|
Hilfe! delprot.sys und spy.bandos.R! Hallo! Ich bekomme von AntiVir ständig die Meldung, dass die Trojaner delprot.sys und spy.bandos.R auf meinem System sind, kann sie aber nicht löschen! Habe Hijackthis und Ad-Aware durchlaufen lassen. IE benutze ich schon gar nicht mehr, sondern Mozilla. Sp 2 ist außerdem installiert. Trotzdem tauchen ständig diese Trojaner auf! Wer kann mir helfen? Hier meine ad-Aware-Meldung: 25 gel. Prozesse 204 Obj. identifiziert 0 Obj. ignoriert 1 Proz. identif. 4 Reg. Schlüssel ident. 1 Reg Daten ident. 194 Dateien ident. 4 Verz. ident. Hier mein Hijackthis-logfile: Logfile of HijackThis v1.99.1 Scan saved at 17:33:13, on 24.05.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Mixer.exe C:\Programme\dvd43\dvd43_tray.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\System32\P2P Networking\P2P Networking.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\wintk\WinTK_Standard\modules\traycontrol.exe C:\WINDOWS\System32\m?hta.exe C:\WINDOWS\system32\inengine.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\WinTV\Ir.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\iPod\bin\iPodService.exe C:\Programme\WinTV\scheduler\scheduler.exe C:\Dokumente und Einstellungen\J H J\Eigene Dateien\downloads\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Programme\Need2Find\bar\2.bin\ND2FNBAR.DLL O2 - BHO: InstaFinderK - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} - C:\Programme\INSTAFINK\instafink.dll O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [dvd43] C:\Programme\dvd43\dvd43_tray.exe O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [AutoLoaderoAo11IMjXIXM] "C:\WINDOWS\System32\inplogon.exe" /HideDir /HideUninstall /PC="CP.AMS" /ShowLegalNote="nonbranded" O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\System32\mstask.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [wintktraycontrol] C:\Programme\wintk\WinTK_Standard\modules\traycontrol.exe O4 - HKCU\..\Run: [Pwmo] C:\Dokumente und Einstellungen\J H J\Anwendungsdaten\aemo.exe O4 - HKCU\..\Run: [Iuyl] C:\WINDOWS\System32\m?hta.exe O4 - HKCU\..\Run: [ZEotRWdpg] inengine.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O8 - Extra context menu item: &Search - http://ky.bar.need2find.com/KY/menusearch.html?p=KY O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Microsoft AntiSpyware helper - {08E7E2C4-487D-4281-98B9-DB7BE2C4FDF0} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {08E7E2C4-487D-4281-98B9-DB7BE2C4FDF0} - (no file) (HKCU) O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O17 - HKLM\System\CS3\Services\Tcpip\..\{010493E9-E75C-4D30-9857-075F7F0A6A0F}: NameServer = 213.191.74.18 213.191.92.86 O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll O18 - Filter: text/plain - {99431BBD-39E9-4506-9B7F-D9131E03A764} - C:\WINDOWS\System32\fgo.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing) :juul: Wer kann mir weiterhelfen? HILFE!!!! _____________ Anm. Aktive Links editiert! Beachte die Hinweise dieser Anleitung: HiJackThis LG Cidre S-Mod TB |
Hy, mach mal einen Escan nach Anleitung und poste das Ergebniss. Prog und Anleitung hier: www.trojaner-board.de/showthread.php?t=17492 Greetings from MEERJUNGFRAUMANN (SPONGEBOB MEMBER) :teufel3: |
Hallo! Hier die resultate: File C:\WINDOWS\system32\inengine.exe infected by "Virus.Win32.Porad.a" Virus! Action Taken: No Action Taken. File C:\WINDOWS\system32\drivers\delprot.sys infected by "Trojan.Win32.Delprot.a" Virus! Action Taken: No Action Taken. File C:\System Volume Information\_restore{A8DB3BE4-7A99-4B6A-90FD-5B85E8E9DEB3}\RP43\A0025366.dll infected by "Virus.Win32.Porad.a" Virus! Action Taken: No Action Taken. File C:\System Volume Information\_restore{A8DB3BE4-7A99-4B6A-90FD-5B85E8E9DEB3}\RP43\A0025367.exe infected by "Virus.Win32.Porad.a" Virus! Action Taken: No Action Taken. File C:\System Volume Information\_restore{A8DB3BE4-7A99-4B6A-90FD-5B85E8E9DEB3}\RP43\A0025368.dll infected by "Virus.Win32.Porad.a" Virus! Action Taken: No Action Taken. File C:\System Volume Information\_restore{A8DB3BE4-7A99-4B6A-90FD-5B85E8E9DEB3}\RP43\A0025369.dll infected by "Virus.Win32.Porad.a" Virus! Action Taken: No Action Taken. File C:\System Volume Information\_restore{A8DB3BE4-7A99-4B6A-90FD-5B85E8E9DEB3}\RP43\A0025370.dll infected by "Virus.Win32.Porad.a" Virus! Action Taken: No Action Taken. File C:\System Volume Information\_restore{A8DB3BE4-7A99-4B6A-90FD-5B85E8E9DEB3}\RP43\A0025371.exe infected by "Virus.Win32.Porad.a" Virus! Action Taken: No Action Taken. File C:\System Volume Information\_restore{A8DB3BE4-7A99-4B6A-90FD-5B85E8E9DEB3}\RP43\A0025372.dll infected by "Virus.Win32.Porad.a" Virus! Action Taken: No Action Taken. File C:\System Volume Information\_restore{A8DB3BE4-7A99-4B6A-90FD-5B85E8E9DEB3}\RP43\A0025387.dll infected by "Virus.Win32.Porad.a" Virus! Action Taken: No Action Taken. File C:\System Volume Information\_restore{A8DB3BE4-7A99-4B6A-90FD-5B85E8E9DEB3}\RP43\A0025388.exe infected by "Virus.Win32.Porad.a" Virus! Action Taken: No Action Taken. File C:\System Volume Information\_restore{A8DB3BE4-7A99-4B6A-90FD-5B85E8E9DEB3}\RP43\A0025389.dll infected by "Virus.Win32.Porad.a" Virus! Action Taken: No Action Taken. File C:\System Volume Information\_restore{A8DB3BE4-7A99-4B6A-90FD-5B85E8E9DEB3}\RP43\A0025390.dll infected by "Virus.Win32.Porad.a" Virus! Action Taken: No Action Taken. File C:\System Volume Information\_restore{A8DB3BE4-7A99-4B6A-90FD-5B85E8E9DEB3}\RP43\A0025391.dll infected by "Virus.Win32.Porad.a" Virus! Action Taken: No Action Taken. File C:\System Volume Information\_restore{A8DB3BE4-7A99-4B6A-90FD-5B85E8E9DEB3}\RP43\A0025392.exe infected by "Virus.Win32.Porad.a" Virus! Action Taken: No Action Taken. File C:\System Volume Information\_restore{A8DB3BE4-7A99-4B6A-90FD-5B85E8E9DEB3}\RP43\A0025393.dll infected by "Virus.Win32.Porad.a" Virus! Action Taken: No Action Taken. File C:\System Volume Information\_restore{A8DB3BE4-7A99-4B6A-90FD-5B85E8E9DEB3}\RP43\A0025411.EXE infected by "Virus.Win32.Porad.a" Virus! Action Taken: No Action Taken. Vielen Dank fürs Draufschauen! Jense30 |
++Sorry Mist geschrieben und nicht editiert,sondern geantwortet++ |
Gehe wie folgt vor: Wechsle in den abgesicherten Modus bei deaktivierter Systemwiederherstellung: http://www.systemwiederherstellung-d...indows-xp.html Deinstalliere P2P Networking Fixe mittels Hijackthis: R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Programme\Need2Find\bar\2.bin\ND2FNBAR.DLL O2 - BHO: InstaFinderK - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} - C:\Programme\INSTAFINK\instafink.dll O4 - HKLM\..\Run: [AutoLoaderoAo11IMjXIXM] "C:\WINDOWS\System32\inplogon.exe" /HideDir /HideUninstall /PC="CP.AMS" /ShowLegalNote="nonbranded" O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKCU\..\Run: [Pwmo] C:\Dokumente und Einstellungen\J H J\Anwendungsdaten\aemo.exe O4 - HKCU\..\Run: [Iuyl] C:\WINDOWS\System32\m?hta.exe O4 - HKCU\..\Run: [ZEotRWdpg] inengine.exe O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O8 - Extra context menu item: &Search - http://h**p://ky.bar.need2find.com/K...arch.html?p=KY O9 - Extra button: Microsoft AntiSpyware helper - {08E7E2C4-487D-4281-98B9-DB7BE2C4FDF0} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {08E7E2C4-487D-4281-98B9-DB7BE2C4FDF0} - (no file) (HKCU O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll O18 - Filter: text/plain - {99431BBD-39E9-4506-9B7F-D9131E03A764} - C:\WINDOWS\System32\fgo.dll Lösche folgende Ordner: C:\Programme\Gemeinsame Dateien\CMEII C:\Programme\Gemeinsame Dateien\GMT C:\Programme\Need2Find C:\Programme\INSTAFINK Lösche folgende Dateien mittels Killbox : C:\WINDOWS\System32\m?hta.exe C:\WINDOWS\system32\inengine.exe C:\WINDOWS\SYSTEM\blank.htm C:\WINDOWS\System32\inplogon.exe C:\WINDOWS\system32\drivers\delprot.sys Zitat:
Neustart in den normalen Modus. Poste einen neuen HJT Log. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:48 Uhr. |
Copyright ©2000-2025, Trojaner-Board