Seltsamer Ordner unter XP: "RTLInstallTemp"

Hier könnte es sich um einen  Ordner eines Trojaners handeln, welcher deine Gepflogenheiten aufzeichnet und an eine Verarbeitungsstelle leitet.
Wird meist bei online Spielen wie WOW etc eingeschleust.
Würde dir dringendst einen Malware und Virenscann empfehlen und  diesen Ordner mal unter Quarantäne stellen oder umbenennen, was sich dann tut.

Danke für den Hinweis!
Ich spiele generell nicht über das Internet und lade auch keine Spiele runter. Ist nicht mein Fall, beschäftige mich lieber mit Sinnvollerem 
Virenscann hab ich gemacht, ohne Ergebnis. Hab dann e`Scan genommen und der hat 2 X Malware gefunden und eliminiert.

Den Ordner hab ich gelöscht, sprich geschreddert. Ist nach dem booten nichts weiter passiert, sodass ich davon ausgehen kann, dass das System wieder sauber ist. Werde aber trotzdem nochmal Virenscanner und Spybot drüberjagen.

 

 Hallo

Virenscann hab ich gemacht, ohne Ergebnis.

sodass ich davon ausgehen kann, dass das System wieder sauber ist.

Ist nach dem booten nichts weiter passiert,

Na ich hoffe für dich, dass es nichts ernsteres ist. Muss nicht unbedingt ein online Game sein mit welchem du Malware runtergezogen hast, ist aber in der Regel, daher habe ich auch Regel geschrieben, in den meisten Fällen so.
Ist deine Installations CD eine selbst angefertigte oder verwendest du das Orginal.
 

System neu aufgesetzt, aber Programme samt ausführbaren Dateien von der zweiten HDD übernommen bzw. so belassen (auch wenn sie wohl kaum funktionieren sollten, da der Registry-Eintrag fehlt!!)-> daher ist eigentlich die Installation von Programmen auf zweiter Partition bzw. Festplatte generell total sinnfrei, obwohl hier immer noch und immer wieder von vermeintlichen "IT-Spezialisten" propagiert.....!!!!

Eine wirklich "saubere" Neuinstallation sieht anders aus

Also, AVIRA hab ich nicht. Hab z.Zt. "ClamWin" laufen + Spybot. Letzteres hat nach erneutem Durchlauf, Malware vom Programm "Babylon" gefunden, welches sich mit einem anderen Programm ungefragt runtergeladen hatte.

HiJack-Log reiche ich nach!

Spybot ist seit einiger Zeit nicht mehr das, was es einmal war. Lieber auf Malwarebytes zum Durchpflügen der HDD umsteigen.

Hier das Log von HiJack:
(Irgendeine Toolbar ist wohl nicht akzeptabel bzw. zu eliminieren)

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 22:41:45, on 06.06.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17096)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\ctfmon.exe
C:\Programme\Tools&More\YAAC\YAAC.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINXP\system32\svchost.exe
C:\Programme\ClamWin\bin\ClamTray.exe
C:\WINXP\System32\dmadmin.exe
C:\Dokumente und Einstellungen\XXXXXX\Eigene Dateien\Downloads\HiJackThis204.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - (no file)
O4 - HKLM\..\Run: [ClamWin] "C:\Programme\ClamWin\bin\ClamTray.exe" --logon
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [YAAC] C:\Programme\Tools&More\YAAC\YAAC.exe /AUTOSTART
O4 - HKCU\..\Run: [EPSON BX300F Series] C:\WINXP\System32\spool\DRIVERS\W32X86\3\E_FATIEJE.EXE /FU "C:\DOKUME~1\Oesianer\LOKALE~1\Temp\E_S5.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINXP\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINXP\system32\browseui.dll

--
End of file - 3488 bytes

##########

Malwarebyte, werde ich nun auch nochmal downloaden und drüberjagen...
 

Letzteres hat nach erneutem Durchlauf, Malware vom Programm "Babylon" gefunden, welches sich mit einem anderen Programm ungefragt runtergeladen hatte.

Tja, es gibt auch Leute, die KEIN ENGLISCH können...

"C:\DOKUME~1\Oesianer\LOKALE~1\Temp\E_S5.tmp" /EF "HKCU"

Nein, keine Ahnung! Eventuell von meinem Epson-Drucker? Oder von den beiden hier was: unhackme, Kantaris_Lite...

WAS ist DAS für ein Schrott???

Du kannst damit was anfangen??????????

Nun ja, hätte man die Option "Benutzerdefiniert" gewählt, dann hättest du eine "ungefragte Installation" evt. vermieden!!!

Hierzu sollte man aber meistens Englisch in Wort und Schrift beherrschen....

Tust du?

Dann stellst sich die Frage: zu faul zum Lesen?