Bitte helft mir ich hatte mir eine Datei aus dem net gezogen und nachher merkte ich das es ein trojaner ist.... Der sich in Outlook einloggt.... Er verschickt an mein Adressbuch von meiner mail adresse aus Emails mit einem anhang (melda.scr) kann mir irgendjemand helfen?? Ich habe ein hijack scan durchgeführt!! BITTE HELFT MIR was ich machen kann

Logfile of HijackThis v1.97.7
Scan saved at 10:38:01, on 29.02.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\wanmpsvc.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\System32.exe
C:\WINNT\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Programme\Winamp\winampa.exe
D:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINNT\Systools.exe
C:\WINNT\system32\internat.exe
C:\Programme\usb adsl\Acer ADSL Surf USB LAN Adapter\DSLMON.exe
C:\Programme\AOL 8.0\waol.exe
C:\Programme\AOL 8.0\shellmon.exe
C:\Dokumente und Einstellungen\Manuel Schneider\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de/e55/suche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e55/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von AOL
F0 - system.ini: Shell=Explorer.exe C:\WINNT\system32\System32.exe
F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\system32\System32.exe
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: (no name) - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Messenger\ycomp.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [zBrowser Launcher] d:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [WinampAgent] d:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "d:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [System Toolkit] C:\WINNT\Systools.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Yahoo! Pager] D:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Global Startup: DSLMON.lnk = C:\Programme\usb adsl\Acer ADSL Surf USB LAN Adapter\DSLMON.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: AIM (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e55/
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DEDE9D6E-C06F-41A8-9F94-946AF83C358D}: NameServer = 195.93.90.134

und hier die logdatei von cwshredder:

CWShredder v1.51.0 scan only report

Windows 2000 (5.00.2195 SP4)
Windows dir: C:\WINNT
Windows system dir: C:\WINNT\system32
AppData folder: C:\Dokumente und Einstellungen\Manuel Schneider\Anwendungsdaten
Username: Manuel Schneider

Found Hosts file: C:\WINNT\system32\drivers\etc\hosts (820 bytes, A)
Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe C:\WINNT\system32\System32.exe
UserInit Registry value: HKLM\..\WinLogon [UserInit] C:\WINNT\system32\userinit.exe,
Registry value: DefaultPrefix (should be http://) [] http://
Registry value: WWW Prefix (should be http://) [www] http://
Registry value: Mosaic Prefix (should be http://) [mosaic] http://
Registry value: Home Prefix (should be http://) [home] http://
Found Win.ini file: C:\WINNT\win.ini (519 bytes, A)
Found System.ini file: C:\WINNT\system.ini (231 bytes, A)

- END OF REPORT -

oben im log sind schon spykomponenten drin, my way/searchbar zum beispiel musst nicht unbedingt am rechner haben...laut hersteller von free rip der dieses tool mitanbietet ist es kein spy!) ad aware hat es auch schon aus der erkennung genommen.
aber trotzdem, ein scan mit ad aware und virenscanner wär allgemein mal wichtig!

das müsst man sich noch raussuchen woher das kommt...
C:\WINNT\wanmpsvc.exe

was sagt denn eigentlich der virenscanner?
oder ad aware?

vor den scan/s unbedingt temp.internetfiles incl.offlineinhalte mal löschen, cookies raus, verlauf leeren!

gruss
rock

Adware zeigt mir nix mehr an..... Ich weiss mir echt keinen rat mehr jedesmal wenn ich ins inet reingehe öffnet der mein outlook und will jedesmals verdammt viele emails mit dem anhang wegschicken... :( Was gibts für ne lösung?

du sollst mit dem virenscanner scannen...du sagst ja selbst im anhang (melda.scr), du hast scheinbar den virus aktiviert, den anhang doppelgeklickt oder sowas...

W32/Ronoper-G könnte es sein!
im abgesicherten modus mal fullscan machen!
wenn du keinen "guten scanner" hast der damit umgehen kann, dann mach einen onlinecheck bei trendmicro! (deinen virenscanner aber beenden vorher, und schauen ob im hintergrund nciht irgend ne dubiose anwendung mitläuft, diese beenden!)

gruss
rock

@Schniggel2101
</font><blockquote>Zitat:</font><hr /> Bitte helft mir ich hatte mir eine Datei aus dem net gezogen und nachher merkte ich das es ein trojaner ist....
</font>[/QUOTE]
wie denn hast du es bemerkt?
</font><blockquote>Zitat:</font><hr />
Der sich in Outlook einloggt.... Er verschickt an mein Adressbuch von meiner mail adresse aus Emails mit einem anhang (melda.scr)
</font>[/QUOTE]
wo kommt diese information her? Hat sich jemand bei dir beschwert?
@Rock
</font><blockquote>Zitat:</font><hr /> das müsst man sich noch raussuchen woher das kommt...C:\WINNT\wanmpsvc.exe </font>[/QUOTE]...hab ich ;) : http://www.liutilities.com/products/...rary/wanmpsvc/ -ein Win Prozess. Du hast 'ne PM. ;) .

Moin Schniggel,

du solltest -wie bereits gesagt- als erstes einen Virenscan machen!

Dem HijackThis-Log entnehme ich, dass Du keinen Virenscanner installiert hast. Daher solltest Du 'auf die schnelle' wenigstens mal einen Onlinescan mit TrendMicro und/oder RAV machen...

Teil uns bitte mit, ob und wenn ja, welche Malware (Viren, Würmer, Trojaner,...) gefunden wurden.

Als nächstes solltest Du Dir einen lokalen Virenscanner installieren. Hinweise findest Du z.B. in diesem Thread.

tschööö, DerBilk

Hallo zusammen dank shady2k hab ich den mcafee installiert und er hat 157 infizierte dateien gefunden habe ich jetz alle cleanen löschen und hoffe das damit der fall erledigt ist!

OK, dann kam mein Tipp ein bisschen spät... ;)

Du kannst aber zur Kontrolle trotzdem noch einen Onlinescan machen.

Nachtrag: Mit dem CWShredder einmal 'fixen' statt "nur" scannen, schadet bestimmt auch nicht...

tschööö, DerBilk