Ich bin langsam am verzweifeln. Seit ungefähr 2 Wochen habe ich die chinesische(?) Webseite w*w.9991.com als Startseite meines Browsers. Da meine Möglichkeiten zur Entfernung nun erschöpft sind frage ich hier mal nach.

Bisherige erfolglose Gegenmaßnahmen:

Spybot S&D, Ad-Aware, CWS Shredder, AVP sowie ein Scan mit HiJackThis - in welchem ich aber keine verdächtigen Einträge gefunden habe. Ich könnte ihn aber auch mal posten wenns hilft.
Außerdem habe ich Google bemüht - habe aber (vielleicht durch eigene Inkompetenz) nur eine erfolglose Diskussion zu diesem Thema finden können.

Hallo,
poste mal dein HijackThis Log, achte aber darauf die Links zu editieren.


Grüße Wildone

Logfile of HijackThis v1.99.1
Scan saved at 17:36:59, on 16.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\PDesk\PDesk.exe
C:\Programme\System\D-Tools\daemon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\TaskSwitchXP\TaskSwitchXP.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\mgabg.exe
C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
C:\Programme\System\Sygate Personal Firewall\smc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avant Browser\avant.exe
C:\Dokumente und Einstellungen\***********************\Security\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.9991.com/ <--- schon 2 mal mit HijackThis totgemacht - kommt aber immer wieder
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\System\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\system32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\System\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\System\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Programme\TaskSwitchXP\TaskSwitchXP.exe
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: In neuem Avant Browser öffnen - C:\Programme\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{6351A546-703C-4F0F-B860-6FB5C0629C57}: NameServer = 192.168.3.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{862AE420-4F99-4EB1-AB7C-0C1345E0C485}: NameServer = 192.168.3.1
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\system32\mgabg.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\System\Sygate Personal Firewall\smc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\System\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - Unknown owner - C:\Programme\System\VMware Workstation\vmware-authd.exe (file missing)
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

Hallo,
hmm, ich kann(bis auf den R0 Eintrag) nichts erkennen, scheint bisher ein Problem zu sein das hauptsächlich in China vorkam.

VMWare und Sygate sind von dir installiert worden?

Lösche mal deine Temp Dateien mit Cleanup! und poste die vier Logfiles der Datfind.bat, aber nur die Dateien der letzten drei Monate abkopieren!


Grüße Wildone

mOIn Pokemonkiller,
hab grad ma gegoogelt und gelesen das der hier :
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
eigentlich in system32 Ordner stehen sollte
Quelle Security Tasmanager :
Wichtig: Die Datei "mdm.exe" befindet sich im Ordner C:\Windows\System32. Wenn das nicht der Fall ist, handelt es sich bei mdm.exe um einen Virus, Spyware, Trojaner oder Worm!
Scann doch ma Online bei Jotti oder Virustotal
hoffe dir einen kleien schritt weiter geholfen zu haben
MFG aus HH

@ Wildone,
tschuldige wenn ich dazwischen gefunkt hab, ich hoffe ich lieg wenigstens nich daneben
MFG aus HH

Hallo,
glaube das sie in diesem Pfad auch legitim ist, siehe hier(siehe vierter Kommentar). Zur Sicherheit kannst du sie mal beenden und hier überprüfen, aber ich denke nicht das dabei etwas herauskommen wird.

@nochdigger
Kein Problem, wenn jemand denkt etwas entdeckt zu haben soll er das ruhig sagen, ich übersehe auch schon mal etwas.

Grüße Wildone

Kenn ich... Im Netz findest Du das nicht, und die Tools taugen hier
absolut nix. Da ist Handarbeit gefragt.

Lösch mal

win32/sys/wbm/irjit.dll

und Dateien gleichen Datum im selben Verzeichnis mit der
Endung .dat/.tmp (mit Hex Editor kurz anschauen...
Ähnlichkeiten -> sollte klar sein)

ebenfalls löschen (rootkit)

win/sys32/nt.sys
win/sys32/spted.dll

(evlt Reg-Cleaning... is aber nich zwingend)

* REBOOT *

Hab das Scheissteil auch drauf gehabt, und dem hinterher debuggt,
bis ichs dann gefunden habe. Virenscanner bis auf einen haben nicht
angeschlagen (jotti), File deshalb eingeschickt.

Zusammenhang mit [Startpage] 9991.com von mir analytisch diagnostiziert.


Links
++++

* netCoders.cjb.net
* http://www.symantec.com/avcenter/venc/data/backdoor.cvm.html