I386P.sys - installiert sich neu beim Reboot

Dieses Thema I386P.sys - installiert sich neu beim Reboot im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von shabbybabby, 8. Jan. 2006.

Thema: I386P.sys - installiert sich neu beim Reboot Liebe Leute, hatte den Spysheriff und dachte, mit Hilfe des Forums alles gelöst zu haben. Einige Minuten nach...

  1. Liebe Leute,

    hatte den Spysheriff und dachte, mit Hilfe des Forums alles gelöst zu haben.

    Einige Minuten nach einem Neustart bekomme ich jetzt aber eine Warnmeldung von Norman Virus Control:

    Wurm W32/SpamTool.B
    Infiziert Datei C:\WINDOWS\SYSTEM32\DRIVERS\I386P.SYS
    Entfernt Wurm W32/SpamTool.B


    Scanne ich dann die Festplatte, findet Norman zwei weitere Trojaner:


    Trojanisches Pferd W32/Agent.LHX
    Scan-Engine: 5.83.10, Nvcbin.def 5.83 (2006/01/06), Nvcmacro.def 5.83 (2005/12/21).
    Infiziert Datei C:\System Volume Information\_restore{AD8444DB-4A57-4DB9-A78E-695BBC753172}\RP88\A0028587.exe


    Trojanisches Pferd W32/DLoader.OUT
    Scan-Engine: 5.83.10, Nvcbin.def 5.83 (2006/01/06), Nvcmacro.def 5.83 (2005/12/21).
    Infiziert Datei C:\System Volume Information\_restore{AD8444DB-4A57-4DB9-A78E-695BBC753172}\RP88\A0028597.exe

    Das Löschen bringt nichts, nach einem Neustart kommt wieder dasselbe.

    Regedit-Suche zu I386P.sys bringt 4 Unterpunkte zu:
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\i386p

    Kann ich das löschen?

    Hier mal ein Hijack-Log:

    Logfile of HijackThis v1.99.1
    Scan saved at 12:20:45, on 08.01.2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\S24EvMon.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\ZCfgSvc.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
    C:\WINDOWS\System32\igfxtray.exe
    C:\WINDOWS\System32\hkcmd.exe
    C:\WINDOWS\System32\00THotkey.exe
    C:\WINDOWS\system32\TFNF5.exe
    C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
    C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
    C:\Programme\Apoint2K\Apoint.exe
    C:\Programme\TOSHIBA\TouchED\TouchED.Exe
    C:\Programme\TOSHIBA\PadTouch\PadExe.exe
    C:\WINDOWS\LTSMMSG.exe
    C:\WINDOWS\system32\TPSMain.exe
    C:\WINDOWS\system32\dla\tfswctrl.exe
    C:\Norman\bin\ZLH.EXE
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
    C:\Programme\QuickTime\qttask.exe
    C:\Programme\Apoint2K\Apntex.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
    C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe
    C:\WINDOWS\system32\TPSBattM.exe
    C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
    C:\WINDOWS\system32\RAMASST.exe
    C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
    C:\WINDOWS\System32\DVDRAMSV.exe
    C:\Norman\bin\ZANDA.EXE
    C:\WINDOWS\System32\RegSrvc.exe
    C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
    C:\NORMAN\Nvc\BIN\nvcoas.exe
    C:\Norman\bin\NJEEVES.EXE
    C:\NORMAN\Nvc\BIN\nipsvc.exe
    C:\Norman\Nvc\BIN\NIP.EXE
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\System32\1XConfig.exe
    C:\Norman\Nvc\bin\cclaw.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Norman\Nvc\BIN\Nvcut.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\regedit.exe
    C:\Norman\Nvc\BIN\NVCOD.EXE
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\WinRAR\WinRAR.exe
    C:\DOKUME~1\JL\LOKALE~1\Temp\Rar$EX00.641\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://google.de
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.de
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.de
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001
    R3 - Default URLSearchHook is missing
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
    O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
    O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
    O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
    O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
    O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
    O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
    O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
    O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\PadTouch\PadExe.exe
    O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
    O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
    O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
    O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
    O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
    O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
    O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
    O4 - HKLM\..\Run: [Siemens SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
    O4 - HKCU\..\Run: [Wise-FTP Scheduler] C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
    O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=file:///C:\Programme\TOSHIBA\Free Update Service\splash.html
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/06c8830fdc217ddaae14/netzip/RdxIE601_de.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
    O20 - Winlogon Notify: msctl32.dll - C:\WINDOWS\system32\msctl32.dll
    O20 - Winlogon Notify: Sebring - c:\WINDOWS\System32\LgNotify.dll
    O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
    O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
    O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe
    O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
    O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\bin\ZANDA.EXE
    O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe
    O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
    O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
    O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe


    Vielen Dank für Eure Hilfe!

    Shabbybabby
     
  2. hp
    hp
    die würmer befinden sich in der wiederherstellungsdatei von xp, damit du die los wirst mußt du mal die wiederherstellungsfunktion deaktivieren. die einträge aus der registry kannst du auch entfernen. dein hijackthis log kannst du hier www. hijackthis.de auswerten lassen und die als böse erkannten sachen via hijackthis fixen ... nach dem bereinigen der infizierten sachen die wiederherstellungsfunktion wieder einschalten ...

    greetz

    hugo
     
  3. Lieber Hugo,

    besten Dank, hat funktioniert.

    Habe auch noch die Datei msctl32.dll gelöscht unter c:\windows\system32 gelöscht, die wurde im Bewertungs-Tool unter www.hijack-this.de als unbekannt eingestuft, hatte aber das gleiche Erstellungsdatum/Uhrzeit wie die übrigen spysheriff-Dateien, die hier im Forum auch dokumentiert waren.

    Was sich immer noch nicht löschen lässt, sind die Registry-Einträge unter

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_I386P

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_I386P

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_I386P

    Any ideas?

    Grüße
    Shabbybabby
     
  4. hab's selbst rausgefunden unter

    http://www.wintotal.de/Artikel/registry/registry.php

    rechte Maustaste und dann Berechtigungen um das eigene Benutzerkonto ergänzen,

    für die, die das gleiche problem haben...
    Gruß
    Shabbybabby
     
Die Seite wird geladen...

I386P.sys - installiert sich neu beim Reboot - Ähnliche Themen

Forum Datum
Updates werden nicht installiert Windows 10 Forum 30. Okt. 2016
Windows 10 vorinstalliert. Was wenn die Festplatte nicht mehr geht. Windows 10 Forum 16. Aug. 2016
Win 7: "neu" installierte Programme kommen immer wieder in den "Start" Windows 7 Forum 17. Juli 2016
alter Drucker wird ständig neu installiert Windows 7 Forum 4. Mai 2016
Open Office kann nicht installiert werden StarOffice, OpenOffice und LibreOffice 9. Apr. 2016