Hallo erstmal,

OS: WinXp Home

also ich habe bereits gegoogelt, jedoch half mir das auch nicht weiter...
Zu Google:
Es kommen ständig verweise auf .dll Downloads und manche Dateien scheinen harmlos zu sein...

Mein Problem:
Wenn ich eine Datei in meinen benutzerspezifischen Temp Ordner lösche, so wird diese gelöscht und es erscheint automatisch eine neue Datei!

Dateien
Beispiele:

spnpinst.exe
wucltui.dll
streamci.dll
atmpvcno.dll
bootok.exe

nach bootok.exe kam keine neue mehr!

(ich benutzte keine dieser Programme)

Besitze Kaspersky inkl. Firewall, Spybot S&D, und noch andere Helferlein.
Keines hat etwas gefunden...
Vermute Malware.

Mein HijackThis Log File:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:20:24, on 12.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\UPHClean\uphclean.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\Kaspersky Internet Security 7.0\avp.exe
C:\PROGRA~1\WALLPA~1\WallpaperJugglerM.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programme\hardcopy\hardcopy.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [Wallpaper Juggler Monitor] "C:\PROGRA~1\WALLPA~1\WallpaperJugglerM.exe"
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - Startup: ERUNT AutoBackup.lnk = C:\Programme\ERUNT\AUTOBACK.EXE
O4 - Global Startup: Hardcopy.LNK = C:\Programme\hardcopy\hardcopy.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1.0\adialhk.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\system32\nvsvc32.exe (file missing)
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Server\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe

--
End of file - 3819 bytes

Könnt ihr mir helfen?

Danke im Voraus
ceritus

Heya,

google behauptet die Dateien würden alle zu Windows gehören. Es muss sich also nicht unbedingt um Malware handeln.
Ausschließen lässt sich das allerdings erstmal auch nicht.

Mache einen Scan mit Malwarebytes und poste die Ergebnisse der beiden Programme hier.

lg myrtille

EDIT: Hab das Log jetzt erst gesehen, das Log ist sauber, da ist nichts zu sehen.
Wenn das nächste Mal eine derartige Datei erscheint, lade sie bitte bei virustotal hoch und poste das Ergebnis dann hier.
Anhand der Angaben sollte man feststellen können ob es sich wirklich um Windowsdateien handelt oder nicht

Hallo,

also ich werde deine Anweisungen gleich befolgen.

Ich habe mehrere dieser Dateien bereits bei jotti hochgeladen, jedoch kein Fund...

EDIT: Das komische an den Dateien war, das sobald ich sie gelöscht habe am gleichen Ort im Ordner sofort danach eine neue Datei entstand!

Eine Frage noch: Sollten diese Dateien nicht im system32 Ordner bleiben? Oder ist das normal, dass sich diese in den benutzerspezifischen temp Ordner kopieren???

Gruss
ceritus

Hier nun das Log File von Malwarebytes:

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1043
Windows 5.1.2600 Service Pack 3

04:03:03 12.08.2008
mbam-log-8-12-2008 (04-02-55).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 89093
Laufzeit: 26 minute(s), 48 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

-----

Ich habe probiert es zu entfernen, jedoch hängt nun Malwarebytes...

Gruss
ceritus

Ich habe keine neue Hardware installiert. Ist übrigens ein Laptop.

Und Updates habe ich auch keine gemacht! Da bin ich mir sicher.

EDIT: Ein Programm habe ich installiert... Jedoch weiss ich den Namen nicht mehr! *Schäm*
Es war ein Disassembler...

Wollte den Code eines Programmes auslesen aus Neugier...

EDIT: Habs gefunden...

von der Seite: h**p://en.wikibooks.org/wiki/Reverse_Engineering/Tools
IDA Pro Freeware 4.3
Better GUI than the previous version.
h**p://w*w.datarescue.be/idafreeware/freeida43.exe

Die Dateien vielen mir jedoch erst nach der Deinstallation auf...

Gruss
ceritus

Das ist seltsam.

Der gefundene Eintrag ist auch nur eine potentiell unerwünschte einstellung die den Logoff button im Startmenü betrifft. Er muss also nicht unbedingt gelöscht werden.

Allerdings sollte Malwarebytes auf die Registry zugreifen können.

Erstell bitte auch ein Log mit DSS

• Lade dir DSS
• Schließe alle Anwendungen und führe DSS.exe dann mit einem Doppelklick aus
• Führe während DSS arbeitet bitte keine anderen Aktionen durch
• Am Ende öffnen sich 2 Datein main.txt und extra.txt
• Poste den Inhalt beider Dateien hier

lg myrtille

Wenn ich deinem Link folge, erscheint nur:

Page not found

EDIT: Habe ihn woanders gefunden!

Danke, werde ich machen...

Gruss
ceritus

Zitat:

Zitat von ceritus

spnpinst.exe
wucltui.dll
streamci.dll
atmpvcno.dll
bootok.exe
nach bootok.exe kam keine neue mehr!

Also meine Nachforschungen ergaben, wenn es sich um die Windowsdateien handelt:

spnpinst.exe -> Peer to Peer Setup
wucitui.dll->Windows Update Client UI Plugin
streamci.dll ->Streaming Device Class Installer
atmpvcno.dll->Atm Epvc Install DLL

bootok.exe -> Datei die von Programmen aufgerufen wird, um zu testen ob sie korrekt gestartet sind und Windows dann mitteilt, dass das aufrufende Programm funktioniert.

Sieht aus als hättest du ein Programm (evtl auch Update oder neue Hardware) installiert?

Windows lässt sich in der Regel nicht so leicht ins Handwerk pfuschen. Wenn man während des Betriebs Dateien löscht, die es noch braucht, ist es meist in der Lage diese wiederherzustellen.
Insbesondere wenn die Dateien im Temp-Ordner liegen.

Da muss man ja damit rechnen, dass die Dateien verschwinden/überschrieben werden.

lg myrtille