Hilfe ich verzweifel gleich! searchmaid!!!

Micha_86 · 10.03.2005, 00:48

einer meiner Brüder war am internet und weiß gott auf was für seiten der war!!! auf jedenfall ahb ich jetzt das problem, dass immer egal wie oft ich die startseite verstell kommt nach einer zeit immer wieder automatisch die seite searchmaid.com! da ich selber nicht wirklich viel ahnung von so zeug hab brauch ich dringend hilfe sonst reist mir noch einer meiner eltern den Kopf ab was muss ich jetzt machen???

cronos · 10.03.2005, 00:51

Erstelle hiermit einen Log und poste ihn hier im Forum:

www.hjt.klaffke.de

Micha_86 · 10.03.2005, 00:58

Logfile of HijackThis v1.99.1
Scan saved at 00:57:49, on 10.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\AdStatus Service\AdStatServ.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\programme\valve\steam\steam.exe
C:\Program Files\AdStatus Service\AdStatKeep.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Michael\Eigene Dateien\dowmnlods\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.searchmaid.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchmaid.com/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmaid.com/bar/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchmaid.com/search.php?qq=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchmaid.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.searchmaid.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchmaid.com/search.php?qq=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmaid.com/bar/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchmaid.com/search.php?qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchmaid.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchmaid.com/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchmaid.com/search.php?qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchmaid.com/search.php?qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchmaid.com/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchmaid.com/search.php?qq=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.searchmaid.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.searchmaid.com/
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Virtual Maid - {77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C} - C:\PROGRA~1\VIRTUA~1\VIRTUA~1.DLL
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AdStatus Service] C:\Program Files\AdStatus Service\AdStatServ.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [Security iGuard] C:\Programme\Security iGuard\Security iGuard.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: Microsoft AntiSpyware helper - {8E55CEC2-7C0A-4AE9-885D-B1A02543B858} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {8E55CEC2-7C0A-4AE9-885D-B1A02543B858} - (no file) (HKCU)
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall-beta.trendmicro.com...ll/xscan60.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Cl.../bridge-c1.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1106751707671
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} - https://www.gamespyid.com/alaunch.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{83F90D75-7919-425D-9C30-8D86AB01D608}: NameServer = 217.237.151.161 217.237.151.33
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Micha_86 · 10.03.2005, 00:59

wie gehts jetzt weiter? bitte sag mir net das ich format c machen muss!

cronos · 10.03.2005, 01:04

Du hast diesen da auf dem Rechner:

http://www.sophos.de/virusinfo/analy...2forbotbd.html

Alles andere als dein System zu formatieren und neuaufzusetzen wäre fahrlässig.
Gehe bitte nach folgenderAnleitung vor:

http://www.trojaner-info.de/report_i...nleitung.shtml

Micha_86 · 10.03.2005, 01:06

was heißt des im klartext muss ich jetzt meine ganze festplatte löschen ich hab keine ahnung von dem was da drinsteht oder muss ich da jetzt nen techniker kommen lassen?

cronos · 10.03.2005, 01:08

Eine Aleitung zum formatieren und installieren gibts hier:

http://8ung.at/chemikers-home/SETUP.html

Micha_86 · 10.03.2005, 01:09

sag mir bitte gibt es keine andere lösung? du hast doch davon bestimmt anhung?

Eazi · 10.03.2005, 01:28

Hallo Micha86 !

Ich verstehe Dich, aber es gibt für diesen Schädlingsbefall leider wirklich keine andere sichere und zuverlässige Lösung!
Besser und schneller einmal das System neuaufzusetzen, als sich monatelang damit herumzuschlagen und darauf zu hoffen, dass er auch nichts mehr anstellt! Du kannst Deinem System leider nicht mehr hundertprozentig trauen!

Viel Glück

Mfg
B.

Gigamail · 10.03.2005, 10:24

@ Micha86

Zitat:

was heißt des im klartext muss ich jetzt meine ganze festplatte löschen ich hab keine ahnung von dem was da drinsteht

# Ermöglicht Dritten den Zugriff auf den Computer
# Löscht Dateien vom Computer
# Stiehlt Daten
# Reduziert die Systemsicherheit
# Installiert sich in der Registrierung

das alles macht der Virus, das heißt im Klartext Dein Rechner ist Kompromittiert lese bitte in dem Link
Zum Neuaufsetzen gibt es von Cidre einem Boardmitglied eine gute Zusammenstellung die solltest Du Dir auf jeden Fall mit ansehen System Neuaufsetzen

Yopie · 10.03.2005, 15:04

Das Problem war in dem Fall nicht Dein Bruder, sondern die unzureichende Pflege des Betriebssystems. http://www.windowsupdate.com hätte die Probleme, die nun zum Formatieren führen, verhindert!

Das Problem mit der Searchseite ist da geringfügiger, das hättest Du mit einem sichereren Browser verhindern können.

Gruß

Yopie

Micha_86 · 10.03.2005, 15:31

reicht es wenn ich einfach das mein windows neu drauf tu oder muss ich komplett format c machen?

Yopie · 10.03.2005, 15:42

Komplett Format c: . Halte Dich an die Anleitung, die Cronos Dir gegeben hat.

Hier ein Hinweis zur Datensicherung

Gruß

Yopie

10.03.2005, 15:04	#11
Yopie Moderator, a.D.	Hilfe ich verzweifel gleich! searchmaid!!! Das Problem war in dem Fall nicht Dein Bruder, sondern die unzureichende Pflege des Betriebssystems. http://www.windowsupdate.com hätte die Probleme, die nun zum Formatieren führen, verhindert! Das Problem mit der Searchseite ist da geringfügiger, das hättest Du mit einem sichereren Browser verhindern können. Gruß Yopie

10.03.2005, 15:42	#13
Yopie Moderator, a.D.	Hilfe ich verzweifel gleich! searchmaid!!! Komplett Format c: . Halte Dich an die Anleitung, die Cronos Dir gegeben hat. Hier ein Hinweis zur Datensicherung Gruß Yopie

Hilfe ich verzweifel gleich! searchmaid!!!

Plagegeister aller Art und deren Bekämpfung: Hilfe ich verzweifel gleich! searchmaid!!!