Hilfe e-mail dorithie im Anhang Henrie.zip
 

Hallo habe heute im Posteingang eine e-mail mit der eigenen e-mail adresse erhalten und den Anhang geöffnet. Nun sind alle Virensuchprogramme deaktiviert.

Was kann ich machen?

PS: 1 schritt neuen virusscanner aus dem netz gesaugt und der wird im setup blockiert.
stinger durchlaufen lassen keine reaktion.(nicht gefunden):teufel1: HILFE

wurde in Eigene Dateien gespeichert: 12.exe heisst die datei

Hallo,

Poste mal zuerst ein HJT logfile bitte.

gruß

Process list saved on 16:09:05, on 24.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)

[full path to filename] [file version] [company name]
C:\WINDOWS\System32\smss.exe 5.1.2600.2180 Microsoft Corporation
C:\WINDOWS\system32\winlogon.exe 5.1.2600.2180 Microsoft Corporation
C:\WINDOWS\system32\services.exe 5.1.2600.2180 Microsoft Corporation
C:\WINDOWS\system32\lsass.exe 5.1.2600.2180 Microsoft Corporation
C:\WINDOWS\system32\svchost.exe 5.1.2600.2180 Microsoft Corporation
C:\WINDOWS\System32\svchost.exe 5.1.2600.2180 Microsoft Corporation
C:\WINDOWS\system32\spoolsv.exe 5.1.2600.2696 Microsoft Corporation
C:\Programme\KEN!\KENCLI.EXE 2.1.32.2001 AVM Berlin
C:\WINDOWS\system32\svchost.exe 5.1.2600.2180 Microsoft Corporation
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe 2005.1.2.20 Symantec Corporation
C:\WINDOWS\Explorer.EXE 6.0.2900.2180 Microsoft Corporation
C:\WINDOWS\system32\wscntfy.exe 5.1.2600.2180 Microsoft Corporation
C:\WINDOWS\system32\igfxtray.exe 3.0.0.3847 Intel Corporation
C:\WINDOWS\system32\hkcmd.exe 3.0.0.3847 Intel Corporation
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE 9.73.0.0 Logitech Inc.
C:\Programme\KEN!\kentbcli.exe 2.1.32.2001 AVM Berlin
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\SOUNDMAN.EXE 5.1.0.27 Realtek Semiconductor Corp.
C:\WINDOWS\system32\anti_troj.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE 3.7.1.4034 Microsoft Corporation
C:\WINDOWS\system32\anti_troj.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe 1.4.0.2 Safer Networking Limited
C:\Programme\FRITZ!\IWatch.exe 2.0.9.0 AVM Berlin
C:\Programme\Outlook Express\msimn.exe 6.0.2900.2180 Microsoft Corporation
C:\Dokumente und Einstellungen\User1\Eigene Dateien\Download\FixBlast.exe 1.0.6.1 Symantec Corporation
C:\Programme\Internet Explorer\iexplore.exe 6.0.2900.2180 Microsoft Corporation
C:\Dokumente und Einstellungen\User1\Desktop\HijackThis.exe 1.99.0.0 Soeperman Enterprises Ltd.





Logfile of HijackThis v1.99.0
Scan saved at 16:11:57, on 24.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\KEN!\KENCLI.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\KEN!\kentbcli.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\anti_troj.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\anti_troj.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Outlook Express\msimn.exe
C:\Dokumente und Einstellungen\User1\Eigene Dateien\Download\FixBlast.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\User1\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.42.172.50:3128;http=192.42.172.50:3128;https=192.42.172.50:3128;socks=192.42.172.50:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe"
O4 - HKLM\..\Run: [Trans] C:\PROGRA~1\Trans\Trans.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [anti_troj] C:\WINDOWS\system32\anti_troj.exe
O4 - HKLM\..\Run: [auto__antiav__key] C:\WINDOWS\system32\antiav_exe.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [anti_troj] C:\WINDOWS\system32\anti_troj.exe
O4 - HKCU\..\Run: [auto__antiav__key] C:\WINDOWS\system32\antiav_exe.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: OfficeManager Terminerinnerung.lnk = ?
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121253221250
O17 - HKLM\System\CCS\Services\Tcpip\..\{761012CF-0A6B-4EFD-BD1B-28347F9EC12B}: NameServer = 192.42.172.50
O17 - HKLM\System\CCS\Services\Tcpip\..\{BCD12CB5-813B-4227-8B2B-D4989D6816B9}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{761012CF-0A6B-4EFD-BD1B-28347F9EC12B}: NameServer = 192.42.172.50
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: AVM KEN Klient - AVM Berlin - C:\Programme\KEN!\KENCLI.EXE
O23 - Service: Intel NCS NetService - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Fixblaast hat auch nichts gefunden:teufel3:

tja direkt ins auge springt mir nun nix...
es gibt zwar ein paar ungereimtheiten aber ich weiss noch nciht ganz ob es nicht eventuell on ordnung sein könnte??

warte mal ob dartus sich noch meldet..

gruß

über onlinevirusscanner gegangen. /weil den kann er ja nicht blocken:D
meldung: Trojan-Downloader.Win32.Bagle.h gefunden(das ist das ergebnis als ich die 12.exe prüfen lassen habe.

soll ich mir die testversion trojanerremover ziehen und ihn weghauen:snyper: ???Oder was schlägst du vor?

toll hat auch nichts gebracht

nun warte doch mal ab...
sowas geht nicht in 5 min...
keine angst wirst schon geholfen bekommen...
hat bisher noch jeder geholfen bekommen..

ist doch i.o habs jetzt doch geschafft ihn zu kicken aber nur die exe datei der rässt hat sich bestimmt in der regestrie gefrässen.Kann immernoch kein Virusprogramm starten oder neu installieren.:headbang:

Hi, misch mich mal ein.
Wir probierens mal auf die herkömmliche Weise:
Mit HJT im abgesicherten Modus bei deaktivierter Systemwiederherstellung folgende fixen:
O4 - HKLM\..\Run: [Trans] C:\PROGRA~1\Trans\Trans.exe
O4 - HKLM\..\Run: [anti_troj] C:\WINDOWS\system32\anti_troj.exe
O4 - HKLM\..\Run: [auto__antiav__key] C:\WINDOWS\system32\antiav_exe.exe
O4 - HKCU\..\Run: [anti_troj] C:\WINDOWS\system32\anti_troj.exe
O4 - HKCU\..\Run: [auto__antiav__key] C:\WINDOWS\system32\antiav_exe.exe

Dann folgende Dateien manuell löschen:
C:\PROGRA~1\Trans\Trans.exe
C:\WINDOWS\system32\anti_troj.exe
C:\WINDOWS\system32\antiav_exe.exe

Weiterhin:
Kennst du folgende Domain:
O17 - HKLM\System\CS1\Services\Tcpip\..\{761012CF-0A6B-4EFD-BD1B-28347F9EC12B}: NameServer = 192.42.172.50
gehört zu:
NeXT Default Network, California
wenn nicht, dann auch die beiden O17-Einträge mit dieser IP fixen.

Bitte beachte: Nachschauen, ob einer der Prozesse vor dem fixen läuft. Wenn ja, erst beenden.

Nach dem fixen neu booten (normal), Systemwiederherstellung wieder an und neues Logfile posten.
cacatoa
Edit: Logisch daß kein AV-Prog mehr läuft:

ok bin nicht so der hit auf dem gebiet daher kann ich das nicht. Aber habe gerade ein virusprogramm installieren können was bis jetzt 14 beschädigte sachen gelöscht hat. vieleicht gehts gleich. Wenn ja ist es das 2 mal das das Programm mir bei sowas hilft.Werde es dann nennen wenn alles funzt.:D

Was kannst du da nicht?
Hier:
Abgesicherter Modus
Systemwiederherstellung deaktivieren
und dann die Anleitung bis zu Ende lesen und danach verfahren.
Mehr ist erst mal nicht.
cacatoa