Automatische Weiterleitung zu Drivecleaner

    Road-Runner schrieb:

    Zitat

    Es werden mehrere Prozesse als Eventuell böse eingestuft, die allesamt in einem Verzeichnis windows.0000 liegen, dazu mindesten 1 Eintrag der sicher als Böse eingestuft ist.


    Road-Runner hat Recht, aber dennoch:

    Die im Log-File aufgeführten Windows.000 Einträge wurden vermutlich durch die Installation der Telekom-Zugangs-Software als System-Repository erstellt. Die damit verbundenen und originalen Windows-Prozesse und Libraries haben sich somit nicht verändert, sondern wurden nur innerhalb der Installation von C:\Windows/ auf C:\Windows.000/ verschoben - sie stellen somit kein Sicherheitsrisiko dar - Telekom, bzw. AOL greifen bezüglich der Installation, sehr tief in das System ein.

    Um dieses Thema abzuschliessen, würde ich dem Themen-Starter dennoch nahelegen, seine Grundkonfiguration nocheinmal zu betrachten.

    Mit Win2K/SP4 und IE 6.0 SP1 (2800) wird mir langsam klar, dass vermutlich eine Fly-By Infektion über den IE (mit liberalen Einstellungen) im Vorfeld unvermeidbar war - gemessen an der Tatasache, dass nach meinen Erfahrungen, ein professionelles Windows 2000 SP4 eher als unsicherer einzustufen ist, als ein sauber gepatchtes Windows XP.

    Eine NeuInstall über Format erscheint mir, gemessen an den bisherigen Fakten, daher am sinnvollsten.


    Oliver

    Hallo!!!!
    Ich habe in etwa das gleiche Problem welches hier besprochen wird. Und zwar öffnen sich bei mir keine flashvideos mehr. Anstatt dessen öffnet firefox einen Hinweis von Driveclean. Ich habe schon Spybot SD, AntiVir usw benutzt, finde die infektion aber nicht. Auch die von euch hier vorgeschlagenen Regestry Einträge sind nicht auffindbar. Hier mal mein HijackThis Log:

    Logfile of HijackThis v1.99.1
    Scan saved at 14:57:59, on 27.02.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
    C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
    C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
    C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\htpatch.exe
    C:\WINDOWS\system32\RunDll32.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\PROGRAMME\ATI TECHNOLOGIES\ATI.ACE\CORE-STATIC\mom.exe
    C:\PROGRAMME\ATI TECHNOLOGIES\ATI.ACE\CORE-STATIC\ccc.exe
    C:\Programme\VideoLAN\VLC\vlc.exe
    C:\Programme\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
    O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
    O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - Global Startup: Adobe Reader - Schnellstart.lnk = E:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
    O4 - Global Startup: Adobe Reader Synchronizer.lnk = E:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\http://EXCEL.EXE/3000
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
    O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
    O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


    Ausserdem habe ich bereits eine Formatierung meiner Festplatte mit dem Betriebssystem vorgenommen. Nach dem es etwa einen Tag gut lief kam die Meldung wieder. Langsam verzweifle ich ziemlich an dem Ding.

    Hallo Zusammen!

    So wies aussieht hab ich das gleiche Problem. Es sind keine Dateien zu finden auf dem System die nur irgendwie eine Ähnlichkeit mit dem Namen "Drivecleaner" zu tun haben.

    hab mir mal die Weiterleitungsseiten einbisschen angesehen. Man wird an folgende Javascripts weitergeführt: "check.js" und "checkgif.js"
    Nun da ich kein "Meister des Codes" bin kann ich nicht soviel mit diesen Zeilen des Codes anfangen. Hab mal die beiden Dateien auf einen Webserver geladen. Wers will kanns mal anschauen:

    "check.js" und "checkgif.js"

    Lasst Euch auf keinen Fall auf sogenannte "offizielle" Removal-Tools zur Entfernung solcher Spywarekomponenten ein, die z.Z. massenweise im Internet kursieren und angeboten werden - dort wird auf einigen unseriösen Webseiten unter Anderem sogar auf plumpe Art davon abgeraten die Festplatte zu formatieren, da dann ja alle Daten verloren gehen könnten - (und auch der Trojaner). :)

    Genau so ein Format mit anschliessender NeuInstallation ist jedoch der beste Weg.

    Nach meinen bisherigen Erkenntnissen, sind solche sogenannten Removal-Tools obendrein sogar selber z.T. mit Spyware behaftet - womit dann der Bock zum Gärtner würde.

    Eine Formatierung ist immer ein Last-Exit, aber immer noch langfristig der bessere Weg und zwar genau dann, wenn nach so einer Neuinstallation des Systems auch verschärfte Vorkehrungen bezüglich der Datensicherheit getroffen werden.

    Für die Formatierung gilt: Niemals aus dem System heraus formatieren, sondern die Formatierung von einer separat gestarteten DOS-Diskette oder einer Windows-Installations-CD heraus anstossen. Bei einigen neueren Windows-Computern kommen allerdings nach meiner bisherigen Erfahrung sog. Recovery-Routinen zum Einsatz, die über Shadow-Kopien und versteckte Partitionen, bezüglich des Formatierungsprozesses das System nicht wirklich reinigen, sondern auf Repositories zurückgreifen, welche selber bereits infiziert sein können.


    http://www.mathematik.uni-marburg.de/~wetzmj/index.…moval.html#sec2.


    Oliver

    Einmal editiert, zuletzt von Oliver222 (2. März 2007 um 04:45)

    tut mir leid, aber ich habe von einer windows cd formatiert und neu installiert. aber es muss doch einen anderen weg geben um solche ad/spyware zu entfernen. kann doch nicht möglich sein, dass man das zeugs nicht weg bekommt.... bin auf weitere vorschläge gespannt.

    Zerwas stellte folgendendes dar

    Zitat

    Tut mir leid, aber ich habe von einer Windows CD formatiert und neu installiert.[...]

    Das ist mehr als unwahrscheinlich.

    Sofern Du besagte HD über ein separat gestartetes System (in diesem Falle Deine Windows-CD) komplett formatiert (über format /A:(Grösse)) und anschliessend Neuinstalliert hattest, kann es nach meiner bisherigen Erfahrung nicht angehen, dass ein Virus diese Prozedur überleben könnte. Selbst ein Rootkit würde unter solchen Massnahmen aus dem MFT getilgt werden.


    a. Überprüfe ob auf Deinem Computer-System keine versteckten Partitionen vorhanden sind, aus denen heraus ein u.U. bereits infizierter Recovery-Prozess trotz bereits erfolgter Formatierung aufgerufen wird. Hattest Du die Festplatte(n) vollständig formatiert? Stimmt die formatierte Netto-Kapazität in Gigabyte bezüglich FAT oder NTFS mit den physikalischen Angaben (Datenblatt des Gerätes) überein?

    b. Sind Deine Systemwiederherstellungsdatenträger original oder vielleicht gebrannt - bzw. Installations-Archive bereits im Vorfeld infiziert worden? Entspringt der FF der originalen Download-Adresse?

    c. Was genau ist nach dem Wiederherstellungsprozess passiert? Warst Du unmittelbar ohne Eigeneinwirkung wieder infiziert?

    d. Wie hast Du Dein Gesamt-System konfiguriert? Ein NeuInstall nützt nichts, wenn Du mit den gleichen Einstellungen weiterhin unterwegs bist.

    Habe sonst keine weiteren Erklärungen mehr...


    Oliver

    Morgens!

    Jede XP - Installation legt einen (verdeckten) Bereich von mindestens
    8 MB Größe an,in welchem sich irgendwelche Systemdaten befinden.
    Dieses meist als "unpartitionierter Bereich" im MS-Setup bezeichnete
    Teil läßt sich mit bordeigenen Mitteln nicht so einfach löschen.

    Denkbar wäre es aber, wie auch Oliver schon beschrieben hat,dass sich
    ebendort irgendein ungebetener Gast versteckt.

    Es empfielt sich dringend , auf externe Werkzeuge zurückzugreifen.

    Ich habe gute Erfahrungen u.a. mit "eXtended FDisk" gemacht :

    :arrow: XFDISK

    Das Ganze von Diskette/Stick/o.ä. starten (Startdisk!).

    Etwas komfortabler ist "GParted" aus der LinuxWelt.
    Auch damit lassen sich Windowspartitionen porentief bügeln.

    Das Programm findet sich auf einer ganzen Reihe Linux-Live-CDs
    verschiedener Computerzeitschriften.

    Eine Live-CD - *.iso stellt Sourceforge.net bereit:

    :arrow: GParted Live-CD

    Waidmannsheil

    :)

    P.

    ich besitze noch eine zweite festplatte die ich nicht formatiert habe. aber die benötige ich ja auch, um meine daten zu sichern ( musik, filme, bilder etc. ) ... und überhaupt, ES MUSS EINEN ANDEREN WEG GEBEN!!!! das ist doch nur verdammte adware!

    Zerwas äusserte:

    Zitat

    [...]... und überhaupt, ES MUSS EINEN ANDEREN WEG GEBEN!!!! das ist doch nur verdammte Adware.


    Manche Menschen wollen es nicht lernen - oder legen es auf sinnlose Diskussionen an. Für mich ist das Thema hier beendet - Du hast genug Anstösse bekommen und wir sind hier alle keine Kinder mehr.

    Viel Glück,


    Oliver

    So.... herr von und zu oliver.....
    ich habe es geschaft den "virus" zu löschen. das programm heißt ad-aware se profesional. hat die adware gefunden und gelöscht. seit dem ist das problem gegessen. keine nervigen meldungen mehr von drivecleaner und co... und alles ohne formatieren. in diesem sinne:
    *burn* ^^

    Zerwas schrieb:

    Zitat

    [...]in diesem sinne: *burn* ^^.


    Du weisst ganz genau was Dein Zeichen bedeutet? - Du meldest Dich besser in diesem Forum unter Deinem bisherigen Namen nicht nocheinmal an - ist nur ein guter Tipp.


    Oliver

    Zitat von Zerwas

    So.... herr von und zu oliver.....
    ich habe es geschaft den "virus" zu löschen. das programm heißt ad-aware se profesional. hat die adware gefunden und gelöscht. seit dem ist das problem gegessen. keine nervigen meldungen mehr von drivecleaner und co... und alles ohne formatieren. in diesem sinne:
    *burn* ^^

    Tja, du hättest vielleicht mal den ganzen Thread lesen sollen, Ad-Aware SE wurde schon im zweiten Post empfohlen.

    Mit einem Autostart manager (TuneUp o.ä.) mal schauen was eigentlich alles geladen wird. Bei mir war's knkggkuv.dll (zu finden in System32)

    System32 nach seltsamen *.exe durchsuchen VORSICHT!; (bsp: feqoccf.exe; lhtnxhsm.exe - Namen ändern sich!), sichern und löschen - am besten sicheres löschen (nach DoD, Gutman).

    Wenn möglich 2. Windows parallel aufspielen (von da kann man die Dateien wieder zurück spielen, falls was schief geht).

    Dann noch 'ne Reinigung der Browser (cache, cookies) / Festplatten (temp, ...) usw. sowie Virenscan und Spybot o.ä. durchlaufen lassen.

    Ich hoffe ich konnte helfen