-23 18:52 . 2009-07-27 23:02 4442 ------w- c:\windows\system32\drivers\TPPWRIF.SYS
2009-09-23 12:55 . 1998-10-29 14:45 306688 ----a-w- c:\windows\IsUninst.exe
2009-09-23 10:03 . 2009-09-23 10:03 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google
2009-09-23 10:03 . 2009-09-23 10:03 -------- d-----w- c:\programme\Google
2009-09-22 23:59 . 2009-04-29 18:04 380928 ----a-w- c:\programme\xp-AntiSpy.exe
2009-09-22 23:50 . 2003-06-25 14:05 266360 ----a-w- c:\windows\system32\TweakUI.exe
2009-09-22 23:25 . 2009-09-22 23:25 -------- d-----w- c:\programme\Windows Media Connect 2
2009-09-22 23:22 . 2009-09-22 23:23 -------- d-----w- c:\windows\system32\drivers\UMDF
2009-09-22 23:22 . 2009-09-22 23:22 -------- d-----w- c:\windows\system32\LogFiles
2009-09-22 23:09 . 2008-04-14 05:52 221184 ----a-w- c:\windows\system32\wmpns.dll
2009-09-22 23:04 . 2009-09-22 23:04 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\DL
2009-09-22 23:00 . 2009-09-30 07:50 -------- d-----w- c:\dokumente und einstellungen\Administrator\.Zettelkasten
2009-09-22 21:23 . 2009-09-22 21:23 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\IBM
2009-09-22 21:20 . 2009-09-22 21:20 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\IBM
2009-09-22 20:16 . 2009-09-22 20:16 -------- d-----w- c:\windows\system32\config\systemprofile\Anwendungsdaten\Intel
2009-09-22 20:16 . 2009-09-22 20:16 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Intel
2009-09-22 20:16 . 2009-09-22 20:16 -------- d-----w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Intel
2009-09-22 20:16 . 2009-09-22 20:16 -------- d-----w- c:\dokumente und einstellungen\Default User\Anwendungsdaten\Intel
2009-09-22 20:16 . 2009-09-22 20:16 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Intel
2009-09-22 20:15 . 2009-09-22 20:15 -------- d-----w- c:\programme\Gemeinsame Dateien\Intel
2009-09-22 20:15 . 2009-09-22 20:15 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Intel
2009-09-22 16:03 . 2009-09-22 16:03 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache
2009-09-22 01:03 . 2009-09-22 08:58 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-09-22 01:03 . 2009-09-22 01:13 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-09-22 00:43 . 2009-09-22 18:04 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-09-22 00:26 . 2009-09-22 00:26 -------- d-----w- c:\programme\Gemeinsame Dateien\SPBA
2009-09-22 00:25 . 2009-09-22 18:05 -------- dc-h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864}
2009-09-22 00:06 . 2009-09-22 00:06 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\vlc
2009-09-22 00:01 . 2009-09-22 00:01 -------- d-----w- c:\programme\VideoLAN
2009-09-21 23:59 . 2009-08-16 15:08 178176 ----a-w- c:\windows\system32\unrar.dll
2009-09-21 23:58 . 2004-01-25 16:18 217088 ----a-w- c:\windows\system32\yv12vfw.dll
2009-09-21 23:58 . 2009-05-29 21:37 205824 ----a-w- c:\windows\system32\xvidvfw.dll
2009-09-21 23:58 . 2009-05-29 21:31 881664 ----a-w- c:\windows\system32\xvidcore.dll
2009-09-21 23:58 . 2009-06-02 16:11 85504 ----a-w- c:\windows\system32\ff_vfw.dll
2009-09-21 23:58 . 2009-09-22 00:00 -------- d-----w- c:\programme\K-Lite Codec Pack
2009-09-21 23:54 . 2009-09-21 23:54 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\AdobeUM
2009-09-21 23:29 . 2009-09-21 23:29 604140 --sha-w- c:\windows\system32\drivers\ISwift3.dat
2009-09-21 23:22 . 2009-09-22 13:39 107547 ----a-w- c:\windows\system32\drivers\klin.dat
2009-09-21 23:22 . 2009-09-22 13:39 95259 ----a-w- c:\windows\system32\drivers\klick.dat
2009-09-21 23:20 . 2009-09-30 18:04 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-09-21 23:20 . 2009-09-21 23:20 -------- d-----w- c:\programme\Kaspersky Lab
2009-09-21 23:18 . 2009-09-21 23:18 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2009-09-21 21:33 . 2009-09-21 21:33 354560 ----a-w- c:\windows\system32\TuneUpDefragService.exe
2009-09-21 21:31 . 2008-04-04 12:51 28416 ----a-w- c:\windows\system32\uxtuneup.dll
2009-09-21 21:31 . 2009-09-21 21:31 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\TuneUp Software
2009-09-21 21:30 . 2009-09-21 21:30 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2009-09-21 21:30 . 2009-09-21 21:33 -------- d-----w- c:\programme\TuneUp Utilities 2008
2009-09-21 21:30 . 2009-09-21 21:30 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-09-21 21:22 . 2009-09-21 21:22 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mindjet
2009-09-21 21:19 . 2009-09-21 21:19 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\{386B8773-4D93-4284-944E-29744A68C8BC}
2009-09-21 21:14 . 2009-09-21 21:14 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mindjet
2009-09-21 21:13 . 2009-09-21 21:13 -------- d-----w- c:\programme\MSXML 6.0
2009-09-21 21:13 . 2002-12-28 08:26 20569 ----a-w- c:\windows\system32\pxc25pm.dll
2009-09-21 21:12 . 2009-09-21 21:12 -------- d-----w- c:\programme\Mindjet
2009-09-21 20:56 . 2009-09-21 20:56 -------- d-----w- c:\windows\Downloaded Installations
2009-09-21 20:15 . 2009-09-21 23:44 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Ahead
2009-09-21 20:07 . 2009-09-21 20:07 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Ahead
2009-09-21 20:06 . 2009-09-21 20:06 -------- d-----w- c:\programme\Nero
2009-09-21 20:06 . 2009-09-21 20:06 -------- d-----w- c:\programme\Gemeinsame Dateien\Ahead
2009-09-21 19:42 . 2008-04-14 05:52 21504 -c--a-w- c:\windows\system32\dllcache\hidserv.dll
2009-09-21 19:42 . 2008-04-14 05:52 21504 ----a-w- c:\windows\system32\hidserv.dll
2009-09-21 19:42 . 2008-04-13 22:15 10368 -c--a-w- c:\windows\system32\dllcache\hidusb.sys
2009-09-21 19:42 . 2008-04-13 22:15 10368 ----a-w- c:\windows\system32\drivers\hidusb.sys
2009-09-21 19:42 . 2008-04-13 22:15 60032 -c--a-w- c:\windows\system32\dllcache\usbaudio.sys
2009-09-21 19:42 . 2008-04-13 22:15 60032 ----a-w- c:\windows\system32\drivers\USBAUDIO.sys
2009-09-21 19:42 . 2008-04-13 22:15 32128 -c--a-w- c:\windows\system32\dllcache\usbccgp.sys
2009-09-21 19:42 . 2008-04-13 22:15 32128 ----a-w- c:\windows\system32\drivers\usbccgp.sys
2009-09-21 18:17 . 2009-09-30 12:43 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Skype
2009-09-21 18:17 . 2009-09-21 18:17 -------- d-----r- c:\programme\Skype
2009-09-21 18:17 . 2009-09-21 18:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-09-21 18:15 . 2009-09-21 23:24 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Apple Computer
2009-09-21 18:14 . 2009-05-18 12:17 26600 ----a-w- c:\windows\system32\drivers\GEARAspiWDM.sys
2009-09-21 18:14 . 2008-04-17 11:12 107368 ----a-w- c:\windows\system32\GEARAspi.dll
2009-09-21 18:14 . 2009-09-21 18:14 -------- d-----w- c:\programme\iPod
2009-09-21 18:13 . 2009-09-21 18:14 -------- d-----w- c:\programme\iTunes
2009-09-21 18:13 . 2009-09-21 18:14 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD}
2009-09-21 18:12 . 2009-09-21 18:13 -------- d-----w- c:\programme\QuickTime
2009-09-21 18:12 . 2009-09-21 18:13 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-09-21 18:12 . 2009-09-21 18:12 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Apple
2009-09-21 18:12 . 2009-09-21 18:12 -------- d-----w- c:\programme\Apple Software Update
2009-09-21 18:12 . 2009-09-22 20:15 -------- dc----w- c:\windows\system32\DRVSTORE
2009-09-21 18:11 . 2009-09-21 18:11 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple
2009-09-21 18:11 . 2009-09-21 18:11 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2009-09-21 18:10 . 2009-09-21 19:44 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Apple Computer
2009-09-21 17:59 . 2009-09-21 17:59 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-09-21 17:59 . 2009-09-21 17:59 -------- d-----w- c:\programme\Java
2009-09-21 17:50 . 2009-09-21 17:50 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Adobe Systems
2009-09-21 17:47 . 2009-09-21 17:47 -------- d-----w- c:\windows\system32\Adobe
2009-09-21 17:45 . 2009-09-21 17:45 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe Systems Shared
2009-09-21 17:40 . 2009-09-21 18:02 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2009-09-21 17:38 . 2009-09-25 09:04 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Adobe
2009-09-21 17:37 . 2006-10-26 17:56 32592 ----a-w- c:\windows\system32\msonpmon.dll
2009-09-21 17:37 . 2009-09-21 17:37 -------- d-----w- c:\programme\Microsoft Works
2009-09-21 17:35 . 2009-09-21 17:35 0 ----a-w- c:\windows\nsreg.dat
2009-09-21 17:35 . 2009-09-21 17:35 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla
2009-09-21 17:34 . 2009-09-21 17:34 -------- d-----w- c:\programme\Microsoft.NET
2009-09-21 17:31 . 2009-09-21 17:31 -------- d-----w- c:\windows\SHELLNEW
2009-09-21 17:30 . 2009-09-21 17:30 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft Help
2009-09-21 17:30 . 2009-09-23 23:52 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-09-21 17:29 . 2009-09-21 17:29 -------- d-----r- C:\MSOCache
2009-09-21 17:21 . 2009-09-21 17:21 -------- d-----w- c:\programme\Alcohol Soft
2009-09-21 17:16 . 2009-09-21 17:16 716272 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-09-16 13:45 . 2008-04-13 22:15 6272 -c--a-w- c:\windows\system32\dllcache\splitter.sys
2009-09-16 13:45 . 2008-04-13 22:15 6272 ----a-w- c:\windows\system32\drivers\splitter.sys
2009-09-16 13:45 . 2008-04-13 22:47 83072 -c--a-w- c:\windows\system32\dllcache\wdmaud.sys
2009-09-16 13:45 . 2008-04-13 22:47 83072 ----a-w- c:\windows\system32\drivers\wdmaud.sys
2009-09-16 13:45 . 2008-04-13 22:15 52864 -c--a-w- c:\windows\system32\dllcache\dmusic.sys
2009-09-16 13:45 . 2008-04-13 22:15 52864 ----a-w- c:\windows\system32\drivers\DMusic.sys
2009-09-16 13:45 . 2008-04-13 22:15 56576 -c--a-w- c:\windows\system32\dllcache\swmidi.sys
2009-09-16 13:45 . 2008-04-13 22:15 56576 ----a-w- c:\windows\system32\drivers\swmidi.sys
2009-09-16 13:45 . 2008-04-13 20:09 142592 -c--a-w- c:\windows\system32\dllcache\aec.sys
2009-09-16 13:45 . 2008-04-13 20:09 142592 ----a-w- c:\windows\system32\drivers\aec.sys
2009-09-16 13:45 . 2008-04-13 22:15 172416 -c--a-w- c:\windows\system32\dllcache\kmixer.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-23 18:52 . 2009-09-11 10:51 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-09-22 21:29 . 2001-08-18 19:00 81498 ----a-w- c:\windows\system32\perfc007.dat
2009-09-22 21:29 . 2001-08-18 19:00 452480 ----a-w- c:\windows\system32\perfh007.dat
2009-09-22 20:15 . 2009-09-11 10:58 -------- d-----w- c:\programme\Intel
2009-09-22 00:27 . 2009-09-16 13:44 -------- d-----w- c:\programme\ThinkVantage Fingerprint Software
2009-09-21 19:44 . 2009-09-11 10:39 51448 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-09-11 11:20 . 2009-09-11 10:32 -------- d-----w- c:\programme\Lenovo
2009-09-11 11:19 . 2009-09-11 10:54 -------- d-----w- c:\programme\ThinkPad
2009-09-11 11:18 . 2009-09-11 10:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lenovo
2009-09-11 11:00 . 2009-09-11 11:00 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_tp4track_01007.Wdf
2009-09-11 11:00 . 2009-09-11 11:00 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2009-09-11 10:59 . 2009-09-11 10:59 -------- d-----w- c:\programme\IBM
2009-09-11 10:59 . 2009-09-11 10:51 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield
2009-09-11 10:56 . 2009-09-11 10:56 -------- d-----w- c:\programme\CONEXANT
2009-09-11 10:53 . 2009-09-11 10:53 -------- d--h--r- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Atheros
2009-09-11 10:52 . 2009-09-11 10:52 1904 ----a-w- c:\windows\system32\SMBIOS.bin
2009-09-11 10:42 . 2009-09-11 10:41 -------- d-----w- c:\programme\Gemeinsame Dateien\Lenovo
2009-09-11 10:42 . 2009-09-11 10:32 30144 ----a-w- c:\windows\system32\drivers\psadd.sys
2009-09-11 10:42 . 2009-09-11 10:42 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Downloaded Installations
2009-09-11 09:48 . 2009-09-11 09:48 -------- d-----w- c:\programme\MSBuild
2009-09-11 09:47 . 2009-09-11 09:47 -------- d-----w- c:\programme\Reference Assemblies
2009-09-11 08:40 . 2009-09-11 08:40 -------- d-----w- c:\programme\microsoft frontpage
2009-09-11 08:38 . 2009-09-11 08:38 -------- d-----w- c:\programme\Online-Dienste
2009-09-11 08:37 . 2009-09-11 08:37 -------- d-----w- c:\programme\Gemeinsame Dateien\Dienste
2009-09-11 08:35 . 2009-09-11 08:35 21740 ----a-w- c:\windows\system32\emptyregdb.dat
2009-08-05 08:59 . 2004-08-03 22:57 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-29 04:34 . 2004-08-03 22:57 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-07-29 04:34 . 2001-08-18 19:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-07-17 19:01 . 2004-08-03 22:57 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 21:43 . 2004-08-03 22:57 286208 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-03 16:55 . 2004-08-03 22:57 915456 ----a-w- c:\windows\system32\wininet.dll
2009-07-03 13:48 . 2009-07-03 13:48 219664 ----a-w- c:\windows\system32\klogon.dll
2009-07-03 13:45 . 2009-07-03 13:45 27507 ----a-w- c:\windows\system32\drivers\klopp.dat
2008-07-29 17:21 . 2009-09-22 23:59 198204 ----a-w- c:\programme\xp-AntiSpy.chm
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TrackPointSrv"="c:\programme\Lenovo\TrackPoint\tp4serv.exe" [2009-06-26 92960]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2006-06-30 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-06-30 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2006-06-30 118784]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe" [2009-07-03 303376]
"PWRMGRTR"="c:\progra~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2009-07-27 421888]
"TpShocks"="TpShocks.exe" - c:\windows\system32\TpShocks.exe [2009-02-02 181536]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Administrator\Startmen�\Programme\Autostart\
Google Calendar Sync.lnk - c:\programme\Google\Google Calendar Sync\GoogleCalendarSync.exe [2008-10-2 546288]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoTaskGrouping"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoTaskGrouping"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoTaskGrouping"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2009-05-21 14:54 100104 ----a-w- c:\programme\ThinkVantage Fingerprint Software\psqlpwd.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat Speed Launcher.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat Speed Launcher.lnk
backup=c:\windows\pss\Adobe Acrobat Speed Launcher.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Adobe LM Service"=3 (0x3)
"JavaQuickStarterService"=2 (0x2)
"Irmon"=2 (0x2)
"TapiSrv"=3 (0x3)
"TuneUp.Defrag"=3 (0x3)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"AlcoholAutomount"="c:\programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
"pdfSaver3"="c:\programme\Mindjet\MindManager 7\PDF-XChange\pdfSaver\pdfSaver3.exe"
"SpybotSD TeaTimer"=c:\programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Acrobat Assistant 7.0"="c:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"NeroFilterCheck"=c:\windows\system32\NeroCheck.exe
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe"
"MMReminderService"=c:\programme\Mindjet\MindManager 7\MMReminderService.exe
"Message Center Plus"=c:\programme\LENOVO\Message Center Plus\MCPLaunch.exe /start
"AwaySch"=c:\programme\Lenovo\AwayTask\AwaySch.EXE
"LPMailChecker"=c:\progra~1\THINKV~1\PrdCtr\LPMLCHK.exe
"LPManager"=c:\progra~1\THINKV~1\PrdCtr\LPMGR.exe
"TVT Scheduler Proxy"=c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
"TP4EX"=tp4ex.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [15.12.2008 20:41 33808]
R0 Shockprf;Shockprf;c:\windows\system32\drivers\ApsX86.sys [28.01.2009 17:58 117800]
R0 TPDIGIMN;TPDIGIMN;c:\windows\system32\drivers\ApsHM86.sys [28.01.2009 17:57 20520]
R0 TPDiskPM;TPDiskPM;c:\windows\system32\drivers\TPDiskPM.sys [11.09.2009 12:52 14848]
R1 TPPWRIF;TPPWRIF;c:\windows\system32\drivers\TPPWRIF.SYS [23.09.2009 20:52 4442]
R2 Power Manager DBC Service;Power Manager DBC Service;c:\programme\ThinkPad\Utilities\PWMDBSVC.exe [23.09.2009 20:52 53248]
R2 smihlp2;SMI Helper Driver (smihlp2);c:\programme\ThinkVantage Fingerprint Software\smihlp.sys [13.03.2009 14:47 12560]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [13.05.2009 17:46 31760]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [16.05.2009 20:59 19472]
R3 Tp4Track;PS/2 TrackPoint Driver;c:\windows\system32\drivers\tp4track.sys [26.01.2009 14:02 23080]
R3 TPInput;TPInput;c:\windows\system32\drivers\TPInput.sys [11.09.2009 12:52 6528]
R3 WSIMD;wsimd Service;c:\windows\system32\drivers\wsimd.sys [11.09.2009 12:53 57408]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners

2009-09-30 c:\windows\Tasks\PMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2009-09-23 23:02]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.winfuture.de
IE: Convert link target to Adobe PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert to existing PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - c:\programme\ThinkPad\Bluetooth Software\btsendto_ie.htm
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\4zzmsiy0.default\
FF - prefs.js: browser.startup.homepage - hxxp://my.nytimes.com/
FF - component: c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\4zzmsiy0.default\extensions\{463F6CA5-EE3C-4be1-B7E6-7FEE11953374}\platform\WINNT\components\FoxyTunes.dll
FF - component: c:\programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\KavLinkFilter.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove-HijackThis - c:\programme\Trend Micro\HijackThis\HijackThis.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-30 20:03
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1644491937-1614895754-682003330-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,11,36,c0,c2,ae,68,dd,4b,ad,ab,c9,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,11,36,c0,c2,ae,68,dd,4b,ad,ab,c9,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1088)
c:\programme\ThinkVantage Fingerprint Software\psqlpwd.dll
c:\programme\ThinkVantage Fingerprint Software\homefus2.dll
c:\programme\ThinkVantage Fingerprint Software\infql2.dll
c:\programme\ThinkVantage Fingerprint Software\homepass.dll
c:\programme\ThinkVantage Fingerprint Software\bio.dll
c:\programme\ThinkVantage Fingerprint Software\qlbase.dll
c:\programme\ThinkVantage Fingerprint Software\ps2css.dll

- - - - - - - > 'explorer.exe'(2472)
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ibmpmsvc.exe
c:\programme\Intel\WiFi\bin\S24EvMon.exe
c:\windows\system32\IPSSVC.EXE
c:\windows\system32\acs.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Intel\WiFi\bin\EvtEng.exe
c:\windows\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
c:\programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe
c:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
c:\windows\system32\TPHDEXLG.exe
c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
c:\programme\Lenovo\System Update\SUService.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-09-30 20:10 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-09-30 18:10

Vor Suchlauf: 8 Verzeichnis(se), 18.923.548.672 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 18.806.407.168 Bytes frei

362 --- E O F --- 2009-09-23 12:19

#6 sieht ganz gut aus, im ersten drüberschauen, cih sehe es mir Morgen früh an, heute nicht mehr.

#7 hallo, bitte schau in den Optionen von kaspersky unter scanner, dass rootkitsuche und alles aktiv ist, die Heuristik soll auf höchster stufe laufen.
Danach update Kaspersky, schalte alles laufende ab und starte den Scan, mache während dessen nichts am PC. Funde in Quarantäne, Log posten.

#8 Ich habe Kaspersky so wie angegeben durchlaufen lassen. Der Trojaner wurde 8-Mal entdeckt, und zwar auf meiner externen Festplatte. Quarantäne ging irgendwie nicht, der Trojaner wurde direkt gelöscht. Die externe Festplatte habe ich übrigens bei den bisherigen Scans nicht angeschlossen gehabt. Sollte ich aufgrund dessen die scans wiederholen?

Die die Log-Datei (enthält auch die Angaben über die Funde vom 22. September):

Status: Gelöscht (Ereignisse: 28)
22.09.2009 01:36:43 Gelöscht trojanisches Programm Trojan-GameThief.Win32.Magania.ccba C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\herss.exe
22.09.2009 01:47:16 Gelöscht trojanisches Programm Trojan-GameThief.Win32.Magania.ccba H:\3yalgc.exe
22.09.2009 01:47:20 Gelöscht trojanisches Programm Trojan-GameThief.Win32.Magania.cbmt H:\o8tf6l.exe
22.09.2009 02:54:46 Gelöscht trojanisches Programm Trojan-GameThief.Win32.Magania.cbte C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\cvasds0.dll
22.09.2009 03:16:06 Gelöscht trojanisches Programm Trojan-GameThief.Win32.Magania.cbmt C:\o8tf6l.exe
22.09.2009 03:22:16 Gelöscht trojanisches Programm Trojan-GameThief.Win32.Magania.cbmt E:\o8tf6l.exe
22.09.2009 03:22:22 Gelöscht trojanisches Programm Trojan-GameThief.Win32.Magania.cbmt F:\o8tf6l.exe
22.09.2009 03:22:26 Gelöscht trojanisches Programm Trojan-GameThief.Win32.Magania.cbmt G:\o8tf6l.exe
22.09.2009 04:08:42 Gelöscht trojanisches Programm Trojan-GameThief.Win32.Magania.cbmt C:\System Volume Information\_restore{9E96CF8F-2000-4897-9F26-8819BE62BC47}\RP68\A0006294.exe
22.09.2009 04:08:58 Gelöscht trojanisches Programm Trojan-GameThief.Win32.Magania.cbmt C:\System Volume Information\_restore{9E96CF8F-2000-4897-9F26-8819BE62BC47}\RP68\A0006295.inf
22.09.2009 04:09:00 Gelöscht trojanisches Programm Trojan-GameThief.Win32.Magania.cbmt C:\System Volume Information\_restore{9E96CF8F-2000-4897-9F26-8819BE62BC47}\RP81\A0007554.exe
22.09.2009 04:09:03 Gelöscht trojanisches Programm Trojan-GameThief.Win32.Magania.cbmt C:\System Volume Information\_restore{9E96CF8F-2000-4897-9F26-8819BE62BC47}\RP81\A0007555.inf
22.09.2009 04:09:11 Gelöscht trojanisches Programm Trojan-GameThief.Win32.Magania.ccba C:\System Volume Information\_restore{9E96CF8F-2000-4897-9F26-8819BE62BC47}\RP82\A0007557.exe
22.09.2009 04:09:14 Gelöscht trojanisches Programm Trojan-GameThief.Win32.Magania.cbmt C:\System Volume Information\_restore{9E96CF8F-2000-4897-9F26-8819BE62BC47}\RP83\A0007700.exe
22.09.2009 13:35:33 Gelöscht trojanisches Programm Trojan-GameThief.Win32.Magania.cbmt E:\System Volume Information\_restore{9E96CF8F-2000-4897-9F26-8819BE62BC47}\RP83\A0007701.exe
22.09.2009 13:35:25 Gelöscht trojanisches Programm Trojan-GameThief.Win32.Magania.ccba E:\System Volume Information\_restore{9E96CF8F-2000-4897-9F26-8819BE62BC47}\RP82\A0007559.exe
22.09.2009 13:35:44 Gelöscht trojanisches Programm Trojan-GameThief.Win32.Magania.ccba F:\System Volume Information\_restore{9E96CF8F-2000-4897-9F26-8819BE62BC47}\RP82\A0007561.exe
22.09.2009 13:36:03 Gelöscht trojanisches Programm Trojan-GameThief.Win32.Magania.cbmt F:\System Volume Information\_restore{9E96CF8F-2000-4897-9F26-8819BE62BC47}\RP83\A0007702.exe
22.09.2009 13:54:30 Gelöscht trojanisches Programm Trojan-GameThief.Win32.Magania.cbmt G:\System Volume Information\_restore{9E96CF8F-2000-4897-9F26-8819BE62BC47}\RP83\A0007703.exe
22.09.2009 13:54:25 Gelöscht trojanisches Programm Trojan-GameThief.Win32.Magania.ccba G:\System Volume Information\_restore{9E96CF8F-2000-4897-9F26-8819BE62BC47}\RP82\A0007563.exe
01.10.2009 16:13:37 Gelöscht trojanisches Programm Trojan-GameThief.Win32.Magania.ccba C:\System Volume Information\_restore{9E96CF8F-2000-4897-9F26-8819BE62BC47}\RP82\A0007558.inf
01.10.2009 16:13:38 Gelöscht trojanisches Programm Trojan-GameThief.Win32.Magania.ccba C:\System Volume Information\_restore{9E96CF8F-2000-4897-9F26-8819BE62BC47}\RP83\A0007699.inf
01.10.2009 16:15:17 Gelöscht trojanisches Programm Trojan-GameThief.Win32.Magania.ccba E:\System Volume Information\_restore{9E96CF8F-2000-4897-9F26-8819BE62BC47}\RP82\A0007560.inf
01.10.2009 16:15:17 Gelöscht trojanisches Programm Trojan-GameThief.Win32.Magania.ccba E:\System Volume Information\_restore{9E96CF8F-2000-4897-9F26-8819BE62BC47}\RP87\A0008585.inf
01.10.2009 16:15:18 Gelöscht trojanisches Programm Trojan-GameThief.Win32.Magania.ccba F:\System Volume Information\_restore{9E96CF8F-2000-4897-9F26-8819BE62BC47}\RP82\A0007562.inf
01.10.2009 16:15:18 Gelöscht trojanisches Programm Trojan-GameThief.Win32.Magania.ccba F:\System Volume Information\_restore{9E96CF8F-2000-4897-9F26-8819BE62BC47}\RP87\A0008586.inf
01.10.2009 16:15:20 Gelöscht trojanisches Programm Trojan-GameThief.Win32.Magania.ccba G:\System Volume Information\_restore{9E96CF8F-2000-4897-9F26-8819BE62BC47}\RP82\A0007564.inf
01.10.2009 16:15:20 Gelöscht trojanisches Programm Trojan-GameThief.Win32.Magania.ccba G:\System Volume Information\_restore{9E96CF8F-2000-4897-9F26-8819BE62BC47}\RP87\A0008592.inf

#9 Hallo, rechtsklick auf den Arbeitsplatz, eigenschaften, systemwiederherstellung. dann auf allen laufwerken deaktiviren wählen, warte einige minuten, schalte sie wieder ein.
Bist du als admin im internet unterwegs oder eingeschrenkter nutzer

#10 Hi, soll ich während dessen die extrene Platte angeschlossen haben. Kannst du mir bitte kurz erläutern, welchen Zweck dieser Schritt hat. Das wäre nett. Ich bin als Admin an meinem Rechner angemeldet.

#11 du kannst die externe platte drann machen. das hat den zweck die systemwiederherstellung zu bereinigen, evtl. reste des trojaners daraus zu löschen.
http://www.paules-pc-forum.de/forum/4-pc-sicherheit/114329-paules-10-empfehlungen-zum-sicheren-surfen-im-internet.html
bitte umsetzen.

#12 Danke für deine Hilfe. Habe auch die Systemwiederherstellung deaktiviert und wieder eingerichtet.

Die Schritte von Paules PC Forum versuche ich so schnell wie möglich umzusetzen.

Kann ich nun davon ausgehen, dass mein Rechner sauber ist?

#13 Start ausführen
combofix /u
enter.
dann ausführen:
http://oldtimer.geekstogo.com/OTM.exe
löscht reste, einfach auf den cleanit buton klicken.
www.f-secure.com/.../online-scanner/index.html -
noch als letzte Sicherheit ausführen, Log posten, Funde löschen.

#14 F-secure ging nicht, weil ein skript nicht ausgeführt werden konnte. habe jetzt mal den online-scanner von pandasecurity laufen.

#15 Hi,
Kaspersky ist auch sinnlos, hast ja schon instaliert sorry.
Nutzt du den ie oder den firefox zum scannen. evtl. mal unter internetoptionen und sicherheit die stufe runtersetzen und f-secure noch mals versuchen.