Hallo erstmal,

OS: WinXp Home

also ich habe bereits gegoogelt, jedoch half mir das auch nicht weiter...
Zu Google:
Es kommen ständig verweise auf .dll Downloads und manche Dateien scheinen harmlos zu sein...

Mein Problem:
Wenn ich eine Datei in meinen benutzerspezifischen Temp Ordner lösche, so wird diese gelöscht und es erscheint automatisch eine neue Datei!

Dateien
Beispiele:

spnpinst.exe
wucltui.dll
streamci.dll
atmpvcno.dll
bootok.exe

nach bootok.exe kam keine neue mehr!

(ich benutzte keine dieser Programme)

Besitze Kaspersky inkl. Firewall, Spybot S&D, und noch andere Helferlein.
Keines hat etwas gefunden...
Vermute Malware.

Mein HijackThis Log File:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:20:24, on 12.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\UPHClean\uphclean.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\Kaspersky Internet Security 7.0\avp.exe
C:\PROGRA~1\WALLPA~1\WallpaperJugglerM.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programme\hardcopy\hardcopy.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [Wallpaper Juggler Monitor] "C:\PROGRA~1\WALLPA~1\WallpaperJugglerM.exe"
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - Startup: ERUNT AutoBackup.lnk = C:\Programme\ERUNT\AUTOBACK.EXE
O4 - Global Startup: Hardcopy.LNK = C:\Programme\hardcopy\hardcopy.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1.0\adialhk.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\system32\nvsvc32.exe (file missing)
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Server\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe

--
End of file - 3819 bytes

Könnt ihr mir helfen?

Danke im Voraus
ceritus

Heya,

google behauptet die Dateien würden alle zu Windows gehören. Es muss sich also nicht unbedingt um Malware handeln.
Ausschließen lässt sich das allerdings erstmal auch nicht.

Mache einen Scan mit Malwarebytes und poste die Ergebnisse der beiden Programme hier.

lg myrtille

EDIT: Hab das Log jetzt erst gesehen, das Log ist sauber, da ist nichts zu sehen.
Wenn das nächste Mal eine derartige Datei erscheint, lade sie bitte bei virustotal hoch und poste das Ergebnis dann hier.
Anhand der Angaben sollte man feststellen können ob es sich wirklich um Windowsdateien handelt oder nicht

Hallo,

also ich werde deine Anweisungen gleich befolgen.

Ich habe mehrere dieser Dateien bereits bei jotti hochgeladen, jedoch kein Fund...

EDIT: Das komische an den Dateien war, das sobald ich sie gelöscht habe am gleichen Ort im Ordner sofort danach eine neue Datei entstand!

Eine Frage noch: Sollten diese Dateien nicht im system32 Ordner bleiben? Oder ist das normal, dass sich diese in den benutzerspezifischen temp Ordner kopieren???

Gruss
ceritus

Zitat:

Zitat von ceritus

spnpinst.exe
wucltui.dll
streamci.dll
atmpvcno.dll
bootok.exe
nach bootok.exe kam keine neue mehr!

Also meine Nachforschungen ergaben, wenn es sich um die Windowsdateien handelt:

spnpinst.exe -> Peer to Peer Setup
wucitui.dll->Windows Update Client UI Plugin
streamci.dll ->Streaming Device Class Installer
atmpvcno.dll->Atm Epvc Install DLL

bootok.exe -> Datei die von Programmen aufgerufen wird, um zu testen ob sie korrekt gestartet sind und Windows dann mitteilt, dass das aufrufende Programm funktioniert.

Sieht aus als hättest du ein Programm (evtl auch Update oder neue Hardware) installiert?

Windows lässt sich in der Regel nicht so leicht ins Handwerk pfuschen. Wenn man während des Betriebs Dateien löscht, die es noch braucht, ist es meist in der Lage diese wiederherzustellen.
Insbesondere wenn die Dateien im Temp-Ordner liegen.

Da muss man ja damit rechnen, dass die Dateien verschwinden/überschrieben werden.

lg myrtille

Hier nun das Log File von Malwarebytes:

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1043
Windows 5.1.2600 Service Pack 3

04:03:03 12.08.2008
mbam-log-8-12-2008 (04-02-55).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 89093
Laufzeit: 26 minute(s), 48 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

-----

Ich habe probiert es zu entfernen, jedoch hängt nun Malwarebytes...

Gruss
ceritus

Ich habe keine neue Hardware installiert. Ist übrigens ein Laptop.

Und Updates habe ich auch keine gemacht! Da bin ich mir sicher.

EDIT: Ein Programm habe ich installiert... Jedoch weiss ich den Namen nicht mehr! *Schäm*
Es war ein Disassembler...

Wollte den Code eines Programmes auslesen aus Neugier...

EDIT: Habs gefunden...

von der Seite: h**p://en.wikibooks.org/wiki/Reverse_Engineering/Tools
IDA Pro Freeware 4.3
Better GUI than the previous version.
h**p://w*w.datarescue.be/idafreeware/freeida43.exe

Die Dateien vielen mir jedoch erst nach der Deinstallation auf...

Gruss
ceritus

Das ist seltsam.

Der gefundene Eintrag ist auch nur eine potentiell unerwünschte einstellung die den Logoff button im Startmenü betrifft. Er muss also nicht unbedingt gelöscht werden.

Allerdings sollte Malwarebytes auf die Registry zugreifen können.

Erstell bitte auch ein Log mit DSS

• Lade dir DSS
• Schließe alle Anwendungen und führe DSS.exe dann mit einem Doppelklick aus
• Führe während DSS arbeitet bitte keine anderen Aktionen durch
• Am Ende öffnen sich 2 Datein main.txt und extra.txt
• Poste den Inhalt beider Dateien hier

lg myrtille

Wenn ich deinem Link folge, erscheint nur:

Page not found

EDIT: Habe ihn woanders gefunden!

Danke, werde ich machen...

Gruss
ceritus

Also hier nun die beiden Logs:
zur Office Installation muss ich noch sagen, die habe ich nicht heute gemacht oder gestern und ich konnte es erfolgreich installieren, jedoch mekert er beim starten von Word, dass ein vba nicht installiert sei... und ich habe es bis jetzt noch nicht nachinstalliert.

main.txt:

Deckard's System Scanner v20071014.68
Run by *** on 2008-08-12 04:34:17
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 5 Restore Point(s) --
8: 2008-08-12 02:34:22 UTC - RP8 - Deckard's System Scanner Restore Point
5: 2008-08-07 20:09:35 UTC - RP5 - Installed Microsoft Office Enterprise 2007
4: 2008-08-07 19:56:24 UTC - RP4 - Installed Microsoft Office Enterprise 2007


-- First Restore Point --
1: 2008-08-03 23:15:17 UTC - RP1 - Systemprüfpunkt


Backed up registry hives.
Performed disk cleanup.

System Drive C: has 5.7 GiB (less than 15%) free.


-- HijackThis (run as ***.exe) -----------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 04:35:25, on 12.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\UPHClean\uphclean.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Dokumente und Einstellungen\***\Desktop\dss.exe
C:\PROGRA~1\HIJACK~1\***.exe
C:\Programme\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Kaspersky Internet Security 7.0\avp.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [Wallpaper Juggler Monitor] "C:\PROGRA~1\WALLPA~1\WallpaperJugglerM.exe"
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - Startup: ERUNT AutoBackup.lnk = C:\Programme\ERUNT\AUTOBACK.EXE
O4 - Global Startup: Hardcopy.LNK = C:\Programme\hardcopy\hardcopy.exe
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1.0\adialhk.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\system32\nvsvc32.exe (file missing)
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Server\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe

--
End of file - 3748 bytes

-- HijackThis Fixed Entries (C:\PROGRA~1\HIJACK~1\backups\) --------------------

backup-20080609-233046-205 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
backup-20080609-233046-288 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hp.com
backup-20080709-102504-483 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
backup-20080709-102504-683 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1213029220751
backup-20080709-102504-830 O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
backup-20080709-102504-861 O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
backup-20080709-102507-193 O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
backup-20080709-102507-994 O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
backup-20080709-103214-578 O9 - Extra button: (no name) - AutorunsDisabled - (no file)
backup-20080709-103215-652 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll
backup-20080709-104125-953 O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
backup-20080718-210715-100 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.com/ie
backup-20080718-210715-702 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.com
backup-20080807-223748-581 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
backup-20080807-223748-663 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
backup-20080812-014846-883 O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_12\bin\ssv.dll

-- File Associations -----------------------------------------------------------

.cpl - cplfile - shell\cplopen\command - rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.cpl - cplfile - shell\runas\command - rundll32.exe shell32.dll,Control_RunDLLAsUser "%1",%*


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R1 PQNTDrv - c:\windows\system32\drivers\pqntdrv.sys <Not Verified; PowerQuest Corporation; PowerQuest product>
R1 ssmdrv - c:\windows\system32\drivers\ssmdrv.sys <Not Verified; AVIRA GmbH; >
R2 lirsgt - c:\windows\system32\drivers\lirsgt.sys
R2 VMnetBridge (VMware Bridge Protocol) - c:\windows\system32\drivers\vmnetbridge.sys <Not Verified; VMware, Inc.; VMware bridge driver (32-bit)>
R2 VMnetuserif (VMware Network Application Interface) - c:\windows\system32\drivers\vmnetuserif.sys <Not Verified; VMware, Inc.; VMware network application interface driver (32-bit)>
R2 vmx86 (VMware vmx86) - c:\windows\system32\drivers\vmx86.sys <Not Verified; VMware, Inc.; VMware kernel driver>

S3 NSNDIS5 (NSNDIS5 NDIS Protocol Driver) - c:\windows\system32\nsndis5.sys <Not Verified; Printing Communications Assoc., Inc. (PCAUSA); NetStumbler>
S4 SYMIDSCO - c:\progra~1\gemein~1\symant~1\symcdata\idsdefs\20050901.036\symidsco.sys (file missing)


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 UPHClean (User Profile Hive Cleanup) - c:\programme\uphclean\uphclean.exe <Not Verified; Microsoft Corporation; User Profile Hive Cleanup Service>

S2 NVSvc (NVIDIA Display Driver Service) - c:\windows\system32\nvsvc32.exe (file missing)
S3 VMAuthdService (VMware Authorization Service) - "c:\programme\vmware\vmware server\vmware-authd.exe" <Not Verified; VMware, Inc.; VMware Server>
S3 VMnetDHCP (VMware DHCP Service) - c:\windows\system32\vmnetdhcp.exe <Not Verified; VMware, Inc.; VMware Server>
S4 AntiVirScheduler (Avira AntiVir Personal – Free Antivirus Planer) - "c:\programme\avira\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; AntiVir Workstation>
S4 vmserverdWin32 (VMware Registration Service) - "c:\programme\vmware\vmware server\vmserverdwin32.exe" <Not Verified; VMware, Inc.; VMware Server>
S4 VMware NAT Service - c:\windows\system32\vmnat.exe <Not Verified; VMware, Inc.; VMware Server>


-- Device Manager: Disabled ----------------------------------------------------

Class GUID: {4D36E96D-E325-11CE-BFC1-08002BE10318}
Description: HDAUDIO Soft Data Fax Modem with SmartCP
Device ID: HDAUDIO\FUNC_02&VEN_14F1&DEV_5047&SUBSYS_103C30A5&REV_1000\4&2BB472F0&0&0002
Manufacturer: CXT
Name: HDAUDIO Soft Data Fax Modem with SmartCP
PNP Device ID: HDAUDIO\FUNC_02&VEN_14F1&DEV_5047&SUBSYS_103C30A5&REV_1000\4&2BB472F0&0&0002
Service: Modem

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
Description: 1394-Netzwerkadapter
Device ID: V1394\NIC1394\C43D407E633F0200
Manufacturer: Microsoft
Name: 1394-Netzwerkadapter
PNP Device ID: V1394\NIC1394\C43D407E633F0200
Service: NIC1394

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
Description: Intel(R) PRO/100 VE Network Connection
Device ID: PCI\VEN_8086&DEV_1092&SUBSYS_30A5103C&REV_01\4&2EC23395&0&40F0
Manufacturer: Intel
Name: Intel(R) PRO/100 VE Network Connection
PNP Device ID: PCI\VEN_8086&DEV_1092&SUBSYS_30A5103C&REV_01\4&2EC23395&0&40F0
Service: E100B

Class GUID: {4D36E965-E325-11CE-BFC1-08002BE10318}
Description: CD-ROM-Laufwerk
Device ID: SCSI\CDROM&VEN_UI5137H&PROD_GIN005C&REV_1.0\5&36E5972&0&000
Manufacturer: (Standard-CD-ROM-Laufwerke)
Name: UI5137H GIN005C SCSI CdRom Device
PNP Device ID: SCSI\CDROM&VEN_UI5137H&PROD_GIN005C&REV_1.0\5&36E5972&0&000
Service: cdrom

Class GUID: {4D36E965-E325-11CE-BFC1-08002BE10318}
Description: CD-ROM-Laufwerk
Device ID: SCSI\CDROM&VEN_UI5137H&PROD_GIN005C&REV_1.0\5&36E5972&0&010
Manufacturer: (Standard-CD-ROM-Laufwerke)
Name: UI5137H GIN005C SCSI CdRom Device
PNP Device ID: SCSI\CDROM&VEN_UI5137H&PROD_GIN005C&REV_1.0\5&36E5972&0&010
Service: cdrom


-- Scheduled Tasks -------------------------------------------------------------

2008-07-05 19:16:35 282 --a------ C:\WINDOWS\Tasks\Spybot - Search & Destroy - Scheduled Task.job


-- Files created between 2008-07-12 and 2008-08-12 -----------------------------

2008-08-12 03:33:37 0 d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-07 22:15:17 0 d-------- C:\Programme\Microsoft Works
2008-08-07 22:13:38 0 d-------- C:\Programme\Microsoft.NET
2008-08-07 22:10:28 0 d-------- C:\WINDOWS\SHELLNEW
2008-08-07 22:09:40 0 dr-h----- C:\MSOCache
2008-08-03 03:23:43 0 d-------- C:\Programme\UPHClean
2008-07-30 22:54:13 0 d-------- C:\Programme\FileZilla FTP Client
2008-07-22 02:44:08 0 -rahs---- C:\MSDOS.SYS
2008-07-22 02:44:08 0 -rahs---- C:\IO.SYS
2008-07-20 16:48:46 0 d-------- C:\WINDOWS\system32\NtmsData
2008-07-18 20:51:49 0 d-------- C:\Programme\xpy-0.10.6-bin
2008-07-18 20:50:01 0 d--h----- C:\WINDOWS\PIF


-- Find3M Report ---------------------------------------------------------------

2008-08-12 04:33:19 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\nView_Wallpaper
2008-08-12 03:33:53 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2008-08-12 00:45:33 0 d-------- C:\Programme\LuckyDips
2008-08-10 01:27:22 0 d-------- C:\Programme\AppleJuice
2008-08-07 22:14:33 0 d-------- C:\Programme\Gemeinsame Dateien
2008-08-06 04:51:26 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\FileZilla
2008-08-04 00:19:39 0 d-------- C:\Programme\Movie Maker
2008-08-03 23:34:49 0 d-------- C:\Programme\Messenger
2008-07-18 21:13:02 0 d-------- C:\Programme\Kaspersky Internet Security 7.0
2008-07-18 20:57:08 874 --ah----- C:\Dokumente und Einstellungen\***\Anwendungsdaten\xpy.ini
2008-07-11 18:55:30 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\VMware
2008-07-10 21:58:41 0 d-------- C:\Programme\Ubisoft
2008-07-10 20:08:51 0 d--h----- C:\Programme\InstallShield Installation Information
2008-07-09 09:53:17 0 d-------- C:\Programme\Avira
2008-07-06 00:51:43 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft Games
2008-07-06 00:49:30 0 d-------- C:\Programme\Microsoft Games
2008-06-27 04:38:42 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\SiteAdvisor
2008-06-19 18:53:07 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Adobe
2008-06-19 06:58:51 394252 --a------ C:\WINDOWS\system32\perfh007.dat
2008-06-19 06:58:51 65192 --a------ C:\WINDOWS\system32\perfc007.dat
2008-06-19 06:51:51 0 d-------- C:\Programme\Gemeinsame Dateien\VMware
2008-06-19 06:51:42 0 d-------- C:\Programme\VMware
2008-06-19 01:21:47 0 d-------- C:\Programme\Act of War - High Treason
2008-06-18 03:18:19 0 d-------- C:\Programme\Act of War - Direct Action
2008-06-15 21:00:59 0 d-------- C:\Programme\DAEMON Tools
2008-06-14 21:25:26 98304 --a------ C:\WINDOWS\system32\CmdLineExt.dll <Not Verified; Sony DADC Austria AG.; >
2008-06-14 20:49:39 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2008-06-14 19:09:59 0 d-------- C:\Programme\Look@LAN
2008-06-12 23:49:40 0 d-------- C:\Programme\Autoruns
2008-06-12 23:21:58 0 d-------- C:\Programme\ProcessExplorer
2008-06-12 23:00:57 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun
2008-06-10 01:37:53 1144 --a------ C:\WINDOWS\mozver.dat
2008-06-09 21:43:43 720896 --a------ C:\WINDOWS\iun6002.exe <Not Verified; Indigo Rose Corporation; Setup Factory 6.0 Runtime Module>
2008-06-09 19:34:35 0 --a------ C:\WINDOWS\nsreg.dat


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [11.11.2005 10:04]
"hpWirelessAssistant"="C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [13.12.2005 17:45]
"AVP"="C:\Programme\Kaspersky Internet Security 7.0\avp.exe" [26.06.2007 16:53]
"Wallpaper Juggler Monitor"="C:\PROGRA~1\WALLPA~1\WallpaperJugglerM.exe" [22.09.2004 20:18]
"eabconfg.cpl"="C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe" [07.12.2005 11:56]
"nwiz"="nwiz.exe" [15.12.2005 13:42 C:\WINDOWS\system32\nwiz.exe]

C:\Dokumente und Einstellungen\***\Startmen�\Programme\Autostart\
ERUNT AutoBackup.lnk - C:\Programme\ERUNT\AUTOBACK.EXE [20.10.2005 12:04:08]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Hardcopy.LNK - C:\Programme\hardcopy\hardcopy.exe [18.02.2006 06:10:36]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearRecentDocsOnExit"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy]
C:\WINDOWS\System32\dimsntfy.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=C:\PROGRA~1\KASPER~1.0\adialhk.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk
backup=C:\WINDOWS\pss\BTTray.lnkCommon Startup


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
"C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\High Definition Audio Property Page Shortcut]
CHDAudPropShortcut.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"C:\Programme\Java\jre1.5.0_12\bin\jusched.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
eapsvcs eaphost
dot3svc dot3svc

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
napagent
hkmsvc


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##192.168.1.34#F]
AutoRun\command- Z:\Autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3c18e5f1-35cf-11dd-a806-806d6172696f}]
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480

*Newly Created Service* - MBAMSWISSARMY



-- Hosts -----------------------------------------------------------------------

127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com

8912 more entries in hosts file.


-- End of Deckard's System Scanner: finished at 2008-08-12 04:37:09 ------------

und extra.txt:

Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Home Edition (build 2600) SP 3.0
Architecture: X86; Language: German

CPU 0: Genuine Intel(R) CPU T2400 @ 1.83GHz
Percentage of Memory in Use: 27%
Physical Memory (total/avail): 2046.04 MiB / 1474.75 MiB
Pagefile Memory (total/avail): 2091.02 MiB / 1716.85 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1951.39 MiB

C: is Fixed (NTFS) - 67.36 GiB total, 5.77 GiB free.
D: is Fixed (Unformatted) - 0 GiB total, 0 GiB free.
E: is Fixed (FAT32) - 6.15 GiB total, 0.7 GiB free.
G: is CDROM (No Media)

\\.\PHYSICALDRIVE0 - HTS541080G9SA00 - 74.53 GiB - 3 partitions
\PARTITION0 (bootable) - Installierbares Dateisystem - 67.36 GiB - C:
\PARTITION1 - Unknown - 6.17 GiB - E:
\PARTITION2 - Unknown - 1027.56 MiB

\\.\PHYSICALDRIVE1 - HTS541080G9SA00 - 74.53 GiB - 1 partition
\PARTITION0 - Installierbares Dateisystem - 74.53 GiB - D:



-- Security Center -------------------------------------------------------------

AUOptions is disabled.


-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users
APPDATA=C:\Dokumente und Einstellungen\***\Anwendungsdaten
CLIENTNAME=Console
CommonProgramFiles=C:\Programme\Gemeinsame Dateien
COMPUTERNAME=CHEFE
ComSpec=C:\WINDOWS\system32\cmd.exe
Devmgr_show_details=1
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Dokumente und Einstellungen\***
LOGONSERVER=\\CHEFE
NUMBER_OF_PROCESSORS=2
OS=Windows_NT
Path=C:\Programme\Windows Resource Kits\Tools\;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PCTYPE=PAVILION
PLATFORM=MCD
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 14 Stepping 8, GenuineIntel
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0e08
ProgramFiles=C:\Programme
PROMPT=$P$G
SESSIONNAME=Console
SonicCentral=C:\Programme\Gemeinsame Dateien\Sonic Shared\Sonic Central\
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOKUME~1\***\LOKALE~1\Temp
TMP=C:\DOKUME~1\***\LOKALE~1\Temp
USERDOMAIN=***
USERNAME=***
USERPROFILE=C:\Dokumente und Einstellungen\***
windir=C:\WINDOWS


-- User Profiles ---------------------------------------------------------------

*** (admin)
Administrator (admin)


-- Add/Remove Programs ---------------------------------------------------------

--> C:\WINDOWS\IsUn0407.exe -fC:\WINDOWS\orun32.isu
--> C:\WINDOWS\system32\\MSIEXEC.EXE /x {075473F5-846A-448B-BCB3-104AA1760205}
--> C:\WINDOWS\system32\\MSIEXEC.EXE /x {AB708C9B-97C8-4AC9-899B-DBF226AC9382}
--> C:\WINDOWS\system32\\MSIEXEC.EXE /x {B12665F4-4E93-4AB4-B7FC-37053B524629}
--> C:\WINDOWS\UNRecode.exe /UNINSTALL
--> MsiExec.exe /I{09715083-BF10-4834-9E28-B5D8820513CA}
--> MsiExec.exe /I{1E049668-AD90-4008-B213-E20CED2324DD}
--> MsiExec.exe /I{35103A8A-E9D8-40FA-AEC7-4D138952DB30}
--> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
7-Zip 4.57 --> "C:\Programme\7-Zip\Uninstall.exe"
Act of War - Direct Action --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F9B915DF-B79C-4747-9BA3-9705A57DC717}\SETUP.EXE" -l0x7
Act of War - High Treason --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C08EBBFD-C565-472F-9354-5593B9873705}\SETUP.EXE" -l0x7
Ad-Aware --> MsiExec.exe /I{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}
Adobe Flash Player ActiveX --> C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player Plugin --> C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 8.1.2 - Deutsch --> MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003}
AJCoreGUI 0.61.2 --> MsiExec.exe /I{7A2EF9A5-DAA6-4012-B242-86B9311B1817}
Audiograbber 1.83 SE --> "C:\Programme\Audiograbber\Uninstall.exe"
Avira AntiVir Personal - Free Antivirus --> C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
CMD Prompt Here PowerToy --> rundll32.exe syssetup.dll,SetupInfObjectInstallAction DefaultUninstall 132 C:\WINDOWS\INF\CmdHere.inf
Command & Conquer 3 --> MsiExec.exe /I{B0C30E93-D3D9-4F04-A2AC-54749B573275}
Command & Conquer 3 Tiberium Wars(TM) Worldbuilder --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F428768A-BA63-43A5-86E9-7F0CFD174944}\setup.exe" -l0x9 -removeonly
Conexant HD Audio --> C:\Programme\CONEXANT\CNXT_HDAUDIO\HXFSETUP.EXE -U -ICPL30A5a.INF
DIE SIEDLER - Aufstieg eines Königreichs --> "C:\Programme\InstallShield Installation Information\{D3F80A98-05AB-4D8C-9272-766CCFA6A48D}\setup.exe" -runfromtemp -l0x0007 -removeonly
Eraser --> "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{A25FEDC1-F6D7-440C-BCE2-B71F595F6646}\EraserSetup32.exe" REMOVE=TRUE MODIFY=FALSE
Eraser --> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{A25FEDC1-F6D7-440C-BCE2-B71F595F6646}\EraserSetup32.exe
ERUNT 1.1j --> C:\Programme\ERUNT\unins000.exe
Ethereal 0.9.14 --> "C:\Programme\Ethereal\uninstall.exe"
EVEREST Home Edition v2.20 --> "C:\Programme\EVEREST Home Edition\unins000.exe"
FileZilla Client 3.1.0.1 --> C:\Programme\FileZilla FTP Client\uninstall.exe
Hardcopy (c:\programme\hardcopy) --> SwSetupu "c:\programme\hardcopy\hardcopy.del"
HDAUDIO Soft Data Fax Modem with SmartCP --> C:\Programme\CONEXANT\CNXT_MODEM_HDAUDIO_CPL30A5m\HXFSETUP.EXE -U -ICPL30A5m.inf
HijackThis 2.0.2 --> "C:\Programme\HijackThis\HijackThis.exe" /uninstall
HP Imaging Device Functions 6.0 --> C:\Programme\HP\Digital Imaging\DigitalImagingMonitor\hpzscr01.exe -datfile hpqbud01.dat
HP Integrated Module with Bluetooth wireless technology --> MsiExec.exe /X{3F4EC965-28EF-45C3-B063-04B25D4E9679}
HP Photosmart Premier Software 6.0 --> C:\Programme\HP\Digital Imaging\uninstall\hpzscr01.exe -datfile hpqscr01.dat
HP QuickPlay 2.0 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{45D707E9-F3C4-11D9-A373-0050BAE317E1}\setup.exe" -uninstall
HP Software Update --> MsiExec.exe /X{BB85ED9C-AFC9-43BD-B8DC-258C3C7DF72E}
HP Wireless Assistant 2.00 C1 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{4302B2DD-D958-40E3-BAF3-B07FFE1978CE}\setup.exe" -l0x7 hpquninst
Intel(R) PRO Network Connections Drivers --> Prounstl.exe
IrfanView (remove only) --> C:\Programme\IrfanView\iv_uninstall.exe
J2SE Runtime Environment 5.0 Update 12 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150120}
J2SE Runtime Environment 5.0 Update 6 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150060}
Kaspersky Internet Security 7.0 --> MsiExec.exe /I{C774410D-3EF9-4DE7-AC01-332613163ECF}
Kaspersky Internet Security 7.0 --> MsiExec.exe /I{C774410D-3EF9-4DE7-AC01-332613163ECF}
Look@LAN 2.50 Build 35 --> C:\WINDOWS\iun6002.exe "C:\Programme\Look@LAN\irunin.ini"
Malwarebytes' Anti-Malware --> "C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Office Access MUI (German) 2007 --> MsiExec.exe /X{90120000-0015-0407-0000-0000000FF1CE}
Microsoft Office Enterprise 2007 --> "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall ENTERPRISER /dll OSETUP.DLL
Microsoft Office Enterprise 2007 --> MsiExec.exe /X{91120000-0030-0000-0000-0000000FF1CE}
Microsoft Office Excel MUI (German) 2007 --> MsiExec.exe /X{90120000-0016-0407-0000-0000000FF1CE}
Microsoft Office Groove MUI (German) 2007 --> MsiExec.exe /X{90120000-00BA-0407-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (German) 2007 --> MsiExec.exe /X{90120000-0044-0407-0000-0000000FF1CE}
Microsoft Office OneNote MUI (German) 2007 --> MsiExec.exe /X{90120000-00A1-0407-0000-0000000FF1CE}
Microsoft Office Outlook MUI (German) 2007 --> MsiExec.exe /X{90120000-001A-0407-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (German) 2007 --> MsiExec.exe /X{90120000-0018-0407-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007 --> MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007 --> MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007 --> MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Italian) 2007 --> MsiExec.exe /X{90120000-001F-0410-0000-0000000FF1CE}
Microsoft Office Proofing (German) 2007 --> MsiExec.exe /X{90120000-002C-0407-0000-0000000FF1CE}
Microsoft Office Publisher MUI (German) 2007 --> MsiExec.exe /X{90120000-0019-0407-0000-0000000FF1CE}
Microsoft Office Shared MUI (German) 2007 --> MsiExec.exe /X{90120000-006E-0407-0000-0000000FF1CE}
Microsoft Office Word MUI (German) 2007 --> MsiExec.exe /X{90120000-001B-0407-0000-0000000FF1CE}
Mozilla Firefox (2.0.0.16) --> C:\Programme\Mozilla Firefox\uninstall\helper.exe
Network Stumbler 0.4.0 (remove only) --> "C:\Programme\Network Stumbler\uninst.exe"
NVIDIA Drivers --> C:\WINDOWS\system32\nvudisp.exe UninstallGUI
Optimierung aufgrund von Kundenerfahrungen --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe /M{23012310-3E05-46A5-88A9-C6CBCABCAC79} /l1031
Quick Launch Buttons 5.20 F2 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{CEB326EC-8F40-47B2-BA22-BB092565D66F}\setup.exe" -l0x7 -uninst
Sonic Audio Module --> MsiExec.exe /I{AB708C9B-97C8-4AC9-899B-DBF226AC9382}
Sonic Copy Module --> MsiExec.exe /I{B12665F4-4E93-4AB4-B7FC-37053B524629}
Sonic Data Module --> MsiExec.exe /I{075473F5-846A-448B-BCB3-104AA1760205}
Sonic Express Labeler --> MsiExec.exe /I{6675CA7F-E51B-4F6A-99D4-F8F0124C6EAA}
Sonic MyDVD Plus --> MsiExec.exe /I{21657574-BD54-48A2-9450-EB03B2C7FC29}
Sonic Update Manager --> MsiExec.exe /I{30465B6C-B53F-49A1-9EBA-A3F187AD502E}
Spybot - Search & Destroy --> "C:\Programme\Spybot - Search & Destroy\unins000.exe"
Synaptics Pointing Device Driver --> rundll32.exe "C:\Programme\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
Texas Instruments PCIxx21/x515/xx12 drivers. --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{7B6CF9EB-CB2B-4A1A-81A9-BE1A9044690A} /l1031
Unlocker 1.8.5 --> C:\Programme\Unlocker\uninst.exe
User Profile Hive Cleanup Service --> MsiExec.exe /I{FF77941A-2BFA-4A18-BE2E-69B9498E4D55}
VCRedistSetup --> MsiExec.exe /I{3921A67A-5AB1-4E48-9444-C71814CF3027}
VideoLAN VLC media player 0.8.6h --> C:\Programme\VideoLAN\VLC\uninstall.exe
VMware Server --> MsiExec.exe /I{FEE84D71-7FF0-46C1-AED4-1BD821D53A9F}
Wallpaper Juggler 2.2 --> C:\PROGRA~1\WALLPA~1\UNWISE.EXE C:\PROGRA~1\WALLPA~1\INSTALL.LOG
Windows XP Service Pack 3 --> "C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinRAR --> C:\Programme\WinRAR\uninstall.exe


-- Application Event Log -------------------------------------------------------

Event Record #/Type1047 / Error
Event Submitted/Written: 08/07/2008 10:03:12 PM
Event ID/Source: 5000 / Microsoft Office 12
Event Description:
EventType office12setup, P1 {90120000-001f-0409-0000-0000000ff1ce}, P2 12.0.4518.1014, P3 installfiles, P4 1603, P5 0x1335, P6 error 1335. the cabinet file 'proof.cab' required for this installation is corrupt and cannot be used. this could , P7 x, P8 NIL, P9 office12setup0, P10 office12setup1.

Event Record #/Type1035 / Error
Event Submitted/Written: 08/07/2008 09:55:21 PM
Event ID/Source: 11335 / MsiInstaller
Event Description:
Product: Microsoft Office Proof (English) 2007 -- Error 1335. The cabinet file 'Proof.CAB' required for this installation is corrupt and cannot be used. This could indicate a network error, an error reading from the CD-ROM, or a problem with this package.

Event Record #/Type1034 / Error
Event Submitted/Written: 08/07/2008 09:53:41 PM
Event ID/Source: 11335 / MsiInstaller
Event Description:
Product: Microsoft Office Proof (English) 2007 -- Error 1335. The cabinet file 'Proof.CAB' required for this installation is corrupt and cannot be used. This could indicate a network error, an error reading from the CD-ROM, or a problem with this package.

Event Record #/Type1033 / Error
Event Submitted/Written: 08/07/2008 09:53:32 PM
Event ID/Source: 11335 / MsiInstaller
Event Description:
Product: Microsoft Office Proof (English) 2007 -- Error 1335. The cabinet file 'Proof.CAB' required for this installation is corrupt and cannot be used. This could indicate a network error, an error reading from the CD-ROM, or a problem with this package.

Event Record #/Type1032 / Error
Event Submitted/Written: 08/07/2008 09:46:53 PM
Event ID/Source: 11335 / MsiInstaller
Event Description:
Product: Microsoft Office Proof (English) 2007 -- Error 1335. The cabinet file 'Proof.CAB' required for this installation is corrupt and cannot be used. This could indicate a network error, an error reading from the CD-ROM, or a problem with this package.



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type4579 / Error
Event Submitted/Written: 08/12/2008 04:33:05 AM
Event ID/Source: 10000 / DCOM
Event Description:
Ein DCOM-Server konnte nicht gestartet werden: {D6D754B6-C211-4920-92EA-FD714A13246B}.
Fehler:
"%%2"
aufgetreten beim Starten dieses Befehls:
C:\PROGRA~1\HPQ\SHARED\HPQTOA~1.EXE -Embedding

Event Record #/Type4573 / Error
Event Submitted/Written: 08/12/2008 02:27:35 AM
Event ID/Source: 10000 / DCOM
Event Description:
Ein DCOM-Server konnte nicht gestartet werden: {D6D754B6-C211-4920-92EA-FD714A13246B}.
Fehler:
"%%2"
aufgetreten beim Starten dieses Befehls:
C:\PROGRA~1\HPQ\SHARED\HPQTOA~1.EXE -Embedding

Event Record #/Type4571 / Error
Event Submitted/Written: 08/12/2008 02:12:53 AM
Event ID/Source: 10000 / DCOM
Event Description:
Ein DCOM-Server konnte nicht gestartet werden: {D6D754B6-C211-4920-92EA-FD714A13246B}.
Fehler:
"%%2"
aufgetreten beim Starten dieses Befehls:
C:\PROGRA~1\HPQ\SHARED\HPQTOA~1.EXE -Embedding

Event Record #/Type4569 / Error
Event Submitted/Written: 08/12/2008 02:01:28 AM
Event ID/Source: 10000 / DCOM
Event Description:
Ein DCOM-Server konnte nicht gestartet werden: {D6D754B6-C211-4920-92EA-FD714A13246B}.
Fehler:
"%%2"
aufgetreten beim Starten dieses Befehls:
C:\PROGRA~1\HPQ\SHARED\HPQTOA~1.EXE -Embedding

Event Record #/Type4567 / Error
Event Submitted/Written: 08/12/2008 01:59:49 AM
Event ID/Source: 10000 / DCOM
Event Description:
Ein DCOM-Server konnte nicht gestartet werden: {D6D754B6-C211-4920-92EA-FD714A13246B}.
Fehler:
"%%2"
aufgetreten beim Starten dieses Befehls:
C:\PROGRA~1\HPQ\SHARED\HPQTOA~1.EXE -Embedding



-- End of Deckard's System Scanner: finished at 2008-08-12 04:37:09 ------------

Ich geh dann mal schlafen, bis morgen meinerseits...

Vielen Dank nochmals!

Gruss
ceritus

Heya,

die Logs sind sauber.
Allerdings sieht man in ihnen, dass die MSOffice Installation am 8.7. nicht einwandfrei geklappt hat:

Zitat:

Event Record #/Type1035 / Error
Event Submitted/Written: 08/07/2008 09:55:21 PM
Event ID/Source: 11335 / MsiInstaller
Event Description:
Product: Microsoft Office Proof (English) 2007 -- Error 1335. The cabinet file 'Proof.CAB' required for this installation is corrupt and cannot be used. This could indicate a network error, an error reading from the CD-ROM, or a problem with this package.

und 2 uralte Javainstallationen, die du am besten deinstallieren solltest:

Zitat:

J2SE Runtime Environment 5.0 Update 12 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150120}
J2SE Runtime Environment 5.0 Update 6 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150060}

Sind die Dateien nochmal aufgetaucht?

lg myrtille

Hallo,

also ich werde Office deinstallieren und die beiden Java Versionen ebenfalls.

Die Dateien sind wieder erschienen nach einem Neustart!
Zuerst war es eine .tmp Datei, die in Verbindung mit rundll32.exe stand!

Dann kam:
racpldlg.dll

danach habe ich erstmal aufgehört!
Die oben genannte Datei habe ich bei virustotal hochgeladen, jedoch kein Fund!

File racpldlg.dll received on 08.12.2008 15:22:22 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 0/36 (0%)

bis später
Gruss
ceritus

Hi,

ich bräuchte die MD5 von der Datei. (steht unten in der virustotal auswertung mit drin)

Du könntest mit Filemon mal schauen welche Dateien auf die Dateien im Tempordner zugreifen. Eventuell erfährst du so, wer die Dateien erstellt.

lg myrtille

Hallo,

sorry, dass ich erst jetzt schreibe, aber habe selber ein paar Sachen gemacht...

also:

1. Ich habe 2 Dateien hochgeladen:
Datei racpldlg.dll empfangen 2008.08.12 15:34:23 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/35 (0%)

weitere Informationen
File size: 65536 bytes
MD5...: b750eed6646113c06fa35a73f8c44ce0

und eine weitere:

Datei dot3ui.dll empfangen 2008.08.12 16:05:49 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/36 (0%)

weitere Informationen
File size: 937984 bytes
MD5...: 7ff791620d9bdc8579dabea3a4143cde

2. Ich habe die Dateien wieder probiert zu löschen, jedoch hatte es diesmal kein Ende...

Hier eine Liste, sind jedoch nicht ganz alle. Selten wurde die Datei ganz kurz gesperrt!
Komisch an den Dateien war, dass die Dateien anfangs alle 608KB gross waren und nacher der Rest 916KB...

verifier.exe
wmerrDEU.dll
ws2help.dll
wzcsapi.dll 916 608
adsmsext.dll
atl71.dll
capesnpn.dll
chkdsk.exe
comdlg32.dll
cryptsvc.dll
c_857.nls
daxctle.ocx
dgnet.dll
dmusic.dll
dpnet.dll
dx7vb.dll
gb2312.uce
ieaksie.dll
ir41_qcx.dll
kbdbhc.dll
kbdlt.dll
LegitCheckControl.dll
mciole32.dll
mmsystem.dll
msctfp.dll
mspbde40.dll
msxml4r.dll
noise.tha
ntlsapi.dll
nvwrssv.dll
olesvr.dll
perfh009.dat
psbase.dll
SET80.tmp
ssmyst.scr
vfpodbc.dll
wbdbase.sve
winhlp32.exe
wmiprop.dll
wpdmtpdr.dll
xmlprov.dll
btcpl.cpl
cmstp.exe
credui.dll
d3dxof.dll
SET5D.tmp
snmpsnap.dll
sstext3d.scr
unimdm.tsp
vmnetdhcp.exe
wpdmtp.dll
calc.exe

3. Ich habe nochmals im abgesicherten Modus mit Malwarebytes gescannt und den Registry Eintrag erfolgreich gelöscht!

4. Das Office und die Java Versionen habe ich erfolgreich deinstalliert!

5. Die Dateien starteten wieder mit dem Prozess rundll32.exe und wieder war es eine .tmp Datei!

6. Ich habe ein neues Konto eröffnet und siehe da, kein rundll32 Prozess und auch keine .tmp Datei die dazu gehört! Sonst habe ich noch eine .tmp Datei drin, jedoch gehört die zu einem Programm, das vertrauenswürdig ist!

EDIT: Antivir habe ich übrigens auch drüber laufen lassen, kein Fund!

Was empfiehlst du mir? Soll ich das neue Konto beibehalten! Oder gehts weiter mit dem erforschen???

Lg
ceritus

Hi,

All diese Dateien sollten bereits auf deinem Rechner vorhandne sein.
Für die beiden Dateien die du hochgeladen hattest (dot3ui.dll und racpldlg.dll) sollte es Kopien im Ordner C:\windows\system32 geben.

Lad bitte die Dateien auch jeweils hoch und überprüfe ob die MD5 identisch sind. (Wenn sie identisch sind, sind es eindeutig Windowsdateien)

Die weiteren Schritte hängen eigentlich von dir ab:
Entweder du gehst davon aus, dass es scih um ein Windowsphänomen handelt, dass du nicht haben willst udn lebst mit deinem neuen Benutzerkonto.
Oder du gehst davon aus, dass es sich um Windowsphänomen handelt mit dem du leben kannst und nutzt dein Benutzerkonto weiter.
Oder du glaubst nicht, dass es sich um ein Windowsphänomen und dann sollten wir weitere Nachforschungen anstellen.

(oder du glaubst es ist ein Windowsphänomen und du willst mehr darüber wissen und deswegen weiter nachfrschen )

lg myrtille