Trojaner-Board - Ständig neue Datei nach dem löschen in temp Ordner

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Ständig neue Datei nach dem löschen in temp Ordner (https://www.trojaner-board.de/57749-staendig-neue-datei-loeschen-temp-ordner.html)

Ständig neue Datei nach dem löschen in temp Ordner

Hallo erstmal,

OS: WinXp Home

also ich habe bereits gegoogelt, jedoch half mir das auch nicht weiter...
Zu Google:
Es kommen ständig verweise auf .dll Downloads und manche Dateien scheinen harmlos zu sein...

Mein Problem:
Wenn ich eine Datei in meinen benutzerspezifischen Temp Ordner lösche, so wird diese gelöscht und es erscheint automatisch eine neue Datei!

Dateien
Beispiele:

spnpinst.exe
wucltui.dll
streamci.dll
atmpvcno.dll
bootok.exe

nach bootok.exe kam keine neue mehr!

(ich benutzte keine dieser Programme)

Besitze Kaspersky inkl. Firewall, Spybot S&D, und noch andere Helferlein.
Keines hat etwas gefunden...
Vermute Malware.

Mein HijackThis Log File:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:20:24, on 12.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\UPHClean\uphclean.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\Kaspersky Internet Security 7.0\avp.exe
C:\PROGRA~1\WALLPA~1\WallpaperJugglerM.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programme\hardcopy\hardcopy.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [Wallpaper Juggler Monitor] "C:\PROGRA~1\WALLPA~1\WallpaperJugglerM.exe"
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - Startup: ERUNT AutoBackup.lnk = C:\Programme\ERUNT\AUTOBACK.EXE
O4 - Global Startup: Hardcopy.LNK = C:\Programme\hardcopy\hardcopy.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1.0\adialhk.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\system32\nvsvc32.exe (file missing)
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Server\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe

--
End of file - 3819 bytes

Könnt ihr mir helfen? :confused:

Danke im Voraus
ceritus

Heya,

google behauptet die Dateien würden alle zu Windows gehören. Es muss sich also nicht unbedingt um Malware handeln.
Ausschließen lässt sich das allerdings erstmal auch nicht. :D

Mache einen Scan mit Malwarebytes und poste die Ergebnisse der beiden Programme hier.

lg myrtille

EDIT: Hab das Log jetzt erst gesehen, das Log ist sauber, da ist nichts zu sehen.
Wenn das nächste Mal eine derartige Datei erscheint, lade sie bitte bei virustotal hoch und poste das Ergebnis dann hier.
Anhand der Angaben sollte man feststellen können ob es sich wirklich um Windowsdateien handelt oder nicht ;)

Hallo,

also ich werde deine Anweisungen gleich befolgen.

Ich habe mehrere dieser Dateien bereits bei jotti hochgeladen, jedoch kein Fund...

EDIT: Das komische an den Dateien war, das sobald ich sie gelöscht habe am gleichen Ort im Ordner sofort danach eine neue Datei entstand!

Eine Frage noch: Sollten diese Dateien nicht im system32 Ordner bleiben? Oder ist das normal, dass sich diese in den benutzerspezifischen temp Ordner kopieren???

Gruss
ceritus

Zitat:

Zitat von ceritus (Beitrag 361748)

spnpinst.exe
wucltui.dll
streamci.dll
atmpvcno.dll
bootok.exe
nach bootok.exe kam keine neue mehr!

Also meine Nachforschungen ergaben, wenn es sich um die Windowsdateien handelt:

spnpinst.exe -> Peer to Peer Setup
wucitui.dll->Windows Update Client UI Plugin
streamci.dll ->Streaming Device Class Installer
atmpvcno.dll->Atm Epvc Install DLL

bootok.exe -> Datei die von Programmen aufgerufen wird, um zu testen ob sie korrekt gestartet sind und Windows dann mitteilt, dass das aufrufende Programm funktioniert.

Sieht aus als hättest du ein Programm (evtl auch Update oder neue Hardware) installiert?

Windows lässt sich in der Regel nicht so leicht ins Handwerk pfuschen. Wenn man während des Betriebs Dateien löscht, die es noch braucht, ist es meist in der Lage diese wiederherzustellen.
Insbesondere wenn die Dateien im Temp-Ordner liegen.

Da muss man ja damit rechnen, dass die Dateien verschwinden/überschrieben werden.

lg myrtille

Hier nun das Log File von Malwarebytes:

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1043
Windows 5.1.2600 Service Pack 3

04:03:03 12.08.2008
mbam-log-8-12-2008 (04-02-55).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 89093
Laufzeit: 26 minute(s), 48 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

-----

Ich habe probiert es zu entfernen, jedoch hängt nun Malwarebytes... :confused:

Gruss
ceritus

Ich habe keine neue Hardware installiert. Ist übrigens ein Laptop.

Und Updates habe ich auch keine gemacht! Da bin ich mir sicher.

EDIT: Ein Programm habe ich installiert... Jedoch weiss ich den Namen nicht mehr! *Schäm*
Es war ein Disassembler...

Wollte den Code eines Programmes auslesen aus Neugier...

EDIT: Habs gefunden...

von der Seite: h**p://en.wikibooks.org/wiki/Reverse_Engineering/Tools
IDA Pro Freeware 4.3
Better GUI than the previous version.
h**p://w*w.datarescue.be/idafreeware/freeida43.exe

Die Dateien vielen mir jedoch erst nach der Deinstallation auf...

Gruss
ceritus

Das ist seltsam. :confused:

Der gefundene Eintrag ist auch nur eine potentiell unerwünschte einstellung die den Logoff button im Startmenü betrifft. Er muss also nicht unbedingt gelöscht werden.

Allerdings sollte Malwarebytes auf die Registry zugreifen können.

Erstell bitte auch ein Log mit DSS

Lade dir DSS
Schließe alle Anwendungen und führe DSS.exe dann mit einem Doppelklick aus
Führe während DSS arbeitet bitte keine anderen Aktionen durch
Am Ende öffnen sich 2 Datein main.txt und extra.txt
Poste den Inhalt beider Dateien hier

lg myrtille

Wenn ich deinem Link folge, erscheint nur:

Page not found

EDIT: Habe ihn woanders gefunden!

Danke, werde ich machen...

Gruss
ceritus

Also hier nun die beiden Logs:
zur Office Installation muss ich noch sagen, die habe ich nicht heute gemacht oder gestern und ich konnte es erfolgreich installieren, jedoch mekert er beim starten von Word, dass ein vba nicht installiert sei... und ich habe es bis jetzt noch nicht nachinstalliert.

main.txt:

Deckard's System Scanner v20071014.68
Run by *** on 2008-08-12 04:34:17
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.

-- Last 5 Restore Point(s) --
8: 2008-08-12 02:34:22 UTC - RP8 - Deckard's System Scanner Restore Point
5: 2008-08-07 20:09:35 UTC - RP5 - Installed Microsoft Office Enterprise 2007
4: 2008-08-07 19:56:24 UTC - RP4 - Installed Microsoft Office Enterprise 2007

-- First Restore Point --
1: 2008-08-03 23:15:17 UTC - RP1 - Systemprüfpunkt

Backed up registry hives.
Performed disk cleanup.

System Drive C: has 5.7 GiB (less than 15%) free.

-- HijackThis (run as ***.exe) -----------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 04:35:25, on 12.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\UPHClean\uphclean.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Dokumente und Einstellungen\***\Desktop\dss.exe
C:\PROGRA~1\HIJACK~1\***.exe
C:\Programme\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Kaspersky Internet Security 7.0\avp.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [Wallpaper Juggler Monitor] "C:\PROGRA~1\WALLPA~1\WallpaperJugglerM.exe"
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - Startup: ERUNT AutoBackup.lnk = C:\Programme\ERUNT\AUTOBACK.EXE
O4 - Global Startup: Hardcopy.LNK = C:\Programme\hardcopy\hardcopy.exe
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1.0\adialhk.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\system32\nvsvc32.exe (file missing)
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Server\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe

--
End of file - 3748 bytes

-- HijackThis Fixed Entries (C:\PROGRA~1\HIJACK~1\backups\) --------------------

backup-20080609-233046-205 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
backup-20080609-233046-288 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hp.com
backup-20080709-102504-483 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
backup-20080709-102504-683 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1213029220751
backup-20080709-102504-830 O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
backup-20080709-102504-861 O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
backup-20080709-102507-193 O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
backup-20080709-102507-994 O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
backup-20080709-103214-578 O9 - Extra button: (no name) - AutorunsDisabled - (no file)
backup-20080709-103215-652 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll
backup-20080709-104125-953 O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
backup-20080718-210715-100 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.com/ie
backup-20080718-210715-702 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.com
backup-20080807-223748-581 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
backup-20080807-223748-663 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
backup-20080812-014846-883 O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll

-- File Associations -----------------------------------------------------------

.cpl - cplfile - shell\cplopen\command - rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.cpl - cplfile - shell\runas\command - rundll32.exe shell32.dll,Control_RunDLLAsUser "%1",%*

-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R1 PQNTDrv - c:\windows\system32\drivers\pqntdrv.sys <Not Verified; PowerQuest Corporation; PowerQuest product>
R1 ssmdrv - c:\windows\system32\drivers\ssmdrv.sys <Not Verified; AVIRA GmbH; >
R2 lirsgt - c:\windows\system32\drivers\lirsgt.sys
R2 VMnetBridge (VMware Bridge Protocol) - c:\windows\system32\drivers\vmnetbridge.sys <Not Verified; VMware, Inc.; VMware bridge driver (32-bit)>
R2 VMnetuserif (VMware Network Application Interface) - c:\windows\system32\drivers\vmnetuserif.sys <Not Verified; VMware, Inc.; VMware network application interface driver (32-bit)>
R2 vmx86 (VMware vmx86) - c:\windows\system32\drivers\vmx86.sys <Not Verified; VMware, Inc.; VMware kernel driver>

S3 NSNDIS5 (NSNDIS5 NDIS Protocol Driver) - c:\windows\system32\nsndis5.sys <Not Verified; Printing Communications Assoc., Inc. (PCAUSA); NetStumbler>
S4 SYMIDSCO - c:\progra~1\gemein~1\symant~1\symcdata\idsdefs\20050901.036\symidsco.sys (file missing)

-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 UPHClean (User Profile Hive Cleanup) - c:\programme\uphclean\uphclean.exe <Not Verified; Microsoft Corporation; User Profile Hive Cleanup Service>

S2 NVSvc (NVIDIA Display Driver Service) - c:\windows\system32\nvsvc32.exe (file missing)
S3 VMAuthdService (VMware Authorization Service) - "c:\programme\vmware\vmware server\vmware-authd.exe" <Not Verified; VMware, Inc.; VMware Server>
S3 VMnetDHCP (VMware DHCP Service) - c:\windows\system32\vmnetdhcp.exe <Not Verified; VMware, Inc.; VMware Server>
S4 AntiVirScheduler (Avira AntiVir Personal – Free Antivirus Planer) - "c:\programme\avira\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; AntiVir Workstation>
S4 vmserverdWin32 (VMware Registration Service) - "c:\programme\vmware\vmware server\vmserverdwin32.exe" <Not Verified; VMware, Inc.; VMware Server>
S4 VMware NAT Service - c:\windows\system32\vmnat.exe <Not Verified; VMware, Inc.; VMware Server>

-- Device Manager: Disabled ----------------------------------------------------

Class GUID: {4D36E96D-E325-11CE-BFC1-08002BE10318}
Description: HDAUDIO Soft Data Fax Modem with SmartCP
Device ID: HDAUDIO\FUNC_02&VEN_14F1&DEV_5047&SUBSYS_103C30A5&REV_1000\4&2BB472F0&0&0002
Manufacturer: CXT
Name: HDAUDIO Soft Data Fax Modem with SmartCP
PNP Device ID: HDAUDIO\FUNC_02&VEN_14F1&DEV_5047&SUBSYS_103C30A5&REV_1000\4&2BB472F0&0&0002
Service: Modem

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
Description: 1394-Netzwerkadapter
Device ID: V1394\NIC1394\C43D407E633F0200
Manufacturer: Microsoft
Name: 1394-Netzwerkadapter
PNP Device ID: V1394\NIC1394\C43D407E633F0200
Service: NIC1394

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
Description: Intel(R) PRO/100 VE Network Connection
Device ID: PCI\VEN_8086&DEV_1092&SUBSYS_30A5103C&REV_01\4&2EC23395&0&40F0
Manufacturer: Intel
Name: Intel(R) PRO/100 VE Network Connection
PNP Device ID: PCI\VEN_8086&DEV_1092&SUBSYS_30A5103C&REV_01\4&2EC23395&0&40F0
Service: E100B

Class GUID: {4D36E965-E325-11CE-BFC1-08002BE10318}
Description: CD-ROM-Laufwerk
Device ID: SCSI\CDROM&VEN_UI5137H&PROD_GIN005C&REV_1.0\5&36E5972&0&000
Manufacturer: (Standard-CD-ROM-Laufwerke)
Name: UI5137H GIN005C SCSI CdRom Device
PNP Device ID: SCSI\CDROM&VEN_UI5137H&PROD_GIN005C&REV_1.0\5&36E5972&0&000
Service: cdrom

Class GUID: {4D36E965-E325-11CE-BFC1-08002BE10318}
Description: CD-ROM-Laufwerk
Device ID: SCSI\CDROM&VEN_UI5137H&PROD_GIN005C&REV_1.0\5&36E5972&0&010
Manufacturer: (Standard-CD-ROM-Laufwerke)
Name: UI5137H GIN005C SCSI CdRom Device
PNP Device ID: SCSI\CDROM&VEN_UI5137H&PROD_GIN005C&REV_1.0\5&36E5972&0&010
Service: cdrom

-- Scheduled Tasks -------------------------------------------------------------

2008-07-05 19:16:35 282 --a------ C:\WINDOWS\Tasks\Spybot - Search & Destroy - Scheduled Task.job

-- Files created between 2008-07-12 and 2008-08-12 -----------------------------

2008-08-12 03:33:37 0 d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-07 22:15:17 0 d-------- C:\Programme\Microsoft Works
2008-08-07 22:13:38 0 d-------- C:\Programme\Microsoft.NET
2008-08-07 22:10:28 0 d-------- C:\WINDOWS\SHELLNEW
2008-08-07 22:09:40 0 dr-h----- C:\MSOCache
2008-08-03 03:23:43 0 d-------- C:\Programme\UPHClean
2008-07-30 22:54:13 0 d-------- C:\Programme\FileZilla FTP Client
2008-07-22 02:44:08 0 -rahs---- C:\MSDOS.SYS
2008-07-22 02:44:08 0 -rahs---- C:\IO.SYS
2008-07-20 16:48:46 0 d-------- C:\WINDOWS\system32\NtmsData
2008-07-18 20:51:49 0 d-------- C:\Programme\xpy-0.10.6-bin
2008-07-18 20:50:01 0 d--h----- C:\WINDOWS\PIF

-- Find3M Report ---------------------------------------------------------------

2008-08-12 04:33:19 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\nView_Wallpaper
2008-08-12 03:33:53 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2008-08-12 00:45:33 0 d-------- C:\Programme\LuckyDips
2008-08-10 01:27:22 0 d-------- C:\Programme\AppleJuice
2008-08-07 22:14:33 0 d-------- C:\Programme\Gemeinsame Dateien
2008-08-06 04:51:26 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\FileZilla
2008-08-04 00:19:39 0 d-------- C:\Programme\Movie Maker
2008-08-03 23:34:49 0 d-------- C:\Programme\Messenger
2008-07-18 21:13:02 0 d-------- C:\Programme\Kaspersky Internet Security 7.0
2008-07-18 20:57:08 874 --ah----- C:\Dokumente und Einstellungen\***\Anwendungsdaten\xpy.ini
2008-07-11 18:55:30 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\VMware
2008-07-10 21:58:41 0 d-------- C:\Programme\Ubisoft
2008-07-10 20:08:51 0 d--h----- C:\Programme\InstallShield Installation Information
2008-07-09 09:53:17 0 d-------- C:\Programme\Avira
2008-07-06 00:51:43 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft Games
2008-07-06 00:49:30 0 d-------- C:\Programme\Microsoft Games
2008-06-27 04:38:42 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\SiteAdvisor
2008-06-19 18:53:07 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Adobe
2008-06-19 06:58:51 394252 --a------ C:\WINDOWS\system32\perfh007.dat
2008-06-19 06:58:51 65192 --a------ C:\WINDOWS\system32\perfc007.dat
2008-06-19 06:51:51 0 d-------- C:\Programme\Gemeinsame Dateien\VMware
2008-06-19 06:51:42 0 d-------- C:\Programme\VMware
2008-06-19 01:21:47 0 d-------- C:\Programme\Act of War - High Treason
2008-06-18 03:18:19 0 d-------- C:\Programme\Act of War - Direct Action
2008-06-15 21:00:59 0 d-------- C:\Programme\DAEMON Tools
2008-06-14 21:25:26 98304 --a------ C:\WINDOWS\system32\CmdLineExt.dll <Not Verified; Sony DADC Austria AG.; >
2008-06-14 20:49:39 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2008-06-14 19:09:59 0 d-------- C:\Programme\Look@LAN
2008-06-12 23:49:40 0 d-------- C:\Programme\Autoruns
2008-06-12 23:21:58 0 d-------- C:\Programme\ProcessExplorer
2008-06-12 23:00:57 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun
2008-06-10 01:37:53 1144 --a------ C:\WINDOWS\mozver.dat
2008-06-09 21:43:43 720896 --a------ C:\WINDOWS\iun6002.exe <Not Verified; Indigo Rose Corporation; Setup Factory 6.0 Runtime Module>
2008-06-09 19:34:35 0 --a------ C:\WINDOWS\nsreg.dat

-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [11.11.2005 10:04]
"hpWirelessAssistant"="C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [13.12.2005 17:45]
"AVP"="C:\Programme\Kaspersky Internet Security 7.0\avp.exe" [26.06.2007 16:53]
"Wallpaper Juggler Monitor"="C:\PROGRA~1\WALLPA~1\WallpaperJugglerM.exe" [22.09.2004 20:18]
"eabconfg.cpl"="C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe" [07.12.2005 11:56]
"nwiz"="nwiz.exe" [15.12.2005 13:42 C:\WINDOWS\system32\nwiz.exe]

C:\Dokumente und Einstellungen\***\Startmen\Programme\Autostart\
ERUNT AutoBackup.lnk - C:\Programme\ERUNT\AUTOBACK.EXE [20.10.2005 12:04:08]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Hardcopy.LNK - C:\Programme\hardcopy\hardcopy.exe [18.02.2006 06:10:36]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearRecentDocsOnExit"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy]
C:\WINDOWS\System32\dimsntfy.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=C:\PROGRA~1\KASPER~1.0\adialhk.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk
backup=C:\WINDOWS\pss\BTTray.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
"C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\High Definition Audio Property Page Shortcut]
CHDAudPropShortcut.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"C:\Programme\Java\jre1.5.0_12\bin\jusched.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
eapsvcs eaphost
dot3svc dot3svc

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
napagent
hkmsvc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##192.168.1.34#F]
AutoRun\command- Z:\Autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3c18e5f1-35cf-11dd-a806-806d6172696f}]
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480

*Newly Created Service* - MBAMSWISSARMY

-- Hosts -----------------------------------------------------------------------

127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com

8912 more entries in hosts file.

-- End of Deckard's System Scanner: finished at 2008-08-12 04:37:09 ------------

und extra.txt:

Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Home Edition (build 2600) SP 3.0
Architecture: X86; Language: German

CPU 0: Genuine Intel(R) CPU T2400 @ 1.83GHz
Percentage of Memory in Use: 27%
Physical Memory (total/avail): 2046.04 MiB / 1474.75 MiB
Pagefile Memory (total/avail): 2091.02 MiB / 1716.85 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1951.39 MiB

C: is Fixed (NTFS) - 67.36 GiB total, 5.77 GiB free.
D: is Fixed (Unformatted) - 0 GiB total, 0 GiB free.
E: is Fixed (FAT32) - 6.15 GiB total, 0.7 GiB free.
G: is CDROM (No Media)

\\.\PHYSICALDRIVE0 - HTS541080G9SA00 - 74.53 GiB - 3 partitions
\PARTITION0 (bootable) - Installierbares Dateisystem - 67.36 GiB - C:
\PARTITION1 - Unknown - 6.17 GiB - E:
\PARTITION2 - Unknown - 1027.56 MiB

\\.\PHYSICALDRIVE1 - HTS541080G9SA00 - 74.53 GiB - 1 partition
\PARTITION0 - Installierbares Dateisystem - 74.53 GiB - D:

-- Security Center -------------------------------------------------------------

AUOptions is disabled.

-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users
APPDATA=C:\Dokumente und Einstellungen\***\Anwendungsdaten
CLIENTNAME=Console
CommonProgramFiles=C:\Programme\Gemeinsame Dateien
COMPUTERNAME=CHEFE
ComSpec=C:\WINDOWS\system32\cmd.exe
Devmgr_show_details=1
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Dokumente und Einstellungen\***
LOGONSERVER=\\CHEFE
NUMBER_OF_PROCESSORS=2
OS=Windows_NT
Path=C:\Programme\Windows Resource Kits\Tools\;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PCTYPE=PAVILION
PLATFORM=MCD
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 14 Stepping 8, GenuineIntel
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0e08
ProgramFiles=C:\Programme
PROMPT=$P$G
SESSIONNAME=Console
SonicCentral=C:\Programme\Gemeinsame Dateien\Sonic Shared\Sonic Central\
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOKUME~1\***\LOKALE~1\Temp
TMP=C:\DOKUME~1\***\LOKALE~1\Temp
USERDOMAIN=***
USERNAME=***
USERPROFILE=C:\Dokumente und Einstellungen\***
windir=C:\WINDOWS

-- User Profiles ---------------------------------------------------------------

*** (admin)
Administrator (admin)

-- Add/Remove Programs ---------------------------------------------------------

--> C:\WINDOWS\IsUn0407.exe -fC:\WINDOWS\orun32.isu
--> C:\WINDOWS\system32\\MSIEXEC.EXE /x {075473F5-846A-448B-BCB3-104AA1760205}
--> C:\WINDOWS\system32\\MSIEXEC.EXE /x {AB708C9B-97C8-4AC9-899B-DBF226AC9382}
--> C:\WINDOWS\system32\\MSIEXEC.EXE /x {B12665F4-4E93-4AB4-B7FC-37053B524629}
--> C:\WINDOWS\UNRecode.exe /UNINSTALL
--> MsiExec.exe /I{09715083-BF10-4834-9E28-B5D8820513CA}
--> MsiExec.exe /I{1E049668-AD90-4008-B213-E20CED2324DD}
--> MsiExec.exe /I{35103A8A-E9D8-40FA-AEC7-4D138952DB30}
--> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
7-Zip 4.57 --> "C:\Programme\7-Zip\Uninstall.exe"
Act of War - Direct Action --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F9B915DF-B79C-4747-9BA3-9705A57DC717}\SETUP.EXE" -l0x7
Act of War - High Treason --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C08EBBFD-C565-472F-9354-5593B9873705}\SETUP.EXE" -l0x7
Ad-Aware --> MsiExec.exe /I{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}
Adobe Flash Player ActiveX --> C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player Plugin --> C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 8.1.2 - Deutsch --> MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003}
AJCoreGUI 0.61.2 --> MsiExec.exe /I{7A2EF9A5-DAA6-4012-B242-86B9311B1817}
Audiograbber 1.83 SE --> "C:\Programme\Audiograbber\Uninstall.exe"
Avira AntiVir Personal - Free Antivirus --> C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
CMD Prompt Here PowerToy --> rundll32.exe syssetup.dll,SetupInfObjectInstallAction DefaultUninstall 132 C:\WINDOWS\INF\CmdHere.inf
Command & Conquer 3 --> MsiExec.exe /I{B0C30E93-D3D9-4F04-A2AC-54749B573275}
Command & Conquer 3 Tiberium Wars(TM) Worldbuilder --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F428768A-BA63-43A5-86E9-7F0CFD174944}\setup.exe" -l0x9 -removeonly
Conexant HD Audio --> C:\Programme\CONEXANT\CNXT_HDAUDIO\HXFSETUP.EXE -U -ICPL30A5a.INF
DIE SIEDLER - Aufstieg eines Königreichs --> "C:\Programme\InstallShield Installation Information\{D3F80A98-05AB-4D8C-9272-766CCFA6A48D}\setup.exe" -runfromtemp -l0x0007 -removeonly
Eraser --> "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{A25FEDC1-F6D7-440C-BCE2-B71F595F6646}\EraserSetup32.exe" REMOVE=TRUE MODIFY=FALSE
Eraser --> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{A25FEDC1-F6D7-440C-BCE2-B71F595F6646}\EraserSetup32.exe
ERUNT 1.1j --> C:\Programme\ERUNT\unins000.exe
Ethereal 0.9.14 --> "C:\Programme\Ethereal\uninstall.exe"
EVEREST Home Edition v2.20 --> "C:\Programme\EVEREST Home Edition\unins000.exe"
FileZilla Client 3.1.0.1 --> C:\Programme\FileZilla FTP Client\uninstall.exe
Hardcopy (c:\programme\hardcopy) --> SwSetupu "c:\programme\hardcopy\hardcopy.del"
HDAUDIO Soft Data Fax Modem with SmartCP --> C:\Programme\CONEXANT\CNXT_MODEM_HDAUDIO_CPL30A5m\HXFSETUP.EXE -U -ICPL30A5m.inf
HijackThis 2.0.2 --> "C:\Programme\HijackThis\HijackThis.exe" /uninstall
HP Imaging Device Functions 6.0 --> C:\Programme\HP\Digital Imaging\DigitalImagingMonitor\hpzscr01.exe -datfile hpqbud01.dat
HP Integrated Module with Bluetooth wireless technology --> MsiExec.exe /X{3F4EC965-28EF-45C3-B063-04B25D4E9679}
HP Photosmart Premier Software 6.0 --> C:\Programme\HP\Digital Imaging\uninstall\hpzscr01.exe -datfile hpqscr01.dat
HP QuickPlay 2.0 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{45D707E9-F3C4-11D9-A373-0050BAE317E1}\setup.exe" -uninstall
HP Software Update --> MsiExec.exe /X{BB85ED9C-AFC9-43BD-B8DC-258C3C7DF72E}
HP Wireless Assistant 2.00 C1 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{4302B2DD-D958-40E3-BAF3-B07FFE1978CE}\setup.exe" -l0x7 hpquninst
Intel(R) PRO Network Connections Drivers --> Prounstl.exe
IrfanView (remove only) --> C:\Programme\IrfanView\iv_uninstall.exe
J2SE Runtime Environment 5.0 Update 12 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150120}
J2SE Runtime Environment 5.0 Update 6 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150060}
Kaspersky Internet Security 7.0 --> MsiExec.exe /I{C774410D-3EF9-4DE7-AC01-332613163ECF}
Kaspersky Internet Security 7.0 --> MsiExec.exe /I{C774410D-3EF9-4DE7-AC01-332613163ECF}
Look@LAN 2.50 Build 35 --> C:\WINDOWS\iun6002.exe "C:\Programme\Look@LAN\irunin.ini"
Malwarebytes' Anti-Malware --> "C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Office Access MUI (German) 2007 --> MsiExec.exe /X{90120000-0015-0407-0000-0000000FF1CE}
Microsoft Office Enterprise 2007 --> "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall ENTERPRISER /dll OSETUP.DLL
Microsoft Office Enterprise 2007 --> MsiExec.exe /X{91120000-0030-0000-0000-0000000FF1CE}
Microsoft Office Excel MUI (German) 2007 --> MsiExec.exe /X{90120000-0016-0407-0000-0000000FF1CE}
Microsoft Office Groove MUI (German) 2007 --> MsiExec.exe /X{90120000-00BA-0407-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (German) 2007 --> MsiExec.exe /X{90120000-0044-0407-0000-0000000FF1CE}
Microsoft Office OneNote MUI (German) 2007 --> MsiExec.exe /X{90120000-00A1-0407-0000-0000000FF1CE}
Microsoft Office Outlook MUI (German) 2007 --> MsiExec.exe /X{90120000-001A-0407-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (German) 2007 --> MsiExec.exe /X{90120000-0018-0407-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007 --> MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007 --> MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007 --> MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Italian) 2007 --> MsiExec.exe /X{90120000-001F-0410-0000-0000000FF1CE}
Microsoft Office Proofing (German) 2007 --> MsiExec.exe /X{90120000-002C-0407-0000-0000000FF1CE}
Microsoft Office Publisher MUI (German) 2007 --> MsiExec.exe /X{90120000-0019-0407-0000-0000000FF1CE}
Microsoft Office Shared MUI (German) 2007 --> MsiExec.exe /X{90120000-006E-0407-0000-0000000FF1CE}
Microsoft Office Word MUI (German) 2007 --> MsiExec.exe /X{90120000-001B-0407-0000-0000000FF1CE}
Mozilla Firefox (2.0.0.16) --> C:\Programme\Mozilla Firefox\uninstall\helper.exe
Network Stumbler 0.4.0 (remove only) --> "C:\Programme\Network Stumbler\uninst.exe"
NVIDIA Drivers --> C:\WINDOWS\system32\nvudisp.exe UninstallGUI
Optimierung aufgrund von Kundenerfahrungen --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe /M{23012310-3E05-46A5-88A9-C6CBCABCAC79} /l1031
Quick Launch Buttons 5.20 F2 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{CEB326EC-8F40-47B2-BA22-BB092565D66F}\setup.exe" -l0x7 -uninst
Sonic Audio Module --> MsiExec.exe /I{AB708C9B-97C8-4AC9-899B-DBF226AC9382}
Sonic Copy Module --> MsiExec.exe /I{B12665F4-4E93-4AB4-B7FC-37053B524629}
Sonic Data Module --> MsiExec.exe /I{075473F5-846A-448B-BCB3-104AA1760205}
Sonic Express Labeler --> MsiExec.exe /I{6675CA7F-E51B-4F6A-99D4-F8F0124C6EAA}
Sonic MyDVD Plus --> MsiExec.exe /I{21657574-BD54-48A2-9450-EB03B2C7FC29}
Sonic Update Manager --> MsiExec.exe /I{30465B6C-B53F-49A1-9EBA-A3F187AD502E}
Spybot - Search & Destroy --> "C:\Programme\Spybot - Search & Destroy\unins000.exe"
Synaptics Pointing Device Driver --> rundll32.exe "C:\Programme\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
Texas Instruments PCIxx21/x515/xx12 drivers. --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{7B6CF9EB-CB2B-4A1A-81A9-BE1A9044690A} /l1031
Unlocker 1.8.5 --> C:\Programme\Unlocker\uninst.exe
User Profile Hive Cleanup Service --> MsiExec.exe /I{FF77941A-2BFA-4A18-BE2E-69B9498E4D55}
VCRedistSetup --> MsiExec.exe /I{3921A67A-5AB1-4E48-9444-C71814CF3027}
VideoLAN VLC media player 0.8.6h --> C:\Programme\VideoLAN\VLC\uninstall.exe
VMware Server --> MsiExec.exe /I{FEE84D71-7FF0-46C1-AED4-1BD821D53A9F}
Wallpaper Juggler 2.2 --> C:\PROGRA~1\WALLPA~1\UNWISE.EXE C:\PROGRA~1\WALLPA~1\INSTALL.LOG
Windows XP Service Pack 3 --> "C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinRAR --> C:\Programme\WinRAR\uninstall.exe

-- Application Event Log -------------------------------------------------------

Event Record #/Type1047 / Error
Event Submitted/Written: 08/07/2008 10:03:12 PM
Event ID/Source: 5000 / Microsoft Office 12
Event Description:
EventType office12setup, P1 {90120000-001f-0409-0000-0000000ff1ce}, P2 12.0.4518.1014, P3 installfiles, P4 1603, P5 0x1335, P6 error 1335. the cabinet file 'proof.cab' required for this installation is corrupt and cannot be used. this could , P7 x, P8 NIL, P9 office12setup0, P10 office12setup1.

Event Record #/Type1035 / Error
Event Submitted/Written: 08/07/2008 09:55:21 PM
Event ID/Source: 11335 / MsiInstaller
Event Description:
Product: Microsoft Office Proof (English) 2007 -- Error 1335. The cabinet file 'Proof.CAB' required for this installation is corrupt and cannot be used. This could indicate a network error, an error reading from the CD-ROM, or a problem with this package.

Event Record #/Type1034 / Error
Event Submitted/Written: 08/07/2008 09:53:41 PM
Event ID/Source: 11335 / MsiInstaller
Event Description:
Product: Microsoft Office Proof (English) 2007 -- Error 1335. The cabinet file 'Proof.CAB' required for this installation is corrupt and cannot be used. This could indicate a network error, an error reading from the CD-ROM, or a problem with this package.

Event Record #/Type1033 / Error
Event Submitted/Written: 08/07/2008 09:53:32 PM
Event ID/Source: 11335 / MsiInstaller
Event Description:
Product: Microsoft Office Proof (English) 2007 -- Error 1335. The cabinet file 'Proof.CAB' required for this installation is corrupt and cannot be used. This could indicate a network error, an error reading from the CD-ROM, or a problem with this package.

Event Record #/Type1032 / Error
Event Submitted/Written: 08/07/2008 09:46:53 PM
Event ID/Source: 11335 / MsiInstaller
Event Description:
Product: Microsoft Office Proof (English) 2007 -- Error 1335. The cabinet file 'Proof.CAB' required for this installation is corrupt and cannot be used. This could indicate a network error, an error reading from the CD-ROM, or a problem with this package.

-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.

-- System Event Log ------------------------------------------------------------

Event Record #/Type4579 / Error
Event Submitted/Written: 08/12/2008 04:33:05 AM
Event ID/Source: 10000 / DCOM
Event Description:
Ein DCOM-Server konnte nicht gestartet werden: {D6D754B6-C211-4920-92EA-FD714A13246B}.
Fehler:
"%%2"
aufgetreten beim Starten dieses Befehls:
C:\PROGRA~1\HPQ\SHARED\HPQTOA~1.EXE -Embedding

Event Record #/Type4573 / Error
Event Submitted/Written: 08/12/2008 02:27:35 AM
Event ID/Source: 10000 / DCOM
Event Description:
Ein DCOM-Server konnte nicht gestartet werden: {D6D754B6-C211-4920-92EA-FD714A13246B}.
Fehler:
"%%2"
aufgetreten beim Starten dieses Befehls:
C:\PROGRA~1\HPQ\SHARED\HPQTOA~1.EXE -Embedding

Event Record #/Type4571 / Error
Event Submitted/Written: 08/12/2008 02:12:53 AM
Event ID/Source: 10000 / DCOM
Event Description:
Ein DCOM-Server konnte nicht gestartet werden: {D6D754B6-C211-4920-92EA-FD714A13246B}.
Fehler:
"%%2"
aufgetreten beim Starten dieses Befehls:
C:\PROGRA~1\HPQ\SHARED\HPQTOA~1.EXE -Embedding

Event Record #/Type4569 / Error
Event Submitted/Written: 08/12/2008 02:01:28 AM
Event ID/Source: 10000 / DCOM
Event Description:
Ein DCOM-Server konnte nicht gestartet werden: {D6D754B6-C211-4920-92EA-FD714A13246B}.
Fehler:
"%%2"
aufgetreten beim Starten dieses Befehls:
C:\PROGRA~1\HPQ\SHARED\HPQTOA~1.EXE -Embedding

Event Record #/Type4567 / Error
Event Submitted/Written: 08/12/2008 01:59:49 AM
Event ID/Source: 10000 / DCOM
Event Description:
Ein DCOM-Server konnte nicht gestartet werden: {D6D754B6-C211-4920-92EA-FD714A13246B}.
Fehler:
"%%2"
aufgetreten beim Starten dieses Befehls:
C:\PROGRA~1\HPQ\SHARED\HPQTOA~1.EXE -Embedding

-- End of Deckard's System Scanner: finished at 2008-08-12 04:37:09 ------------

Ich geh dann mal schlafen, bis morgen meinerseits...

Vielen Dank nochmals! :daumenhoc

Gruss
ceritus

Heya,

die Logs sind sauber.
Allerdings sieht man in ihnen, dass die MSOffice Installation am 8.7. nicht einwandfrei geklappt hat:

Zitat:

Event Record #/Type1035 / Error
Event Submitted/Written: 08/07/2008 09:55:21 PM
Event ID/Source: 11335 / MsiInstaller
Event Description:
Product: Microsoft Office Proof (English) 2007 -- Error 1335. The cabinet file 'Proof.CAB' required for this installation is corrupt and cannot be used. This could indicate a network error, an error reading from the CD-ROM, or a problem with this package.

und 2 uralte Javainstallationen, die du am besten deinstallieren solltest:

Zitat:

J2SE Runtime Environment 5.0 Update 12 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150120}
J2SE Runtime Environment 5.0 Update 6 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150060}

Sind die Dateien nochmal aufgetaucht?

lg myrtille

Hallo,

also ich werde Office deinstallieren und die beiden Java Versionen ebenfalls.

Die Dateien sind wieder erschienen nach einem Neustart!
Zuerst war es eine .tmp Datei, die in Verbindung mit rundll32.exe stand!

Dann kam:
racpldlg.dll

danach habe ich erstmal aufgehört!
Die oben genannte Datei habe ich bei virustotal hochgeladen, jedoch kein Fund!

File racpldlg.dll received on 08.12.2008 15:22:22 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 0/36 (0%)

bis später
Gruss
ceritus

Hi,

ich bräuchte die MD5 von der Datei. (steht unten in der virustotal auswertung mit drin)

Du könntest mit Filemon mal schauen welche Dateien auf die Dateien im Tempordner zugreifen. Eventuell erfährst du so, wer die Dateien erstellt.

lg myrtille

Hallo,

sorry, dass ich erst jetzt schreibe, aber habe selber ein paar Sachen gemacht...

also:

1. Ich habe 2 Dateien hochgeladen:
Datei racpldlg.dll empfangen 2008.08.12 15:34:23 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/35 (0%)

weitere Informationen
File size: 65536 bytes
MD5...: b750eed6646113c06fa35a73f8c44ce0

und eine weitere:

Datei dot3ui.dll empfangen 2008.08.12 16:05:49 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/36 (0%)

weitere Informationen
File size: 937984 bytes
MD5...: 7ff791620d9bdc8579dabea3a4143cde

2. Ich habe die Dateien wieder probiert zu löschen, jedoch hatte es diesmal kein Ende... :headbang:

Hier eine Liste, sind jedoch nicht ganz alle. Selten wurde die Datei ganz kurz gesperrt!
Komisch an den Dateien war, dass die Dateien anfangs alle 608KB gross waren und nacher der Rest 916KB...

verifier.exe
wmerrDEU.dll
ws2help.dll
wzcsapi.dll 916 608
adsmsext.dll
atl71.dll
capesnpn.dll
chkdsk.exe
comdlg32.dll
cryptsvc.dll
c_857.nls
daxctle.ocx
dgnet.dll
dmusic.dll
dpnet.dll
dx7vb.dll
gb2312.uce
ieaksie.dll
ir41_qcx.dll
kbdbhc.dll
kbdlt.dll
LegitCheckControl.dll
mciole32.dll
mmsystem.dll
msctfp.dll
mspbde40.dll
msxml4r.dll
noise.tha
ntlsapi.dll
nvwrssv.dll
olesvr.dll
perfh009.dat
psbase.dll
SET80.tmp
ssmyst.scr
vfpodbc.dll
wbdbase.sve
winhlp32.exe
wmiprop.dll
wpdmtpdr.dll
xmlprov.dll
btcpl.cpl
cmstp.exe
credui.dll
d3dxof.dll
SET5D.tmp
snmpsnap.dll
sstext3d.scr
unimdm.tsp
vmnetdhcp.exe
wpdmtp.dll
calc.exe

3. Ich habe nochmals im abgesicherten Modus mit Malwarebytes gescannt und den Registry Eintrag erfolgreich gelöscht!

4. Das Office und die Java Versionen habe ich erfolgreich deinstalliert!

5. Die Dateien starteten wieder mit dem Prozess rundll32.exe und wieder war es eine .tmp Datei!

6. Ich habe ein neues Konto eröffnet und siehe da, kein rundll32 Prozess und auch keine .tmp Datei die dazu gehört! Sonst habe ich noch eine .tmp Datei drin, jedoch gehört die zu einem Programm, das vertrauenswürdig ist!

EDIT: Antivir habe ich übrigens auch drüber laufen lassen, kein Fund!

Was empfiehlst du mir? Soll ich das neue Konto beibehalten! Oder gehts weiter mit dem erforschen??? :balla:

Lg
ceritus

Hi,

All diese Dateien sollten bereits auf deinem Rechner vorhandne sein.
Für die beiden Dateien die du hochgeladen hattest (dot3ui.dll und racpldlg.dll) sollte es Kopien im Ordner C:\windows\system32 geben.

Lad bitte die Dateien auch jeweils hoch und überprüfe ob die MD5 identisch sind. (Wenn sie identisch sind, sind es eindeutig Windowsdateien)

Die weiteren Schritte hängen eigentlich von dir ab:
Entweder du gehst davon aus, dass es scih um ein Windowsphänomen handelt, dass du nicht haben willst udn lebst mit deinem neuen Benutzerkonto.
Oder du gehst davon aus, dass es sich um Windowsphänomen handelt mit dem du leben kannst und nutzt dein Benutzerkonto weiter.
Oder du glaubst nicht, dass es sich um ein Windowsphänomen und dann sollten wir weitere Nachforschungen anstellen.

(oder du glaubst es ist ein Windowsphänomen und du willst mehr darüber wissen und deswegen weiter nachfrschen ;) )

lg myrtille

Hi,

aus system32:

Datei dot3ui.dll empfangen 2008.08.12 18:16:16 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/35 (0%)

weitere Informationen
File size: 651264 bytes
MD5...: 53a45cff9a3c1ff74e0e84e3c93cf3b5

vergichen mit Datei aus temp:
Datei dot3ui.dll empfangen 2008.08.12 16:05:49 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/36 (0%)

weitere Informationen
File size: 937984 bytes
MD5...: 7ff791620d9bdc8579dabea3a4143cde

keine Übereinstimmung!

und noch:

aus system32:
Datei racpldlg.dll empfangen 2008.08.12 18:20:14 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/36 (0%)

weitere Informationen
File size: 43520 bytes
MD5...: 65b8d1c9254df86d322733e7d294f2cf

verglichen mit Datei aus temp:
Datei racpldlg.dll empfangen 2008.08.12 15:34:23 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/35 (0%)

weitere Informationen
File size: 65536 bytes
MD5...: b750eed6646113c06fa35a73f8c44ce0

keine Übereinstimmung!

Also was mir noch aufgefallen ist, dass diese Dateien mit dem Prozess rundll32.exe zusammenhängen! Denn wenn ich diesen Prozess töte, so kann man die Datei im temp Ordner löschen! Der Prozess ist bis jetzt noch nicht wieder aufgetaucht! Soll ich einmal neustarten und schauen, ob die Dateien wieder erscheinen???

Na dann, immer weiter mit dem erforschen! Denke nicht, dass es ein Windows Phänomen ist oder dergleichen! :)

Lg
ceritus

Hi,

dann bräuchte ich von dir bitte folgende Logs:
Einige Scans auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):

alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein
keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
nichts am Rechner getan werden
nach jedem Scan der Rechner neu gestartet werden

Gmer scannen lassen

Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.
Starte gmer.exe. Alle anderen Programme sollen geschlossen sein.
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.
Füge das Log aus der Zwischenablage in deine Antwort hier ein.

RootkitRevealer scannen lassen

Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
Starte in diesem Ordner RootkitRevealer.exe. Alle anderen Programme schließen.
Starte durch Klick auf "Scan".
Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern.

und

ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing7.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Lade dir bitte auch Prozess Monitor.
Gib dann unter Filter folgende Filter ein:

Event Class is Registry then exclude
Event Class is Process then exclude

Lasse Process Explorer laufen, bis du siehst, dass die entsprechenden Dateien im Log aufgetaucht sind und klicke dann auf File->Save->wähle bei Format CSV an und gib unter Path den Speicherort ein.

Poste das Log anschließend hier, oder lade es, sollte es zu groß sein, bei file-upload hoch.

lg myritlle

hi,

also ich werde deine Anweisungen befolgen, jedoch werde ich mich erst wieder morgen melden.

Vielen, vielen Dank für deine hilfreiche Unterstützung!!!
:aplaus: :daumenhoc

bis morgen

lg
ceritus

Ich muss heute abend auch noch Party machen. Kommt mir also ganz recht, dass du auch keine Zeit hast ;) :D ;)

lg myrtille

hi,

also hier das Log von gmer:

h**p://w*w.file-upload.net/download-1040871/gmer.txt.html

und das Log von rootkitrevealer:

Code:

HKLM\SECURITY\Policy\Secrets\SAC*        07.08.2004 12:29        0 bytes        Key name contains embedded nulls (*)

HKLM\SECURITY\Policy\Secrets\SAI*        07.08.2004 12:29        0 bytes        Key name contains embedded nulls (*)

HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg        11.06.2008 00:41        0 bytes        Access is denied.

D:        01.01.1601 02:00        0 bytes        Error mounting volume

E:        01.01.1601 02:00        0 bytes        Error mounting volume

Zu D: und E:...
D: ist nicht formatiert und E: ist eine Recovery Partition.

und das listing:

h**p://w*w.file-upload.net/download-1040851/list.txt.html

Zum Prozess Monitor habe ich noch eine Frage:

Soll ich den Prozess rundll32.exe nicht killen? Damit ich die Dateien vom temp Verzeichnis in den Prozess Monitor bekomme? Und wie lange kann das dauern bis die Dateien vom temp Verzeichnis dort erscheinen? Nicht das ich eine Ewigkeit warte und es geschieht nichts... :balla: :)

Lg
ceritus

hallo myrtille,

ich muss dir leider sagen, dass ich aufgebe, ich werde meinen pc neu aufsetzen.

Das geht mir eindeutig zu lange! Und zudem bin ich dann auf der sicheren Seite!

Trotzdem vielen, vielen Dank für deine Bemühungen und dein Engagement!
:daumenhoc

Lg
ceritus

Hi,

ich bin derzeit leider auch sehr ausgelastet, weswegen sich hier die antworten verzögern.

Alles was ich dir sagen kann, ist, dass es auf den ersten Blick (noch) keinen Anlass gibt auf Malware zu schließen.

Scheinbar ist allerdings bei deiner SP3 installation etwas schiefgelaufen. Man findet vielfach die angabe "unknown module" in den Logs, die sich immer auf Dateien beziehen, die am 14.04 (ausm Kopf) aktualisiert wurden.
Wenn du also neuaufsetzt, würde ich dir empfehlen erst das SP3 zu installieren und dann die Software zu installieren, da ich nach wie vor eher ein derartiges Problem als Ursprung vermute.

lg myrtille

Hi,

also ich werde das so machen!

Vielen Dank nochmals!

Lg
ceritus