|
Browser Hijacker 9991.com Ich bin langsam am verzweifeln. Seit ungefähr 2 Wochen habe ich die chinesische(?) Webseite w*w.9991.com als Startseite meines Browsers. Da meine Möglichkeiten zur Entfernung nun erschöpft sind frage ich hier mal nach. Bisherige erfolglose Gegenmaßnahmen: Spybot S&D, Ad-Aware, CWS Shredder, AVP sowie ein Scan mit HiJackThis - in welchem ich aber keine verdächtigen Einträge gefunden habe. Ich könnte ihn aber auch mal posten wenns hilft. Außerdem habe ich Google bemüht - habe aber (vielleicht durch eigene Inkompetenz) nur eine erfolglose Diskussion zu diesem Thema finden können. |
Hallo, poste mal dein HijackThis Log, achte aber darauf die Links zu editieren. Grüße Wildone |
Logfile of HijackThis v1.99.1 Scan saved at 17:36:59, on 16.04.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\system32\PDesk\PDesk.exe C:\Programme\System\D-Tools\daemon.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\TaskSwitchXP\TaskSwitchXP.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\mgabg.exe C:\WINDOWS\SYSTEM32\RUNDLL32.EXE C:\Programme\System\Sygate Personal Firewall\smc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Avant Browser\avant.exe C:\Dokumente und Einstellungen\***********************\Security\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.9991.com/ <--- schon 2 mal mit HijackThis totgemacht - kommt aber immer wieder O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\System\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\system32\PDesk\PDesk.exe /Autolaunch O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\System\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\System\SYGATE~1\smc.exe -startgui O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TaskSwitchXP] C:\Programme\TaskSwitchXP\TaskSwitchXP.exe O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm O8 - Extra context menu item: In neuem Avant Browser öffnen - C:\Programme\Avant Browser\OpenInNewBrowser.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O17 - HKLM\System\CCS\Services\Tcpip\..\{6351A546-703C-4F0F-B860-6FB5C0629C57}: NameServer = 192.168.3.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{862AE420-4F99-4EB1-AB7C-0C1345E0C485}: NameServer = 192.168.3.1 O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\system32\mgabg.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\System\Sygate Personal Firewall\smc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\System\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: VMware Authorization Service (VMAuthdService) - Unknown owner - C:\Programme\System\VMware Workstation\vmware-authd.exe (file missing) O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe |
Hallo, hmm, ich kann(bis auf den R0 Eintrag) nichts erkennen, scheint bisher ein Problem zu sein das hauptsächlich in China vorkam. VMWare und Sygate sind von dir installiert worden? Lösche mal deine Temp Dateien mit Cleanup! und poste die vier Logfiles der Datfind.bat, aber nur die Dateien der letzten drei Monate abkopieren! Grüße Wildone |
mOIn Pokemonkiller, hab grad ma gegoogelt und gelesen das der hier : C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe eigentlich in system32 Ordner stehen sollte Quelle Security Tasmanager : Wichtig: Die Datei "mdm.exe" befindet sich im Ordner C:\Windows\System32. Wenn das nicht der Fall ist, handelt es sich bei mdm.exe um einen Virus, Spyware, Trojaner oder Worm! Scann doch ma Online bei Jotti oder Virustotal hoffe dir einen kleien schritt weiter geholfen zu haben MFG aus HH |
@ Wildone, tschuldige wenn ich dazwischen gefunkt hab, ich hoffe ich lieg wenigstens nich daneben MFG aus HH |
Hallo, glaube das sie in diesem Pfad auch legitim ist, siehe hier(siehe vierter Kommentar). Zur Sicherheit kannst du sie mal beenden und hier überprüfen, aber ich denke nicht das dabei etwas herauskommen wird. @nochdigger Kein Problem, wenn jemand denkt etwas entdeckt zu haben soll er das ruhig sagen, ich übersehe auch schon mal etwas. Grüße Wildone |
:teufel1: Kenn ich... Im Netz findest Du das nicht, und die Tools taugen hier absolut nix. Da ist Handarbeit gefragt. Lösch mal win32/sys/wbm/irjit.dll und Dateien gleichen Datum im selben Verzeichnis mit der Endung .dat/.tmp (mit Hex Editor kurz anschauen... Ähnlichkeiten -> sollte klar sein) ebenfalls löschen (rootkit) win/sys32/nt.sys win/sys32/spted.dll (evlt Reg-Cleaning... is aber nich zwingend) * REBOOT * Hab das Scheissteil auch drauf gehabt, und dem hinterher debuggt, bis ichs dann gefunden habe. Virenscanner bis auf einen haben nicht angeschlagen (jotti), File deshalb eingeschickt. Zusammenhang mit [Startpage] 9991.com von mir analytisch diagnostiziert. Links ++++ * netCoders.cjb.net * http://www.symantec.com/avcenter/venc/data/backdoor.cvm.html :bussi: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:57 Uhr. |
Copyright ©2000-2025, Trojaner-Board