|
Plagegeister aller Art und deren Bekämpfung: Hilfe e-mail dorithie im Anhang Henrie.zipWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
24.11.2005, 15:53 | #1 |
| Hilfe e-mail dorithie im Anhang Henrie.zip Hallo habe heute im Posteingang eine e-mail mit der eigenen e-mail adresse erhalten und den Anhang geöffnet. Nun sind alle Virensuchprogramme deaktiviert. Was kann ich machen? PS: 1 schritt neuen virusscanner aus dem netz gesaugt und der wird im setup blockiert. stinger durchlaufen lassen keine reaktion.(nicht gefunden) HILFE wurde in Eigene Dateien gespeichert: 12.exe heisst die datei |
24.11.2005, 15:58 | #2 |
| Hilfe e-mail dorithie im Anhang Henrie.zip Hallo,
__________________Poste mal zuerst ein HJT logfile bitte. gruß
__________________ |
24.11.2005, 16:12 | #3 |
| Hilfe e-mail dorithie im Anhang Henrie.zip Process list saved on 16:09:05, on 24.11.2005
__________________Platform: Windows XP SP2 (WinNT 5.01.2600) [full path to filename] [file version] [company name] C:\WINDOWS\System32\smss.exe 5.1.2600.2180 Microsoft Corporation C:\WINDOWS\system32\winlogon.exe 5.1.2600.2180 Microsoft Corporation C:\WINDOWS\system32\services.exe 5.1.2600.2180 Microsoft Corporation C:\WINDOWS\system32\lsass.exe 5.1.2600.2180 Microsoft Corporation C:\WINDOWS\system32\svchost.exe 5.1.2600.2180 Microsoft Corporation C:\WINDOWS\System32\svchost.exe 5.1.2600.2180 Microsoft Corporation C:\WINDOWS\system32\spoolsv.exe 5.1.2600.2696 Microsoft Corporation C:\Programme\KEN!\KENCLI.EXE 2.1.32.2001 AVM Berlin C:\WINDOWS\system32\svchost.exe 5.1.2600.2180 Microsoft Corporation C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe 2005.1.2.20 Symantec Corporation C:\WINDOWS\Explorer.EXE 6.0.2900.2180 Microsoft Corporation C:\WINDOWS\system32\wscntfy.exe 5.1.2600.2180 Microsoft Corporation C:\WINDOWS\system32\igfxtray.exe 3.0.0.3847 Intel Corporation C:\WINDOWS\system32\hkcmd.exe 3.0.0.3847 Intel Corporation C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE 9.73.0.0 Logitech Inc. C:\Programme\KEN!\kentbcli.exe 2.1.32.2001 AVM Berlin C:\Programme\Winamp\winampa.exe C:\WINDOWS\SOUNDMAN.EXE 5.1.0.27 Realtek Semiconductor Corp. C:\WINDOWS\system32\anti_troj.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE 3.7.1.4034 Microsoft Corporation C:\WINDOWS\system32\anti_troj.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe 1.4.0.2 Safer Networking Limited C:\Programme\FRITZ!\IWatch.exe 2.0.9.0 AVM Berlin C:\Programme\Outlook Express\msimn.exe 6.0.2900.2180 Microsoft Corporation C:\Dokumente und Einstellungen\User1\Eigene Dateien\Download\FixBlast.exe 1.0.6.1 Symantec Corporation C:\Programme\Internet Explorer\iexplore.exe 6.0.2900.2180 Microsoft Corporation C:\Dokumente und Einstellungen\User1\Desktop\HijackThis.exe 1.99.0.0 Soeperman Enterprises Ltd. Logfile of HijackThis v1.99.0 Scan saved at 16:11:57, on 24.11.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\KEN!\KENCLI.EXE C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\KEN!\kentbcli.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\anti_troj.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\WINDOWS\system32\anti_troj.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\Outlook Express\msimn.exe C:\Dokumente und Einstellungen\User1\Eigene Dateien\Download\FixBlast.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\User1\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.42.172.50:3128;http=192.42.172.50:3128;https=192.42.172.50:3128;socks=192.42.172.50:1080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe" O4 - HKLM\..\Run: [Trans] C:\PROGRA~1\Trans\Trans.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [anti_troj] C:\WINDOWS\system32\anti_troj.exe O4 - HKLM\..\Run: [auto__antiav__key] C:\WINDOWS\system32\antiav_exe.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [anti_troj] C:\WINDOWS\system32\anti_troj.exe O4 - HKCU\..\Run: [auto__antiav__key] C:\WINDOWS\system32\antiav_exe.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: OfficeManager Terminerinnerung.lnk = ? O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121253221250 O17 - HKLM\System\CCS\Services\Tcpip\..\{761012CF-0A6B-4EFD-BD1B-28347F9EC12B}: NameServer = 192.42.172.50 O17 - HKLM\System\CCS\Services\Tcpip\..\{BCD12CB5-813B-4227-8B2B-D4989D6816B9}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CS1\Services\Tcpip\..\{761012CF-0A6B-4EFD-BD1B-28347F9EC12B}: NameServer = 192.42.172.50 O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: AVM KEN Klient - AVM Berlin - C:\Programme\KEN!\KENCLI.EXE O23 - Service: Intel NCS NetService - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe |
24.11.2005, 16:13 | #4 |
| Hilfe e-mail dorithie im Anhang Henrie.zip Fixblaast hat auch nichts gefunden |
24.11.2005, 16:18 | #5 |
| Hilfe e-mail dorithie im Anhang Henrie.zip tja direkt ins auge springt mir nun nix... es gibt zwar ein paar ungereimtheiten aber ich weiss noch nciht ganz ob es nicht eventuell on ordnung sein könnte?? warte mal ob dartus sich noch meldet.. gruß
__________________ Anleitung Neuaufsetzen des Systems Anleitung Hijackthis Virusscan Jotti Fehler sind Menschlich..... Das größte Problem eines Rechners sitzt meist 50 cm vorm Bildschirm.. |
24.11.2005, 16:23 | #6 |
| Hilfe e-mail dorithie im Anhang Henrie.zip über onlinevirusscanner gegangen. /weil den kann er ja nicht blocken meldung: Trojan-Downloader.Win32.Bagle.h gefunden(das ist das ergebnis als ich die 12.exe prüfen lassen habe. |
24.11.2005, 16:25 | #7 |
| Hilfe e-mail dorithie im Anhang Henrie.zip soll ich mir die testversion trojanerremover ziehen und ihn weghauen ???Oder was schlägst du vor? |
24.11.2005, 16:45 | #8 |
| Hilfe e-mail dorithie im Anhang Henrie.zip toll hat auch nichts gebracht |
24.11.2005, 16:51 | #9 |
| Hilfe e-mail dorithie im Anhang Henrie.zip nun warte doch mal ab... sowas geht nicht in 5 min... keine angst wirst schon geholfen bekommen... hat bisher noch jeder geholfen bekommen..
__________________ Anleitung Neuaufsetzen des Systems Anleitung Hijackthis Virusscan Jotti Fehler sind Menschlich..... Das größte Problem eines Rechners sitzt meist 50 cm vorm Bildschirm.. |
24.11.2005, 17:04 | #10 |
| Hilfe e-mail dorithie im Anhang Henrie.zip ist doch i.o habs jetzt doch geschafft ihn zu kicken aber nur die exe datei der rässt hat sich bestimmt in der regestrie gefrässen.Kann immernoch kein Virusprogramm starten oder neu installieren. |
24.11.2005, 17:09 | #11 | |
| Hilfe e-mail dorithie im Anhang Henrie.zip Hi, misch mich mal ein. Wir probierens mal auf die herkömmliche Weise: Mit HJT im abgesicherten Modus bei deaktivierter Systemwiederherstellung folgende fixen: O4 - HKLM\..\Run: [Trans] C:\PROGRA~1\Trans\Trans.exe O4 - HKLM\..\Run: [anti_troj] C:\WINDOWS\system32\anti_troj.exe O4 - HKLM\..\Run: [auto__antiav__key] C:\WINDOWS\system32\antiav_exe.exe O4 - HKCU\..\Run: [anti_troj] C:\WINDOWS\system32\anti_troj.exe O4 - HKCU\..\Run: [auto__antiav__key] C:\WINDOWS\system32\antiav_exe.exe Dann folgende Dateien manuell löschen: C:\PROGRA~1\Trans\Trans.exe C:\WINDOWS\system32\anti_troj.exe C:\WINDOWS\system32\antiav_exe.exe Weiterhin: Kennst du folgende Domain: O17 - HKLM\System\CS1\Services\Tcpip\..\{761012CF-0A6B-4EFD-BD1B-28347F9EC12B}: NameServer = 192.42.172.50 gehört zu: NeXT Default Network, California wenn nicht, dann auch die beiden O17-Einträge mit dieser IP fixen. Bitte beachte: Nachschauen, ob einer der Prozesse vor dem fixen läuft. Wenn ja, erst beenden. Nach dem fixen neu booten (normal), Systemwiederherstellung wieder an und neues Logfile posten. cacatoa Edit: Logisch daß kein AV-Prog mehr läuft: Zitat:
__________________ Der Mensch sollte eine Hundeseele haben |
24.11.2005, 17:16 | #12 |
| Hilfe e-mail dorithie im Anhang Henrie.zip ok bin nicht so der hit auf dem gebiet daher kann ich das nicht. Aber habe gerade ein virusprogramm installieren können was bis jetzt 14 beschädigte sachen gelöscht hat. vieleicht gehts gleich. Wenn ja ist es das 2 mal das das Programm mir bei sowas hilft.Werde es dann nennen wenn alles funzt. |
24.11.2005, 17:20 | #13 |
| Hilfe e-mail dorithie im Anhang Henrie.zip Was kannst du da nicht? Hier: Abgesicherter Modus Systemwiederherstellung deaktivieren und dann die Anleitung bis zu Ende lesen und danach verfahren. Mehr ist erst mal nicht. cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
Themen zu Hilfe e-mail dorithie im Anhang Henrie.zip |
adresse, anhang, dateien, e-mail, eigene dateien, erhalte, erhalten, gefunde, gespeichert, heiss, heute, neue, neuen, nicht gefunden, posteingang, schritt, setup, teufel, virusscan, virusscanner |