Drive Cleaner

Seit einiger Zeit (seit ich Kabel BW Internet habe) öffnet sich ständig ein Pop Up Fenster mit der Meldung das ich Sex-Seiten besucht hätte (was natürlich nicht stimmt!!). Es gibt zwei Möglichkeiten: Abbrechen oder Ok. Egal was ich anklicke, ein neues Fenster öffnet sich, es versucht den PC zu überprüfen, dann schaltet sich mein Viren-Scanner (Avast Antivir) ein, und meldet einen Trojaner. Aber die Meldung kommt am nächsten bzw. am gleichen Tag wieder.

Wie kann ich diese nervige Meldung wegbekommen??

Bitte anwortet nicht zu kompliziert, ich verstehe zwar was von PC aber sooo ein Freak bin ich jetzt auch wieder nich, Wär auf jeden fall nett, wenn ihr mir helfen könntet!


Danke! Gruß Lennart94

P.S. Im Anhang befindet sich ein Bild der Fehlermeldung!

 

Avast sagt dir doch, um welchen Trojaner es sich handelt. Damit kann man Google füttern und findet mit Sicherheit jede Menge Leute mit dem gleichen Problem. Oftmals werden in diesen Fundstellen dann brauchbare Hinweise gegeben, wie man der Plage Herr wird.

 

Wenn die Meldung kommt nicht drauf klicken, sondern mit dem Taskmanager den (IE-)Prozess abschießen. (STRG+ALT+ENTF )
Den IE schließen und ein Hijackthis-Log anfertigen.

Der IE scheint auch nicht sicher eingestellt zu sein, so dass er Scripte von bösen Seiten zulässt.

Und so kann die Sicherheit im Internet-Explorer auf Hoch/Mittel umgestellt werden:
http://www.heise.de/security/dienste/browsercheck/anpassen/ie60/
Oder Ihr stellt die Sicherheit im Internet Explorer grundsätzlich manuell nach dieser Anleitung ein: (Dabei verzichtet Ihr dann aber grundsätzlich auf ActiveX und Visual Basic Script)
Http://www.datenschutz-bremen.de/sv_internet/ie.php
Http://www.blafusel.de/ie.html

 

Erstmal Danke für eure Hilfe! Ich werde mal versuchen etwas über den Virus herauszufinden.

Eigentlich benutze ich ja gar nicht den IE, aber die Meldung kommt trozdem.

Wenn ich mit dem IE surfe ist es noch viel schlimmer.


Ich werde mich dann mal wieder melden, wenn ich neue Infos habe.

Gruß Lennart94

 

Hallo!

Ich habe mal bei Google ein bisschen gesucht und habe folgendes Forum gefunden: http://board.protecus.de/t26214.htm

Wie es scheint ist das kaum noch vom PC zu bekommen und hängt auch irgendwie mit einer Aktualisierung von Avast zusammen.

Der Virus heisst Win32:VBStat-C [Trj] - sagt euch das was??

Wobei hilft mir das Logfile of HijackThis?

Wäre nett wenn ihr mir wieder antworten würdet!

 

Wäre es denn auch nicht eine möglichkeit den IE zu deinstallieren, denn DriveCleaner wird immer nur mit dem IE angezeigt.

Ich benutze sowieso nur den Mozilla!

Funktionieren andere Programme wie z.B. ICQ 5.1 auch ohne IE??

 

Den IE kannst du nicht so einfach deinstallieren, da er kein vollständig selbstständiges Programm ist. Außerdem greifen viele Windowsfunktionen auf den IE zurück.

Ich habe mit etwas Geduld und weiteren Internetrecherchen den "Smitfraud-C", um den handelt es sich nämlich, sauber vom System bekommen. Geholfen hat mir dabei auch Spybot.

 

@ Hnas 2: Hab ich mir fast gedacht dass, das nicht geht.

Hab jetzt mal ein Log-File mit hijackthis erstellt. Leider kann ich dass nicht lesen, wäre net wenn mir jemand sagen würde was aus dem Report hervorgeht. Danke!



Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 16:32:49, on 19.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\nvsvc32.exe
D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\CNAB4RPK.EXE
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\SilverCrest Combo Set Driver\MouseDrv.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ypwfkzup.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\SilverCrest Combo Set Driver\PS2USBKbdDrv.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\phonostar\ps_timer.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Winfried\LOKALE~1\Temp\Rar$EX00.422\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://l-rohr******/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1F42F0D1-9419-42CA-9ED0-010B1E9A842b} - C:\WINDOWS\system32\rfhyivcf.dll
O2 - BHO: (no name) - {4C28CA9D-0844-4535-B136-B3EE9CE4FA75} - C:\WINDOWS\system32\vturo.dll
O2 - BHO: (no name) - {5ADF3862-9E2E-4ad3-86F7-4510E6550CD0} - C:\WINDOWS\system32\udaywlkc.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {A05DA7E0-383C-4E99-A72A-742050A152A2} - (no file)
O2 - BHO: (no name) - {ED8A669A-198B-4D3D-9E2E-A68C3699F5EB} - (no file)
O2 - BHO: (no name) - {F7CF7B22-82BA-466D-BC65-D51B31C07455} - C:\WINDOWS\system32\ddcbccc.dll (file missing)
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [WireLessMouse] C:\Programme\SilverCrest Combo Set Driver\StartAutorun.exe MouseDrv.exe
O4 - HKLM\..\Run: [WireLessKeyboard] C:\Programme\SilverCrest Combo Set Driver\StartAutorun.exe PS2USBKbdDrv.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ypwfkzup.exe] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ypwfkzup.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [j1271939] rundll32 C:\WINDOWS\system32\j1271939.dll sook
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\nbrrteqk.dll",realset
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1158058022046
O20 - Winlogon Notify: ddcbccc - ddcbccc.dll (file missing)
O20 - Winlogon Notify: pmnlkhh - pmnlkhh.dll (file missing)
O20 - Winlogon Notify: vturo - C:\WINDOWS\system32\vturo.dll
O20 - Winlogon Notify: winzzd32 - winzzd32.dll (file missing)
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 8721 bytes

 

speicher das Hijackthis log bitte als .txt und häng es als Attachment ran...

hast du Spybot auf deinen Rechner?

 

Auf der Kiste ist der Trojan.Vundo

Trojan.Vundo is a component of an adware program that downloads and displays pop-up advertisements. It is known to be installed by visiting a Web site link contained in a spammed email.

http://www.symantec.com/security_response/writeup.jsp?docid=2004-112111-3912-99

 

Bei jotti http://virusscan.jotti.org/de/
mal folgende Dateien scannen lassen:

Code:

O4 - HKLM\..\Run: [ypwfkzup.exe] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\[b]ypwfkzup.exe[/b]
O4 - HKLM\..\Run: [j1271939] rundll32 C:\WINDOWS\system32\[b]j1271939.dll sook[/b]
O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\[b]nbrrteqk.dll[/b]",realset
O20 - Winlogon Notify: vturo - C:\WINDOWS\system32\[b]vturo.dll[/b]

 

@ -humi-: Im Anhang befindet sich die txt Datei!

Nein, ich habe nich Spyboot, ich habe nur Avast, Windows Firewall und Ad-Aware 2007.

Woher bekomme ich Spyboot?

 

S P Y B O T hättst nur googeln müssen

 

hallo!

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ypwfkzup.exe
enthält einen Virus, kann ihn aber nat. nich löschen, jedenfalls nicht mit entf.

C:\WINDOWS\system32\j1271939.dll
enthält einen Virus, den Avast dann auch erkannt hat, wurde erfolgreich gelöscht!

C:\WINDOWS\system32\nbrrteqk.dll
enthält einen Virus, kann ihn aber nat. nich löschen, jedenfalls nicht mit entf.

C:\WINDOWS\system32\vturo.dll
Ich kann die Datei nicht finden.


Vielen Dank für deine Hilfe, wie bekomme ich jedoch die 1 und die 3 Datei vom PC?

 

Das einfache Löschen der befallenen Dateien hilft dir kaum, denn beim nächsten Systemstart sind sie wieder da. Du musst das Übel von der Wurzel her packen.

Schau dir noch mal meinen Post #2 an, und studiere die entsprechenden Fundstellen.
Wenn du Glück hast, findet sich bei einem der bekannten Antiviren.Programmierer ein Tool zum Bereinigen des Systems.

 

@ -humi-

Ich habe spyboot das system scanen lassen: Er hat 60 Probleme gefunde, nur eins konnt nicht behoben werden!

Naya, so en Werbeschitt kommt immer noch, aber nicht mehr der Drivecleaner!

Leute, ich glaube so langsamm widrs!

Danke für eure Hilfe!

 

mit Hijackthis alles gefixt was gesagt wurde? welcher Werbeschnitt kommt noch?

und bei Spybot... Update+Immuniesieren nicht vergessen
der Teatimer von spybot kann etwas nervig sein... suchst mal im Forum... irgendwo steht ein Patch wie du ihn völlig sehen kannst, aber er verhindert dass sich was unbemerkt an deiner Registry zu schaffen macht...

 

Hallo

Man sollte sich das mal genauer ansehen.

Lade dir Navilog1.zip,auf dem Desktop speichern & entpacken,danach wird einen Ordner Navilog1 auf dem Desktop erstellt.Nun muss du dieser Ordner öffnen,dann Doppelklick auf Navilog1.bat,dann Sprache Auswahl F|f-->Französisch & E|e-->Englisch,den Anweisungen auf dem Bildschirm folgen,immer eine beliebige Taste druecken bis ein Auswahl Fenster erscheint,dann die Taste 1,den Anweisungen auf dem Bildschirm folgen & am Ende den Inhalt von fixnavi.txt hier posten.

WINDOWSSCAN ausführen und posten

und erstelle einen aktuellen HijackThis log

Dann können wir das Problem angehen.

 

Vielen Dank für deine Hilfe!

Hier die Dateien die gepostet werden sollten!

 

Jetzt habe ich auch noch das Problem mit dem WinAntivirus Pro 2006, auch ein Malwareprogramm.

Auch dieses Fenster öffnet sich immer beim surfen, der Drive Cleaner scheint weg zu sein, jedenfalls hatte ich heut keine Probleme mit ihm!