Ich bin neu hier und hab für die meisten von euch sicher keine Ahnung. Deshalb bin ich hier, weil ich Hilfe benötige.

Meine Startseite stellt sich immer wieder automatisch auf http://realsearch.cc/?b=yxz um. Warum????

Wie kann ich das wieder weg machen? Hab schon mitbekommen, dass das wohl ein Trojaner oder sowas sein kann.

Hab bei mir auf´m Rechner

xpsp2fw.exe
wuclient.exe

gefunden

Wie kann ich das weg kriegen? Erklärt es mir bitte ganz genau und in Einzelheiten, bin nicht ganz so clever was Pc´s angeht!

Hallo,

lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.

Was heißt bitte hier rein posten???

Sorry ich hab echt wenig ahnung ... oder besser keine !

Siehe http://de.wikipedia.org/wiki/Posting

@ Herthaman

erstelle ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html. Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner "hijackthis" unter C: laufen sollte, also "c:\hijackthis", siehe dazu auch HijackThis.

Danke für die Info´s ... hat glaub ich soweit alles geklappt und ich hatte ne ganze Menge drauf

Jetzt versuch ich HijackThis herunterzuladen unter http://www.trojaner-board.de/51130-a...ijackthis.html (nach Weiterleitung zu chip online) , das klappt aber bei mir nicht!

Kann ich das irgendwie anders machen? Oder was muss ich anders machen?

Wie kann man sich eigentlich gegen solche Trojaner und Viren schützen ... hab schon norton antivir in der neuesten Version mit Aktualisierungen drauf, hab ad aware, hab in meinem wlan ne firewall, hab ne firewall über norton laufen

Was muss man noch alles tun, um nicht solche Sachen sich einzufangen???

Zu den "Firewalls" sage ich jetzt besser nichts, aber lies dir mal diese Seite durch -> http://www.mathematik.uni-marburg.de...ompromise.html

So hab jetzt alles gemacht ... kannst mal bitte drüber schauen???
Hoffe ich hab alles erwischt?!?


Logfile of HijackThis v1.99.0
Scan saved at 19:21:22, on 14.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\PROGRA~1\NORTON~2\NORTON~3\GHOSTS~2.EXE
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe
C:\Programme\Symantec\LiveUpdate\ALUNOTIFY.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe
C:\Programme\DT\DT 11Mbps Wireless USB Device\Installer\WINXP\DTUSBMonitor.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\Jirka\LOKALE~1\Temp\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://realsearch.cc/?a=2&b=yxz
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://realsearch.cc/?a=2&b=yxz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://realsearch.cc/?a=2&b=yxz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://realsearch.cc/?a=2&b=yxz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.comunio.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://realsearch.cc/?a=2&b=yxz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://realsearch.cc/?a=2&b=yxz
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://realsearch.cc/?a=2&b=yxz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://realsearch.cc/?a=2&b=yxz
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://realsearch.cc/?a=2&b=yxz
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://realsearch.cc/?a=2&b=yxz
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {2D57FAB1-8181-40B1-A9C6-7B1351BFFC6F} - (no file)
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {DF1F7F61-31F4-4A0E-B12F-03448B750544} - (no file)
O2 - BHO: (no name) - {EF8A5C00-0CE7-4BBB-AE34-E500D2BC44CC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [040F4486] C:\WINDOWS\system32\ryppeock.exe
O4 - HKLM\..\Run: [ALUAlert] C:\Programme\Symantec\LiveUpdate\ALUNOTIFY.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [040F4486] C:\WINDOWS\system32\ryppeock.exe
O4 - Global Startup: DT 11Mbps WLAN USB Station.lnk = C:\Programme\DT\DT 11Mbps Wireless USB Device\Installer\WINXP\DTUSBMonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O15 - Trusted Zone: http://*.69sexsearch.com
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105710537002
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~3\GHOSTS~2.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Versorge uns noch zusätzlich mit den Infos von eScan, wie in meinem ersten Post beschrieben, und dann können wir es angehen.

C:\WINDOWS\system32\xpsp2fw.exe infected by "Trojan-Downloader.Win32.Agent.fw" Virus. Action Taken: File Deleted.
C:\WINDOWS\system32\wuclient.exe infected by "Trojan-Downloader.Win32.Agent.fw" Virus. Action Taken: File Deleted.
*** SOFTWARE\Microsoft\Windows\CurrentVersion\Run has RunningProcess defined as C:\WINDOWS\system32\wuclient.exe (which is infected)!
*** Reg Value SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Update Client deleted because it is infected by a Virus
C:\WINDOWS\system32\delaybuf.dll infected by "Trojan-Downloader.Win32.Small.agb" Virus. Action Taken: File to be deleted on reboot.
C:\WINDOWS\system32\iosviavif.dll infected by "Trojan-Downloader.Win32.Small.rn" Virus. Action Taken: File Deleted.
C:\WINDOWS\system32\ryppeock.exe infected by "Trojan.Win32.Agent.x" Virus. Action Taken: File Deleted.
C:\WINDOWS\system32\sntcerfg.dll infected by "Trojan-Downloader.Win32.Small.rn" Virus. Action Taken: File Deleted.
C:\WINDOWS\system32\tifsE2.dll infected by "Trojan.Win32.StartPage.sc" Virus. Action Taken: File Deleted.
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\1B52226A.htm infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\1D451DA2 infected by "not-virus:Joke.Win32.JepRuss" Virus. Action Taken: File Renamed.
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\2FE856B2 infected by "Trojan-Downloader.Win32.Small.aaq" Virus. Action Taken: File Deleted.
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\318921A0.htm infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\318C4B9C.exe infected by "TrojanDownloader.Win32.Small.yx" Virus. Action Taken: File Deleted.
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\4C2C2C06 infected by "Trojan.Win32.StartPage.qr" Virus. Action Taken: File Deleted.
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\6738400F.htm infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.
C:\Q8276112.exe infected by "Trojan-Downloader.Win32.Agent.fw" Virus. Action Taken: File Deleted.
C:\RECYCLER\NPROTECT\00036902.exe infected by "Trojan.Win32.Dialer.gd" Virus. Action Taken: File Deleted.
D:\Eigene Dateien\Witz\Witziges\Programme und Spiele\500Mhz.exe infected by "not-virus:Joke.Win32.Stript" Virus. Action Taken: File Renamed.
D:\Programme\AVPersonal\INFECTED\*.*

Total Number of Files Scanned: 42656
Fri Jan 14 18:33:57 2005 => Total Number of Virus(es) Found: 24
Fri Jan 14 18:33:57 2005 => Total Number of Disinfected Files: 0
Fri Jan 14 18:33:57 2005 => Total Number of Files Renamed: 5
Fri Jan 14 18:33:57 2005 => Total Number of Deleted Files: 11
Fri Jan 14 18:33:57 2005 => Total Number of Errors: 2
Fri Jan 14 18:33:57 2005 => Time Elapsed: 00:57:03
Fri Jan 14 18:33:57 2005 => Virus Database Date: 2005/01/14
Fri Jan 14 18:33:57 2005 => Virus Database Count: 115534

Fri Jan 14 18:33:57 2005 => Scan Completed.

@ Herthaman

nachdem Deine Virensammlung glücklicherweise - vergleichsweise - harmlos war, denn alle Viren sind nun von Deinem System entfernt worden, können wir uns ja endlich daran machen, Dein System weiter zu säubern.

--> Platform: Windows XP SP1 (WinNT 5.01.2600) - ungepatchtes Betriebssystem: www.windowsupdate.com

--> Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = h**p://realsearch.cc/?a=2&b=yxz
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = h**p://realsearch.cc/?a=2&b=yxz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://realsearch.cc/?a=2&b=yxz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://realsearch.cc/?a=2&b=yxz

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://realsearch.cc/?a=2&b=yxz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://realsearch.cc/?a=2&b=yxz
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://realsearch.cc/?a=2&b=yxz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://realsearch.cc/?a=2&b=yxz
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = h**p://realsearch.cc/?a=2&b=yxz
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = h**p://realsearch.cc/?a=2&b=yxz

O2 - BHO: (no name) - {2D57FAB1-8181-40B1-A9C6-7B1351BFFC6F} - (no file)
O2 - BHO: (no name) - {DF1F7F61-31F4-4A0E-B12F-03448B750544} - (no file)
O2 - BHO: (no name) - {EF8A5C00-0CE7-4BBB-AE34-E500D2BC44CC} - (no file)

O15 - Trusted Zone: h**p://*.69sexsearch.com

wenn Du diesen Eintrag nicht kennst/brauchst, bitte fixen:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.comunio.de/

boote in den normalen Modus. Aktiviere die Systemwiederherstellung und boote neu.

--> Wähle bitte einen alternativen Browser, damit Dein System sauber bleibt. Der IE sollte zwar geupdatet werden, aber nur für die Windows Updates verwendet werden.

--> lade das Clear Prog runter, mach ein Häkchen' bei "Clear all" und klicke auf "Clear". Ein Vorgang, den zu wiederholen einmal pro Woche anzuraten ist.

--> Besuche diese Seite und lade Dir die Entfernungstools von Spyware und Adware 'Ad-Aware 6 Personal' und 'Spybot-Search & Destroy 1.3' runter. (Antwort zum DSO Exloit bei der Anwendung von Spybot-Search & Destroy 1.3) Scanne Deinen Rechner mit den Programmen nacheinander und lass eventuell noch bestehende Probleme beheben.

--> Erstelle ein neues Hijack This Logfile und poste es.