"Hijacked Internet access by WebHancer" installiert "Antivirus 2009 XP"
 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:07:57, on 16.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\uTorrent\uTorrent.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.computerbase.de/
O4 - HKLM\..\Run: [6c37b696] rundll32.exe "C:\WINDOWS\system32\mbstlqkj.dll",b
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Verknüpfung mit Versatel.lnk = ?
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O17 - HKLM\System\CCS\Services\Tcpip\..\{103C8C79-25A6-418F-BC44-D347C31958FD}: NameServer = 62.220.18.8 89.246.64.8
O17 - HKLM\System\CS1\Services\Tcpip\..\{103C8C79-25A6-418F-BC44-D347C31958FD}: NameServer = 62.220.18.8 89.246.64.8
O20 - AppInit_DLLs: zlvnpg.dll

--
End of file - 1901 bytes

Ich hab ein Problem mit dem 10er Eintrag:

"Hijacked Internet access by WebHancer" taucht dreimal auf und
auf der Seite von Hijackthis wird ausdrücklich empfohlen,
diesen Eintrag nicht manuell zu löschen, sondern mit dem Tool:
"LSPfix"
Allerdings findet das Programm LSPfix keine Probleme auf meinem PC.

Ansonsten habe ich mir irgendwo einen Virus eingefangen, den ich sehr verdächtige:
"Antivirus XP 2009"

1.Im internet-explorer taucht eine Warnmeldung auf
2.Klick auf "Abbrechen" oder auf "OK" öffnet sich ein neues Fenster
3.Die Software läd sich runter und installiert sich automatisch.
4.Ein recht seriös erscheinendes Programm im Vista-Style (Ich benutze XP)
öffnet sich, sieht aus wie ein Antivir, und scannt JEDE System-Datei als
VIRUS
5.Auf meinem Desktop befindet sich unweigerrlich der Hintergrund
"Auf diesem PC befinden sich Viren, laden sie sich Antivir-Software herunter.
6.Mit [rechtsklick]/Eigenschaften fehlen die Reiter "Bildschirmschoner"
und auch ""Hintergrund-bild"

Ich denke mir, dass dieser 10er-Eintrag fest damit zu tun hat.
Mit hijackthis krieg ich ihn nicht entfernt

Hallo

Acker das hier für weitere Analysen ab:

1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern noch vorhanden) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
2.) Backlight ausführen, Logfile posten
3.) Malwarebytes Antimalware
4.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste die Logfiles bitte mit Codetags umschlossen (#-Button) also so:

5.) Mach auch ein Filelisting mit diesem script:

• Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
• Doppelklick auf listing8.cmd auf dem Desktop
• nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.