Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Browser Hijacker 9991.com

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 16.04.2006, 15:31   #1
Pokemonkiller
 
Browser Hijacker 9991.com - Standard

Browser Hijacker 9991.com



Ich bin langsam am verzweifeln. Seit ungefähr 2 Wochen habe ich die chinesische(?) Webseite w*w.9991.com als Startseite meines Browsers. Da meine Möglichkeiten zur Entfernung nun erschöpft sind frage ich hier mal nach.

Bisherige erfolglose Gegenmaßnahmen:

Spybot S&D, Ad-Aware, CWS Shredder, AVP sowie ein Scan mit HiJackThis - in welchem ich aber keine verdächtigen Einträge gefunden habe. Ich könnte ihn aber auch mal posten wenns hilft.
Außerdem habe ich Google bemüht - habe aber (vielleicht durch eigene Inkompetenz) nur eine erfolglose Diskussion zu diesem Thema finden können.

Alt 16.04.2006, 15:34   #2
Wildone
 
Browser Hijacker 9991.com - Standard

Browser Hijacker 9991.com



Hallo,
poste mal dein HijackThis Log, achte aber darauf die Links zu editieren.


Grüße Wildone
__________________


Alt 17.04.2006, 17:12   #3
Pokemonkiller
 
Browser Hijacker 9991.com - Standard

Browser Hijacker 9991.com



Logfile of HijackThis v1.99.1
Scan saved at 17:36:59, on 16.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\PDesk\PDesk.exe
C:\Programme\System\D-Tools\daemon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\TaskSwitchXP\TaskSwitchXP.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\mgabg.exe
C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
C:\Programme\System\Sygate Personal Firewall\smc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avant Browser\avant.exe
C:\Dokumente und Einstellungen\***********************\Security\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.9991.com/ <--- schon 2 mal mit HijackThis totgemacht - kommt aber immer wieder
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\System\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\system32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\System\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\System\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Programme\TaskSwitchXP\TaskSwitchXP.exe
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: In neuem Avant Browser öffnen - C:\Programme\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{6351A546-703C-4F0F-B860-6FB5C0629C57}: NameServer = 192.168.3.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{862AE420-4F99-4EB1-AB7C-0C1345E0C485}: NameServer = 192.168.3.1
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\system32\mgabg.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\System\Sygate Personal Firewall\smc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\System\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - Unknown owner - C:\Programme\System\VMware Workstation\vmware-authd.exe (file missing)
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
__________________

Alt 17.04.2006, 17:30   #4
Wildone
 
Browser Hijacker 9991.com - Standard

Browser Hijacker 9991.com



Hallo,
hmm, ich kann(bis auf den R0 Eintrag) nichts erkennen, scheint bisher ein Problem zu sein das hauptsächlich in China vorkam.

VMWare und Sygate sind von dir installiert worden?

Lösche mal deine Temp Dateien mit Cleanup! und poste die vier Logfiles der Datfind.bat, aber nur die Dateien der letzten drei Monate abkopieren!


Grüße Wildone

Alt 17.04.2006, 17:45   #5
nochdigger
 
Browser Hijacker 9991.com - Standard

Browser Hijacker 9991.com



mOIn Pokemonkiller,
hab grad ma gegoogelt und gelesen das der hier :
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
eigentlich in system32 Ordner stehen sollte
Quelle Security Tasmanager :
Wichtig: Die Datei "mdm.exe" befindet sich im Ordner C:\Windows\System32. Wenn das nicht der Fall ist, handelt es sich bei mdm.exe um einen Virus, Spyware, Trojaner oder Worm!
Scann doch ma Online bei Jotti oder Virustotal
hoffe dir einen kleien schritt weiter geholfen zu haben
MFG aus HH


Alt 17.04.2006, 17:49   #6
nochdigger
 
Browser Hijacker 9991.com - Standard

Browser Hijacker 9991.com



@ Wildone,
tschuldige wenn ich dazwischen gefunkt hab, ich hoffe ich lieg wenigstens nich daneben
MFG aus HH

Alt 17.04.2006, 17:51   #7
Wildone
 
Browser Hijacker 9991.com - Standard

Browser Hijacker 9991.com



Hallo,
glaube das sie in diesem Pfad auch legitim ist, siehe hier(siehe vierter Kommentar). Zur Sicherheit kannst du sie mal beenden und hier überprüfen, aber ich denke nicht das dabei etwas herauskommen wird.

@nochdigger
Kein Problem, wenn jemand denkt etwas entdeckt zu haben soll er das ruhig sagen, ich übersehe auch schon mal etwas.

Grüße Wildone

Alt 29.04.2006, 17:33   #8
Pansemuckl
 
Browser Hijacker 9991.com - Standard

Browser Hijacker 9991.com





Kenn ich... Im Netz findest Du das nicht, und die Tools taugen hier
absolut nix. Da ist Handarbeit gefragt.

Lösch mal

win32/sys/wbm/irjit.dll

und Dateien gleichen Datum im selben Verzeichnis mit der
Endung .dat/.tmp (mit Hex Editor kurz anschauen...
Ähnlichkeiten -> sollte klar sein)

ebenfalls löschen (rootkit)

win/sys32/nt.sys
win/sys32/spted.dll

(evlt Reg-Cleaning... is aber nich zwingend)

* REBOOT *

Hab das Scheissteil auch drauf gehabt, und dem hinterher debuggt,
bis ichs dann gefunden habe. Virenscanner bis auf einen haben nicht
angeschlagen (jotti), File deshalb eingeschickt.

Zusammenhang mit [Startpage] 9991.com von mir analytisch diagnostiziert.


Links
++++

* netCoders.cjb.net
* http://www.symantec.com/avcenter/venc/data/backdoor.cvm.html


Antwort

Themen zu Browser Hijacker 9991.com
.com, ad-aware, als startseite, avp, browser, browser hijacker, diskussion, einträge, entfernung, frage, gegenmaßnahmen, google, hijack, hijacker, hijackthis, langsam, maßnahme, posten, scan, shredder, startseite, thema, träge, verdächtige, webseite, welchem, woche, wochen



Ähnliche Themen: Browser Hijacker 9991.com


  1. Browser Hijacker? googleadservices.com
    Plagegeister aller Art und deren Bekämpfung - 20.09.2015 (9)
  2. Browser Hijacker trovi.com u.a.
    Log-Analyse und Auswertung - 21.02.2015 (25)
  3. Windows 7: Browser Hijacker
    Log-Analyse und Auswertung - 01.01.2015 (2)
  4. Browser Hijacker?
    Plagegeister aller Art und deren Bekämpfung - 19.11.2013 (17)
  5. qvo6 Hijacker-Browser?
    Plagegeister aller Art und deren Bekämpfung - 29.07.2013 (11)
  6. Qvo6 Browser-Hijacker
    Log-Analyse und Auswertung - 16.05.2013 (1)
  7. Browser Hijacker ?
    Plagegeister aller Art und deren Bekämpfung - 17.06.2007 (10)
  8. browser hijacker
    Mülltonne - 09.04.2007 (1)
  9. Adlogix Browser Hijacker
    Log-Analyse und Auswertung - 18.12.2006 (1)
  10. cws.loadadv.400 Browser Hijacker
    Plagegeister aller Art und deren Bekämpfung - 21.08.2006 (1)
  11. cws.loadadv.400 Browser Hijacker
    Plagegeister aller Art und deren Bekämpfung - 11.04.2006 (2)
  12. Browser Hijacker
    Log-Analyse und Auswertung - 31.01.2005 (3)
  13. Browser-Hijacker
    Log-Analyse und Auswertung - 11.11.2004 (13)
  14. was ist das?? browser hijacker??
    Log-Analyse und Auswertung - 09.11.2004 (2)
  15. Browser Übergreifender Hijacker ??
    Log-Analyse und Auswertung - 22.08.2004 (2)
  16. Browser Hijacker
    Log-Analyse und Auswertung - 30.06.2004 (5)
  17. Browser Hijacker Winproc32
    Plagegeister aller Art und deren Bekämpfung - 02.04.2004 (14)

Zum Thema Browser Hijacker 9991.com - Ich bin langsam am verzweifeln. Seit ungefähr 2 Wochen habe ich die chinesische(?) Webseite w*w.9991.com als Startseite meines Browsers. Da meine Möglichkeiten zur Entfernung nun erschöpft sind frage ich hier - Browser Hijacker 9991.com...
Archiv
Du betrachtest: Browser Hijacker 9991.com auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.