|
Log-Analyse und Auswertung: Ständig neue Datei nach dem löschen in temp OrdnerWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
12.08.2008, 02:08 | #1 |
| Ständig neue Datei nach dem löschen in temp Ordner Hallo erstmal, OS: WinXp Home also ich habe bereits gegoogelt, jedoch half mir das auch nicht weiter... Zu Google: Es kommen ständig verweise auf .dll Downloads und manche Dateien scheinen harmlos zu sein... Mein Problem: Wenn ich eine Datei in meinen benutzerspezifischen Temp Ordner lösche, so wird diese gelöscht und es erscheint automatisch eine neue Datei! Dateien Beispiele: spnpinst.exe wucltui.dll streamci.dll atmpvcno.dll bootok.exe nach bootok.exe kam keine neue mehr! (ich benutzte keine dieser Programme) Besitze Kaspersky inkl. Firewall, Spybot S&D, und noch andere Helferlein. Keines hat etwas gefunden... Vermute Malware. Mein HijackThis Log File: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 03:20:24, on 12.08.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\Programme\Kaspersky Internet Security 7.0\avp.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\UPHClean\uphclean.exe C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe C:\WINDOWS\Explorer.EXE C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe C:\Programme\Kaspersky Internet Security 7.0\avp.exe C:\PROGRA~1\WALLPA~1\WallpaperJugglerM.exe C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe C:\Programme\hardcopy\hardcopy.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\HijackThis\HijackThis.exe O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Internet Security 7.0\avp.exe" O4 - HKLM\..\Run: [Wallpaper Juggler Monitor] "C:\PROGRA~1\WALLPA~1\WallpaperJugglerM.exe" O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - Startup: ERUNT AutoBackup.lnk = C:\Programme\ERUNT\AUTOBACK.EXE O4 - Global Startup: Hardcopy.LNK = C:\Programme\hardcopy\hardcopy.exe O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Internet Security 7.0\ie_banner_deny.htm O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Internet Security 7.0\SCIEPlgn.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1.0\adialhk.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Internet Security 7.0\avp.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\system32\nvsvc32.exe (file missing) O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Server\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe -- End of file - 3819 bytes Könnt ihr mir helfen? Danke im Voraus ceritus Geändert von ceritus (12.08.2008 um 02:23 Uhr) |
12.08.2008, 02:26 | #2 |
/// TB-Ausbilder | Ständig neue Datei nach dem löschen in temp Ordner Heya,
__________________google behauptet die Dateien würden alle zu Windows gehören. Es muss sich also nicht unbedingt um Malware handeln. Ausschließen lässt sich das allerdings erstmal auch nicht. Mache einen Scan mit Malwarebytes und poste die Ergebnisse der beiden Programme hier. lg myrtille EDIT: Hab das Log jetzt erst gesehen, das Log ist sauber, da ist nichts zu sehen. Wenn das nächste Mal eine derartige Datei erscheint, lade sie bitte bei virustotal hoch und poste das Ergebnis dann hier. Anhand der Angaben sollte man feststellen können ob es sich wirklich um Windowsdateien handelt oder nicht
__________________ |
12.08.2008, 02:32 | #3 |
| Ständig neue Datei nach dem löschen in temp Ordner Hallo,
__________________also ich werde deine Anweisungen gleich befolgen. Ich habe mehrere dieser Dateien bereits bei jotti hochgeladen, jedoch kein Fund... EDIT: Das komische an den Dateien war, das sobald ich sie gelöscht habe am gleichen Ort im Ordner sofort danach eine neue Datei entstand! Eine Frage noch: Sollten diese Dateien nicht im system32 Ordner bleiben? Oder ist das normal, dass sich diese in den benutzerspezifischen temp Ordner kopieren??? Gruss ceritus Geändert von ceritus (12.08.2008 um 03:00 Uhr) |
12.08.2008, 02:58 | #4 | |
/// TB-Ausbilder | Ständig neue Datei nach dem löschen in temp OrdnerZitat:
spnpinst.exe -> Peer to Peer Setup wucitui.dll->Windows Update Client UI Plugin streamci.dll ->Streaming Device Class Installer atmpvcno.dll->Atm Epvc Install DLL bootok.exe -> Datei die von Programmen aufgerufen wird, um zu testen ob sie korrekt gestartet sind und Windows dann mitteilt, dass das aufrufende Programm funktioniert. Sieht aus als hättest du ein Programm (evtl auch Update oder neue Hardware) installiert? Windows lässt sich in der Regel nicht so leicht ins Handwerk pfuschen. Wenn man während des Betriebs Dateien löscht, die es noch braucht, ist es meist in der Lage diese wiederherzustellen. Insbesondere wenn die Dateien im Temp-Ordner liegen. Da muss man ja damit rechnen, dass die Dateien verschwinden/überschrieben werden. lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
12.08.2008, 03:08 | #5 |
| Ständig neue Datei nach dem löschen in temp Ordner Hier nun das Log File von Malwarebytes: Malwarebytes' Anti-Malware 1.24 Datenbank Version: 1043 Windows 5.1.2600 Service Pack 3 04:03:03 12.08.2008 mbam-log-8-12-2008 (04-02-55).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|) Durchsuchte Objekte: 89093 Laufzeit: 26 minute(s), 48 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) ----- Ich habe probiert es zu entfernen, jedoch hängt nun Malwarebytes... Gruss ceritus |
12.08.2008, 03:14 | #6 |
| Ständig neue Datei nach dem löschen in temp Ordner Ich habe keine neue Hardware installiert. Ist übrigens ein Laptop. Und Updates habe ich auch keine gemacht! Da bin ich mir sicher. EDIT: Ein Programm habe ich installiert... Jedoch weiss ich den Namen nicht mehr! *Schäm* Es war ein Disassembler... Wollte den Code eines Programmes auslesen aus Neugier... EDIT: Habs gefunden... von der Seite: h**p://en.wikibooks.org/wiki/Reverse_Engineering/Tools IDA Pro Freeware 4.3 Better GUI than the previous version. h**p://w*w.datarescue.be/idafreeware/freeida43.exe Die Dateien vielen mir jedoch erst nach der Deinstallation auf... Gruss ceritus Geändert von ceritus (12.08.2008 um 03:23 Uhr) |
12.08.2008, 03:20 | #7 |
/// TB-Ausbilder | Ständig neue Datei nach dem löschen in temp Ordner Das ist seltsam. Der gefundene Eintrag ist auch nur eine potentiell unerwünschte einstellung die den Logoff button im Startmenü betrifft. Er muss also nicht unbedingt gelöscht werden. Allerdings sollte Malwarebytes auf die Registry zugreifen können. Erstell bitte auch ein Log mit DSS
lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! Geändert von myrtille (12.08.2008 um 03:31 Uhr) Grund: link geändert |
12.08.2008, 03:27 | #8 |
| Ständig neue Datei nach dem löschen in temp Ordner Wenn ich deinem Link folge, erscheint nur: Page not found EDIT: Habe ihn woanders gefunden! Danke, werde ich machen... Gruss ceritus |
12.08.2008, 04:03 | #9 |
| Ständig neue Datei nach dem löschen in temp Ordner Also hier nun die beiden Logs: zur Office Installation muss ich noch sagen, die habe ich nicht heute gemacht oder gestern und ich konnte es erfolgreich installieren, jedoch mekert er beim starten von Word, dass ein vba nicht installiert sei... und ich habe es bis jetzt noch nicht nachinstalliert. main.txt: Deckard's System Scanner v20071014.68 Run by *** on 2008-08-12 04:34:17 Computer is in Normal Mode. -------------------------------------------------------------------------------- -- System Restore -------------------------------------------------------------- Successfully created a Deckard's System Scanner Restore Point. -- Last 5 Restore Point(s) -- 8: 2008-08-12 02:34:22 UTC - RP8 - Deckard's System Scanner Restore Point 5: 2008-08-07 20:09:35 UTC - RP5 - Installed Microsoft Office Enterprise 2007 4: 2008-08-07 19:56:24 UTC - RP4 - Installed Microsoft Office Enterprise 2007 -- First Restore Point -- 1: 2008-08-03 23:15:17 UTC - RP1 - Systemprüfpunkt Backed up registry hives. Performed disk cleanup. System Drive C: has 5.7 GiB (less than 15%) free. -- HijackThis (run as ***.exe) ----------------------------------------------- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 04:35:25, on 12.08.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\UPHClean\uphclean.exe C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe C:\WINDOWS\system32\rundll32.exe C:\Dokumente und Einstellungen\***\Desktop\dss.exe C:\PROGRA~1\HIJACK~1\***.exe C:\Programme\Kaspersky Internet Security 7.0\avp.exe C:\Programme\Kaspersky Internet Security 7.0\avp.exe C:\Programme\Kaspersky Internet Security 7.0\avp.exe O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Internet Security 7.0\avp.exe" O4 - HKLM\..\Run: [Wallpaper Juggler Monitor] "C:\PROGRA~1\WALLPA~1\WallpaperJugglerM.exe" O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - Startup: ERUNT AutoBackup.lnk = C:\Programme\ERUNT\AUTOBACK.EXE O4 - Global Startup: Hardcopy.LNK = C:\Programme\hardcopy\hardcopy.exe O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Internet Security 7.0\SCIEPlgn.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1.0\adialhk.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Internet Security 7.0\avp.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\system32\nvsvc32.exe (file missing) O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Server\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe -- End of file - 3748 bytes -- HijackThis Fixed Entries (C:\PROGRA~1\HIJACK~1\backups\) -------------------- backup-20080609-233046-205 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com backup-20080609-233046-288 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hp.com backup-20080709-102504-483 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm backup-20080709-102504-683 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1213029220751 backup-20080709-102504-830 O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k backup-20080709-102504-861 O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com backup-20080709-102507-193 O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe backup-20080709-102507-994 O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe backup-20080709-103214-578 O9 - Extra button: (no name) - AutorunsDisabled - (no file) backup-20080709-103215-652 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll backup-20080709-104125-953 O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup backup-20080718-210715-100 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.com/ie backup-20080718-210715-702 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.com backup-20080807-223748-581 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL backup-20080807-223748-663 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 backup-20080812-014846-883 O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll -- File Associations ----------------------------------------------------------- .cpl - cplfile - shell\cplopen\command - rundll32.exe shell32.dll,Control_RunDLL "%1",%* .cpl - cplfile - shell\runas\command - rundll32.exe shell32.dll,Control_RunDLLAsUser "%1",%* -- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------- R1 PQNTDrv - c:\windows\system32\drivers\pqntdrv.sys <Not Verified; PowerQuest Corporation; PowerQuest product> R1 ssmdrv - c:\windows\system32\drivers\ssmdrv.sys <Not Verified; AVIRA GmbH; > R2 lirsgt - c:\windows\system32\drivers\lirsgt.sys R2 VMnetBridge (VMware Bridge Protocol) - c:\windows\system32\drivers\vmnetbridge.sys <Not Verified; VMware, Inc.; VMware bridge driver (32-bit)> R2 VMnetuserif (VMware Network Application Interface) - c:\windows\system32\drivers\vmnetuserif.sys <Not Verified; VMware, Inc.; VMware network application interface driver (32-bit)> R2 vmx86 (VMware vmx86) - c:\windows\system32\drivers\vmx86.sys <Not Verified; VMware, Inc.; VMware kernel driver> S3 NSNDIS5 (NSNDIS5 NDIS Protocol Driver) - c:\windows\system32\nsndis5.sys <Not Verified; Printing Communications Assoc., Inc. (PCAUSA); NetStumbler> S4 SYMIDSCO - c:\progra~1\gemein~1\symant~1\symcdata\idsdefs\20050901.036\symidsco.sys (file missing) -- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled -------------------- R2 UPHClean (User Profile Hive Cleanup) - c:\programme\uphclean\uphclean.exe <Not Verified; Microsoft Corporation; User Profile Hive Cleanup Service> S2 NVSvc (NVIDIA Display Driver Service) - c:\windows\system32\nvsvc32.exe (file missing) S3 VMAuthdService (VMware Authorization Service) - "c:\programme\vmware\vmware server\vmware-authd.exe" <Not Verified; VMware, Inc.; VMware Server> S3 VMnetDHCP (VMware DHCP Service) - c:\windows\system32\vmnetdhcp.exe <Not Verified; VMware, Inc.; VMware Server> S4 AntiVirScheduler (Avira AntiVir Personal – Free Antivirus Planer) - "c:\programme\avira\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; AntiVir Workstation> S4 vmserverdWin32 (VMware Registration Service) - "c:\programme\vmware\vmware server\vmserverdwin32.exe" <Not Verified; VMware, Inc.; VMware Server> S4 VMware NAT Service - c:\windows\system32\vmnat.exe <Not Verified; VMware, Inc.; VMware Server> -- Device Manager: Disabled ---------------------------------------------------- Class GUID: {4D36E96D-E325-11CE-BFC1-08002BE10318} Description: HDAUDIO Soft Data Fax Modem with SmartCP Device ID: HDAUDIO\FUNC_02&VEN_14F1&DEV_5047&SUBSYS_103C30A5&REV_1000\4&2BB472F0&0&0002 Manufacturer: CXT Name: HDAUDIO Soft Data Fax Modem with SmartCP PNP Device ID: HDAUDIO\FUNC_02&VEN_14F1&DEV_5047&SUBSYS_103C30A5&REV_1000\4&2BB472F0&0&0002 Service: Modem Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318} Description: 1394-Netzwerkadapter Device ID: V1394\NIC1394\C43D407E633F0200 Manufacturer: Microsoft Name: 1394-Netzwerkadapter PNP Device ID: V1394\NIC1394\C43D407E633F0200 Service: NIC1394 Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318} Description: Intel(R) PRO/100 VE Network Connection Device ID: PCI\VEN_8086&DEV_1092&SUBSYS_30A5103C&REV_01\4&2EC23395&0&40F0 Manufacturer: Intel Name: Intel(R) PRO/100 VE Network Connection PNP Device ID: PCI\VEN_8086&DEV_1092&SUBSYS_30A5103C&REV_01\4&2EC23395&0&40F0 Service: E100B Class GUID: {4D36E965-E325-11CE-BFC1-08002BE10318} Description: CD-ROM-Laufwerk Device ID: SCSI\CDROM&VEN_UI5137H&PROD_GIN005C&REV_1.0\5&36E5972&0&000 Manufacturer: (Standard-CD-ROM-Laufwerke) Name: UI5137H GIN005C SCSI CdRom Device PNP Device ID: SCSI\CDROM&VEN_UI5137H&PROD_GIN005C&REV_1.0\5&36E5972&0&000 Service: cdrom Class GUID: {4D36E965-E325-11CE-BFC1-08002BE10318} Description: CD-ROM-Laufwerk Device ID: SCSI\CDROM&VEN_UI5137H&PROD_GIN005C&REV_1.0\5&36E5972&0&010 Manufacturer: (Standard-CD-ROM-Laufwerke) Name: UI5137H GIN005C SCSI CdRom Device PNP Device ID: SCSI\CDROM&VEN_UI5137H&PROD_GIN005C&REV_1.0\5&36E5972&0&010 Service: cdrom -- Scheduled Tasks ------------------------------------------------------------- 2008-07-05 19:16:35 282 --a------ C:\WINDOWS\Tasks\Spybot - Search & Destroy - Scheduled Task.job -- Files created between 2008-07-12 and 2008-08-12 ----------------------------- 2008-08-12 03:33:37 0 d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-08-07 22:15:17 0 d-------- C:\Programme\Microsoft Works 2008-08-07 22:13:38 0 d-------- C:\Programme\Microsoft.NET 2008-08-07 22:10:28 0 d-------- C:\WINDOWS\SHELLNEW 2008-08-07 22:09:40 0 dr-h----- C:\MSOCache 2008-08-03 03:23:43 0 d-------- C:\Programme\UPHClean 2008-07-30 22:54:13 0 d-------- C:\Programme\FileZilla FTP Client 2008-07-22 02:44:08 0 -rahs---- C:\MSDOS.SYS 2008-07-22 02:44:08 0 -rahs---- C:\IO.SYS 2008-07-20 16:48:46 0 d-------- C:\WINDOWS\system32\NtmsData 2008-07-18 20:51:49 0 d-------- C:\Programme\xpy-0.10.6-bin 2008-07-18 20:50:01 0 d--h----- C:\WINDOWS\PIF -- Find3M Report --------------------------------------------------------------- 2008-08-12 04:33:19 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\nView_Wallpaper 2008-08-12 03:33:53 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes 2008-08-12 00:45:33 0 d-------- C:\Programme\LuckyDips 2008-08-10 01:27:22 0 d-------- C:\Programme\AppleJuice 2008-08-07 22:14:33 0 d-------- C:\Programme\Gemeinsame Dateien 2008-08-06 04:51:26 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\FileZilla 2008-08-04 00:19:39 0 d-------- C:\Programme\Movie Maker 2008-08-03 23:34:49 0 d-------- C:\Programme\Messenger 2008-07-18 21:13:02 0 d-------- C:\Programme\Kaspersky Internet Security 7.0 2008-07-18 20:57:08 874 --ah----- C:\Dokumente und Einstellungen\***\Anwendungsdaten\xpy.ini 2008-07-11 18:55:30 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\VMware 2008-07-10 21:58:41 0 d-------- C:\Programme\Ubisoft 2008-07-10 20:08:51 0 d--h----- C:\Programme\InstallShield Installation Information 2008-07-09 09:53:17 0 d-------- C:\Programme\Avira 2008-07-06 00:51:43 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft Games 2008-07-06 00:49:30 0 d-------- C:\Programme\Microsoft Games 2008-06-27 04:38:42 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\SiteAdvisor 2008-06-19 18:53:07 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Adobe 2008-06-19 06:58:51 394252 --a------ C:\WINDOWS\system32\perfh007.dat 2008-06-19 06:58:51 65192 --a------ C:\WINDOWS\system32\perfc007.dat 2008-06-19 06:51:51 0 d-------- C:\Programme\Gemeinsame Dateien\VMware 2008-06-19 06:51:42 0 d-------- C:\Programme\VMware 2008-06-19 01:21:47 0 d-------- C:\Programme\Act of War - High Treason 2008-06-18 03:18:19 0 d-------- C:\Programme\Act of War - Direct Action 2008-06-15 21:00:59 0 d-------- C:\Programme\DAEMON Tools 2008-06-14 21:25:26 98304 --a------ C:\WINDOWS\system32\CmdLineExt.dll <Not Verified; Sony DADC Austria AG.; > 2008-06-14 20:49:39 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll 2008-06-14 19:09:59 0 d-------- C:\Programme\Look@LAN 2008-06-12 23:49:40 0 d-------- C:\Programme\Autoruns 2008-06-12 23:21:58 0 d-------- C:\Programme\ProcessExplorer 2008-06-12 23:00:57 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun 2008-06-10 01:37:53 1144 --a------ C:\WINDOWS\mozver.dat 2008-06-09 21:43:43 720896 --a------ C:\WINDOWS\iun6002.exe <Not Verified; Indigo Rose Corporation; Setup Factory 6.0 Runtime Module> 2008-06-09 19:34:35 0 --a------ C:\WINDOWS\nsreg.dat -- Registry Dump --------------------------------------------------------------- *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [11.11.2005 10:04] "hpWirelessAssistant"="C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [13.12.2005 17:45] "AVP"="C:\Programme\Kaspersky Internet Security 7.0\avp.exe" [26.06.2007 16:53] "Wallpaper Juggler Monitor"="C:\PROGRA~1\WALLPA~1\WallpaperJugglerM.exe" [22.09.2004 20:18] "eabconfg.cpl"="C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe" [07.12.2005 11:56] "nwiz"="nwiz.exe" [15.12.2005 13:42 C:\WINDOWS\system32\nwiz.exe] C:\Dokumente und Einstellungen\***\Startmen\Programme\Autostart\ ERUNT AutoBackup.lnk - C:\Programme\ERUNT\AUTOBACK.EXE [20.10.2005 12:04:08] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Hardcopy.LNK - C:\Programme\hardcopy\hardcopy.exe [18.02.2006 06:10:36] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "ClearRecentDocsOnExit"=1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy] C:\WINDOWS\System32\dimsntfy.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "appinit_dlls"=C:\PROGRA~1\KASPER~1.0\adialhk.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}] @="Volume shadow copy" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk backup=C:\WINDOWS\pss\BTTray.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz] nwiz.exe /install [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_12\bin\jusched.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] eapsvcs eaphost dot3svc dot3svc HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs napagent hkmsvc [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##192.168.1.34#F] AutoRun\command- Z:\Autorun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E] AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3c18e5f1-35cf-11dd-a806-806d6172696f}] AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480 *Newly Created Service* - MBAMSWISSARMY -- Hosts ----------------------------------------------------------------------- 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 8912 more entries in hosts file. -- End of Deckard's System Scanner: finished at 2008-08-12 04:37:09 ------------ |
12.08.2008, 04:09 | #10 |
| Ständig neue Datei nach dem löschen in temp Ordner und extra.txt: Deckard's System Scanner v20071014.68 Extra logfile - please post this as an attachment with your post. -------------------------------------------------------------------------------- -- System Information ---------------------------------------------------------- Microsoft Windows XP Home Edition (build 2600) SP 3.0 Architecture: X86; Language: German CPU 0: Genuine Intel(R) CPU T2400 @ 1.83GHz Percentage of Memory in Use: 27% Physical Memory (total/avail): 2046.04 MiB / 1474.75 MiB Pagefile Memory (total/avail): 2091.02 MiB / 1716.85 MiB Virtual Memory (total/avail): 2047.88 MiB / 1951.39 MiB C: is Fixed (NTFS) - 67.36 GiB total, 5.77 GiB free. D: is Fixed (Unformatted) - 0 GiB total, 0 GiB free. E: is Fixed (FAT32) - 6.15 GiB total, 0.7 GiB free. G: is CDROM (No Media) \\.\PHYSICALDRIVE0 - HTS541080G9SA00 - 74.53 GiB - 3 partitions \PARTITION0 (bootable) - Installierbares Dateisystem - 67.36 GiB - C: \PARTITION1 - Unknown - 6.17 GiB - E: \PARTITION2 - Unknown - 1027.56 MiB \\.\PHYSICALDRIVE1 - HTS541080G9SA00 - 74.53 GiB - 1 partition \PARTITION0 - Installierbares Dateisystem - 74.53 GiB - D: -- Security Center ------------------------------------------------------------- AUOptions is disabled. -- Environment Variables ------------------------------------------------------- ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users APPDATA=C:\Dokumente und Einstellungen\***\Anwendungsdaten CLIENTNAME=Console CommonProgramFiles=C:\Programme\Gemeinsame Dateien COMPUTERNAME=CHEFE ComSpec=C:\WINDOWS\system32\cmd.exe Devmgr_show_details=1 FP_NO_HOST_CHECK=NO HOMEDRIVE=C: HOMEPATH=\Dokumente und Einstellungen\*** LOGONSERVER=\\CHEFE NUMBER_OF_PROCESSORS=2 OS=Windows_NT Path=C:\Programme\Windows Resource Kits\Tools\;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH PCTYPE=PAVILION PLATFORM=MCD PROCESSOR_ARCHITECTURE=x86 PROCESSOR_IDENTIFIER=x86 Family 6 Model 14 Stepping 8, GenuineIntel PROCESSOR_LEVEL=6 PROCESSOR_REVISION=0e08 ProgramFiles=C:\Programme PROMPT=$P$G SESSIONNAME=Console SonicCentral=C:\Programme\Gemeinsame Dateien\Sonic Shared\Sonic Central\ SystemDrive=C: SystemRoot=C:\WINDOWS TEMP=C:\DOKUME~1\***\LOKALE~1\Temp TMP=C:\DOKUME~1\***\LOKALE~1\Temp USERDOMAIN=*** USERNAME=*** USERPROFILE=C:\Dokumente und Einstellungen\*** windir=C:\WINDOWS -- User Profiles --------------------------------------------------------------- *** (admin) Administrator (admin) -- Add/Remove Programs --------------------------------------------------------- --> C:\WINDOWS\IsUn0407.exe -fC:\WINDOWS\orun32.isu --> C:\WINDOWS\system32\\MSIEXEC.EXE /x {075473F5-846A-448B-BCB3-104AA1760205} --> C:\WINDOWS\system32\\MSIEXEC.EXE /x {AB708C9B-97C8-4AC9-899B-DBF226AC9382} --> C:\WINDOWS\system32\\MSIEXEC.EXE /x {B12665F4-4E93-4AB4-B7FC-37053B524629} --> C:\WINDOWS\UNRecode.exe /UNINSTALL --> MsiExec.exe /I{09715083-BF10-4834-9E28-B5D8820513CA} --> MsiExec.exe /I{1E049668-AD90-4008-B213-E20CED2324DD} --> MsiExec.exe /I{35103A8A-E9D8-40FA-AEC7-4D138952DB30} --> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf 7-Zip 4.57 --> "C:\Programme\7-Zip\Uninstall.exe" Act of War - Direct Action --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F9B915DF-B79C-4747-9BA3-9705A57DC717}\SETUP.EXE" -l0x7 Act of War - High Treason --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C08EBBFD-C565-472F-9354-5593B9873705}\SETUP.EXE" -l0x7 Ad-Aware --> MsiExec.exe /I{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF} Adobe Flash Player ActiveX --> C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe Adobe Flash Player Plugin --> C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe Adobe Reader 8.1.2 - Deutsch --> MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003} AJCoreGUI 0.61.2 --> MsiExec.exe /I{7A2EF9A5-DAA6-4012-B242-86B9311B1817} Audiograbber 1.83 SE --> "C:\Programme\Audiograbber\Uninstall.exe" Avira AntiVir Personal - Free Antivirus --> C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE CMD Prompt Here PowerToy --> rundll32.exe syssetup.dll,SetupInfObjectInstallAction DefaultUninstall 132 C:\WINDOWS\INF\CmdHere.inf Command & Conquer 3 --> MsiExec.exe /I{B0C30E93-D3D9-4F04-A2AC-54749B573275} Command & Conquer 3 Tiberium Wars(TM) Worldbuilder --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F428768A-BA63-43A5-86E9-7F0CFD174944}\setup.exe" -l0x9 -removeonly Conexant HD Audio --> C:\Programme\CONEXANT\CNXT_HDAUDIO\HXFSETUP.EXE -U -ICPL30A5a.INF DIE SIEDLER - Aufstieg eines Königreichs --> "C:\Programme\InstallShield Installation Information\{D3F80A98-05AB-4D8C-9272-766CCFA6A48D}\setup.exe" -runfromtemp -l0x0007 -removeonly Eraser --> "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{A25FEDC1-F6D7-440C-BCE2-B71F595F6646}\EraserSetup32.exe" REMOVE=TRUE MODIFY=FALSE Eraser --> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{A25FEDC1-F6D7-440C-BCE2-B71F595F6646}\EraserSetup32.exe ERUNT 1.1j --> C:\Programme\ERUNT\unins000.exe Ethereal 0.9.14 --> "C:\Programme\Ethereal\uninstall.exe" EVEREST Home Edition v2.20 --> "C:\Programme\EVEREST Home Edition\unins000.exe" FileZilla Client 3.1.0.1 --> C:\Programme\FileZilla FTP Client\uninstall.exe Hardcopy (c:\programme\hardcopy) --> SwSetupu "c:\programme\hardcopy\hardcopy.del" HDAUDIO Soft Data Fax Modem with SmartCP --> C:\Programme\CONEXANT\CNXT_MODEM_HDAUDIO_CPL30A5m\HXFSETUP.EXE -U -ICPL30A5m.inf HijackThis 2.0.2 --> "C:\Programme\HijackThis\HijackThis.exe" /uninstall HP Imaging Device Functions 6.0 --> C:\Programme\HP\Digital Imaging\DigitalImagingMonitor\hpzscr01.exe -datfile hpqbud01.dat HP Integrated Module with Bluetooth wireless technology --> MsiExec.exe /X{3F4EC965-28EF-45C3-B063-04B25D4E9679} HP Photosmart Premier Software 6.0 --> C:\Programme\HP\Digital Imaging\uninstall\hpzscr01.exe -datfile hpqscr01.dat HP QuickPlay 2.0 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{45D707E9-F3C4-11D9-A373-0050BAE317E1}\setup.exe" -uninstall HP Software Update --> MsiExec.exe /X{BB85ED9C-AFC9-43BD-B8DC-258C3C7DF72E} HP Wireless Assistant 2.00 C1 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{4302B2DD-D958-40E3-BAF3-B07FFE1978CE}\setup.exe" -l0x7 hpquninst Intel(R) PRO Network Connections Drivers --> Prounstl.exe IrfanView (remove only) --> C:\Programme\IrfanView\iv_uninstall.exe J2SE Runtime Environment 5.0 Update 12 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150120} J2SE Runtime Environment 5.0 Update 6 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150060} Kaspersky Internet Security 7.0 --> MsiExec.exe /I{C774410D-3EF9-4DE7-AC01-332613163ECF} Kaspersky Internet Security 7.0 --> MsiExec.exe /I{C774410D-3EF9-4DE7-AC01-332613163ECF} Look@LAN 2.50 Build 35 --> C:\WINDOWS\iun6002.exe "C:\Programme\Look@LAN\irunin.ini" Malwarebytes' Anti-Malware --> "C:\Programme\Malwarebytes' Anti-Malware\unins000.exe" Microsoft Office Access MUI (German) 2007 --> MsiExec.exe /X{90120000-0015-0407-0000-0000000FF1CE} Microsoft Office Enterprise 2007 --> "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall ENTERPRISER /dll OSETUP.DLL Microsoft Office Enterprise 2007 --> MsiExec.exe /X{91120000-0030-0000-0000-0000000FF1CE} Microsoft Office Excel MUI (German) 2007 --> MsiExec.exe /X{90120000-0016-0407-0000-0000000FF1CE} Microsoft Office Groove MUI (German) 2007 --> MsiExec.exe /X{90120000-00BA-0407-0000-0000000FF1CE} Microsoft Office InfoPath MUI (German) 2007 --> MsiExec.exe /X{90120000-0044-0407-0000-0000000FF1CE} Microsoft Office OneNote MUI (German) 2007 --> MsiExec.exe /X{90120000-00A1-0407-0000-0000000FF1CE} Microsoft Office Outlook MUI (German) 2007 --> MsiExec.exe /X{90120000-001A-0407-0000-0000000FF1CE} Microsoft Office PowerPoint MUI (German) 2007 --> MsiExec.exe /X{90120000-0018-0407-0000-0000000FF1CE} Microsoft Office Proof (English) 2007 --> MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE} Microsoft Office Proof (French) 2007 --> MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE} Microsoft Office Proof (German) 2007 --> MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE} Microsoft Office Proof (Italian) 2007 --> MsiExec.exe /X{90120000-001F-0410-0000-0000000FF1CE} Microsoft Office Proofing (German) 2007 --> MsiExec.exe /X{90120000-002C-0407-0000-0000000FF1CE} Microsoft Office Publisher MUI (German) 2007 --> MsiExec.exe /X{90120000-0019-0407-0000-0000000FF1CE} Microsoft Office Shared MUI (German) 2007 --> MsiExec.exe /X{90120000-006E-0407-0000-0000000FF1CE} Microsoft Office Word MUI (German) 2007 --> MsiExec.exe /X{90120000-001B-0407-0000-0000000FF1CE} Mozilla Firefox (2.0.0.16) --> C:\Programme\Mozilla Firefox\uninstall\helper.exe Network Stumbler 0.4.0 (remove only) --> "C:\Programme\Network Stumbler\uninst.exe" NVIDIA Drivers --> C:\WINDOWS\system32\nvudisp.exe UninstallGUI Optimierung aufgrund von Kundenerfahrungen --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe /M{23012310-3E05-46A5-88A9-C6CBCABCAC79} /l1031 Quick Launch Buttons 5.20 F2 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{CEB326EC-8F40-47B2-BA22-BB092565D66F}\setup.exe" -l0x7 -uninst Sonic Audio Module --> MsiExec.exe /I{AB708C9B-97C8-4AC9-899B-DBF226AC9382} Sonic Copy Module --> MsiExec.exe /I{B12665F4-4E93-4AB4-B7FC-37053B524629} Sonic Data Module --> MsiExec.exe /I{075473F5-846A-448B-BCB3-104AA1760205} Sonic Express Labeler --> MsiExec.exe /I{6675CA7F-E51B-4F6A-99D4-F8F0124C6EAA} Sonic MyDVD Plus --> MsiExec.exe /I{21657574-BD54-48A2-9450-EB03B2C7FC29} Sonic Update Manager --> MsiExec.exe /I{30465B6C-B53F-49A1-9EBA-A3F187AD502E} Spybot - Search & Destroy --> "C:\Programme\Spybot - Search & Destroy\unins000.exe" Synaptics Pointing Device Driver --> rundll32.exe "C:\Programme\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall Texas Instruments PCIxx21/x515/xx12 drivers. --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{7B6CF9EB-CB2B-4A1A-81A9-BE1A9044690A} /l1031 Unlocker 1.8.5 --> C:\Programme\Unlocker\uninst.exe User Profile Hive Cleanup Service --> MsiExec.exe /I{FF77941A-2BFA-4A18-BE2E-69B9498E4D55} VCRedistSetup --> MsiExec.exe /I{3921A67A-5AB1-4E48-9444-C71814CF3027} VideoLAN VLC media player 0.8.6h --> C:\Programme\VideoLAN\VLC\uninstall.exe VMware Server --> MsiExec.exe /I{FEE84D71-7FF0-46C1-AED4-1BD821D53A9F} Wallpaper Juggler 2.2 --> C:\PROGRA~1\WALLPA~1\UNWISE.EXE C:\PROGRA~1\WALLPA~1\INSTALL.LOG Windows XP Service Pack 3 --> "C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe" WinRAR --> C:\Programme\WinRAR\uninstall.exe -- Application Event Log ------------------------------------------------------- Event Record #/Type1047 / Error Event Submitted/Written: 08/07/2008 10:03:12 PM Event ID/Source: 5000 / Microsoft Office 12 Event Description: EventType office12setup, P1 {90120000-001f-0409-0000-0000000ff1ce}, P2 12.0.4518.1014, P3 installfiles, P4 1603, P5 0x1335, P6 error 1335. the cabinet file 'proof.cab' required for this installation is corrupt and cannot be used. this could , P7 x, P8 NIL, P9 office12setup0, P10 office12setup1. Event Record #/Type1035 / Error Event Submitted/Written: 08/07/2008 09:55:21 PM Event ID/Source: 11335 / MsiInstaller Event Description: Product: Microsoft Office Proof (English) 2007 -- Error 1335. The cabinet file 'Proof.CAB' required for this installation is corrupt and cannot be used. This could indicate a network error, an error reading from the CD-ROM, or a problem with this package. Event Record #/Type1034 / Error Event Submitted/Written: 08/07/2008 09:53:41 PM Event ID/Source: 11335 / MsiInstaller Event Description: Product: Microsoft Office Proof (English) 2007 -- Error 1335. The cabinet file 'Proof.CAB' required for this installation is corrupt and cannot be used. This could indicate a network error, an error reading from the CD-ROM, or a problem with this package. Event Record #/Type1033 / Error Event Submitted/Written: 08/07/2008 09:53:32 PM Event ID/Source: 11335 / MsiInstaller Event Description: Product: Microsoft Office Proof (English) 2007 -- Error 1335. The cabinet file 'Proof.CAB' required for this installation is corrupt and cannot be used. This could indicate a network error, an error reading from the CD-ROM, or a problem with this package. Event Record #/Type1032 / Error Event Submitted/Written: 08/07/2008 09:46:53 PM Event ID/Source: 11335 / MsiInstaller Event Description: Product: Microsoft Office Proof (English) 2007 -- Error 1335. The cabinet file 'Proof.CAB' required for this installation is corrupt and cannot be used. This could indicate a network error, an error reading from the CD-ROM, or a problem with this package. -- Security Event Log ---------------------------------------------------------- No Errors/Warnings found. -- System Event Log ------------------------------------------------------------ Event Record #/Type4579 / Error Event Submitted/Written: 08/12/2008 04:33:05 AM Event ID/Source: 10000 / DCOM Event Description: Ein DCOM-Server konnte nicht gestartet werden: {D6D754B6-C211-4920-92EA-FD714A13246B}. Fehler: "%%2" aufgetreten beim Starten dieses Befehls: C:\PROGRA~1\HPQ\SHARED\HPQTOA~1.EXE -Embedding Event Record #/Type4573 / Error Event Submitted/Written: 08/12/2008 02:27:35 AM Event ID/Source: 10000 / DCOM Event Description: Ein DCOM-Server konnte nicht gestartet werden: {D6D754B6-C211-4920-92EA-FD714A13246B}. Fehler: "%%2" aufgetreten beim Starten dieses Befehls: C:\PROGRA~1\HPQ\SHARED\HPQTOA~1.EXE -Embedding Event Record #/Type4571 / Error Event Submitted/Written: 08/12/2008 02:12:53 AM Event ID/Source: 10000 / DCOM Event Description: Ein DCOM-Server konnte nicht gestartet werden: {D6D754B6-C211-4920-92EA-FD714A13246B}. Fehler: "%%2" aufgetreten beim Starten dieses Befehls: C:\PROGRA~1\HPQ\SHARED\HPQTOA~1.EXE -Embedding Event Record #/Type4569 / Error Event Submitted/Written: 08/12/2008 02:01:28 AM Event ID/Source: 10000 / DCOM Event Description: Ein DCOM-Server konnte nicht gestartet werden: {D6D754B6-C211-4920-92EA-FD714A13246B}. Fehler: "%%2" aufgetreten beim Starten dieses Befehls: C:\PROGRA~1\HPQ\SHARED\HPQTOA~1.EXE -Embedding Event Record #/Type4567 / Error Event Submitted/Written: 08/12/2008 01:59:49 AM Event ID/Source: 10000 / DCOM Event Description: Ein DCOM-Server konnte nicht gestartet werden: {D6D754B6-C211-4920-92EA-FD714A13246B}. Fehler: "%%2" aufgetreten beim Starten dieses Befehls: C:\PROGRA~1\HPQ\SHARED\HPQTOA~1.EXE -Embedding -- End of Deckard's System Scanner: finished at 2008-08-12 04:37:09 ------------ Ich geh dann mal schlafen, bis morgen meinerseits... Vielen Dank nochmals! Gruss ceritus |
12.08.2008, 10:19 | #11 | ||
/// TB-Ausbilder | Ständig neue Datei nach dem löschen in temp Ordner Heya, die Logs sind sauber. Allerdings sieht man in ihnen, dass die MSOffice Installation am 8.7. nicht einwandfrei geklappt hat: Zitat:
Zitat:
lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
12.08.2008, 14:27 | #12 |
| Ständig neue Datei nach dem löschen in temp Ordner Hallo, also ich werde Office deinstallieren und die beiden Java Versionen ebenfalls. Die Dateien sind wieder erschienen nach einem Neustart! Zuerst war es eine .tmp Datei, die in Verbindung mit rundll32.exe stand! Dann kam: racpldlg.dll danach habe ich erstmal aufgehört! Die oben genannte Datei habe ich bei virustotal hochgeladen, jedoch kein Fund! File racpldlg.dll received on 08.12.2008 15:22:22 (CET) Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED Result: 0/36 (0%) bis später Gruss ceritus |
12.08.2008, 14:37 | #13 |
/// TB-Ausbilder | Ständig neue Datei nach dem löschen in temp Ordner Hi, ich bräuchte die MD5 von der Datei. (steht unten in der virustotal auswertung mit drin) Du könntest mit Filemon mal schauen welche Dateien auf die Dateien im Tempordner zugreifen. Eventuell erfährst du so, wer die Dateien erstellt. lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
12.08.2008, 16:56 | #14 |
| Ständig neue Datei nach dem löschen in temp Ordner Hallo, sorry, dass ich erst jetzt schreibe, aber habe selber ein paar Sachen gemacht... also: 1. Ich habe 2 Dateien hochgeladen: Datei racpldlg.dll empfangen 2008.08.12 15:34:23 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/35 (0%) weitere Informationen File size: 65536 bytes MD5...: b750eed6646113c06fa35a73f8c44ce0 und eine weitere: Datei dot3ui.dll empfangen 2008.08.12 16:05:49 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/36 (0%) weitere Informationen File size: 937984 bytes MD5...: 7ff791620d9bdc8579dabea3a4143cde 2. Ich habe die Dateien wieder probiert zu löschen, jedoch hatte es diesmal kein Ende... Hier eine Liste, sind jedoch nicht ganz alle. Selten wurde die Datei ganz kurz gesperrt! Komisch an den Dateien war, dass die Dateien anfangs alle 608KB gross waren und nacher der Rest 916KB... verifier.exe wmerrDEU.dll ws2help.dll wzcsapi.dll 916 608 adsmsext.dll atl71.dll capesnpn.dll chkdsk.exe comdlg32.dll cryptsvc.dll c_857.nls daxctle.ocx dgnet.dll dmusic.dll dpnet.dll dx7vb.dll gb2312.uce ieaksie.dll ir41_qcx.dll kbdbhc.dll kbdlt.dll LegitCheckControl.dll mciole32.dll mmsystem.dll msctfp.dll mspbde40.dll msxml4r.dll noise.tha ntlsapi.dll nvwrssv.dll olesvr.dll perfh009.dat psbase.dll SET80.tmp ssmyst.scr vfpodbc.dll wbdbase.sve winhlp32.exe wmiprop.dll wpdmtpdr.dll xmlprov.dll btcpl.cpl cmstp.exe credui.dll d3dxof.dll SET5D.tmp snmpsnap.dll sstext3d.scr unimdm.tsp vmnetdhcp.exe wpdmtp.dll calc.exe 3. Ich habe nochmals im abgesicherten Modus mit Malwarebytes gescannt und den Registry Eintrag erfolgreich gelöscht! 4. Das Office und die Java Versionen habe ich erfolgreich deinstalliert! 5. Die Dateien starteten wieder mit dem Prozess rundll32.exe und wieder war es eine .tmp Datei! 6. Ich habe ein neues Konto eröffnet und siehe da, kein rundll32 Prozess und auch keine .tmp Datei die dazu gehört! Sonst habe ich noch eine .tmp Datei drin, jedoch gehört die zu einem Programm, das vertrauenswürdig ist! EDIT: Antivir habe ich übrigens auch drüber laufen lassen, kein Fund! Was empfiehlst du mir? Soll ich das neue Konto beibehalten! Oder gehts weiter mit dem erforschen??? Lg ceritus |
12.08.2008, 17:11 | #15 |
/// TB-Ausbilder | Ständig neue Datei nach dem löschen in temp Ordner Hi, All diese Dateien sollten bereits auf deinem Rechner vorhandne sein. Für die beiden Dateien die du hochgeladen hattest (dot3ui.dll und racpldlg.dll) sollte es Kopien im Ordner C:\windows\system32 geben. Lad bitte die Dateien auch jeweils hoch und überprüfe ob die MD5 identisch sind. (Wenn sie identisch sind, sind es eindeutig Windowsdateien) Die weiteren Schritte hängen eigentlich von dir ab: Entweder du gehst davon aus, dass es scih um ein Windowsphänomen handelt, dass du nicht haben willst udn lebst mit deinem neuen Benutzerkonto. Oder du gehst davon aus, dass es sich um Windowsphänomen handelt mit dem du leben kannst und nutzt dein Benutzerkonto weiter. Oder du glaubst nicht, dass es sich um ein Windowsphänomen und dann sollten wir weitere Nachforschungen anstellen. (oder du glaubst es ist ein Windowsphänomen und du willst mehr darüber wissen und deswegen weiter nachfrschen ) lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
Themen zu Ständig neue Datei nach dem löschen in temp Ordner |
.dll, ad-aware, adobe, bho, confused, explorer, firefox, firewall, google, helfen, hijack, hijackthis, hijackthis log, internet, internet explorer, internet security, kaspersky, launch, log file, monitor, mozilla, mozilla firefox, nvidia, problem, security, server, software, system, temp, temp ordner, verweise, windows, windows xp, windows xp sp3, xp sp3 |