Hallo Board,
seit einigen Tagen habe ich das folgende Problem: Es öffnen sich nach unbekanntem Muster (kein bestimmter zeitlicher Rythmus und auch nicht beim Auführen eines bestimmten Programmes) Internet Explorer Popups mit dem Seitentitel "SecurePCCleaner" oder "Festplattenreiniger". Mehrere dieser Popups öffnen sich immer an der gleichen Stelle auf dem Desktop. Der Inhalt dieser Popups ist unklar, da nur weiße Fläche zu sehen ist. Außerdem sind die Fenster nicht in ihrere Größe veränderbar.
Ein weiteres Symptom ist die Tatsache, dass es nach ebenfalls unbekanntem Muster dazu kommt, dass Taskleiste und Explorerfenster verschwinden und nach ca. einer Sekunde wieder auftauchen. So als würde sich eine Uhr wieder aufziehen. Vor den Popups gab es so etwas nicht auf meinen System.

Somit ist es extrem störend, wenn ich z.B. einen Film mit VLC im Vollbildmodus schauen will, da sich dann immer eins dieser Popups innerhalb von 15min davor setzt.

Ich habe nach einer Möglichkeit um die "SecurePCCleaner popups" zu entfernen gegoogelt und herausgefunden, dass dies wahrscheinlich etwas mit dem Trojaner Loosky zu tun hat. Allerdings findet weder Avira AntiVir noch dieses fragliche Programm SpyHunter von Enigma irgendetwas. Stattdessen mosert AntiVir immer wieder über SpyHunter bei dessen Ausführung, da einige .dll Dateien des Programms Phishing Erkennungsmuster beinhalten sollen.
Weitere Google-Recherchen ergeben, dass sich das Programm mit dem Namen "SecurePCCleaner" bei einigen Nutzern installiert hat (wahrshceinlich nach dem Klicken auf das Popup). Allerdings scheint dies bei mir nicht der Fall zu sein. Halten wir fest:

Avira AntiVir Scan => nichts
Enigma SpyHunter Scan => nichts
AdAware Scan => nichts

Ich hoffe auf eine Lösung des Problems und danke im Voraus! Im Anschluss noch die Logs von HijackThis (bitte das Datum ignorieren, die Batterie für die Systemzeituhr scheint leer zu sein) und eScan, die ich gerade eben durchgeführt habe. Habe ich irgendetwas vergessen?!

HijackThis Logfile
Logfile of HijackThis v1.99.1
Scan saved at 20:12:03, on 27.10.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\D-Link\AirPlus G\AirGCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WZShutdown\P_zero.exe
C:\Programme\QIP\qip.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Programme\foobar2000\foobar2000.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Her - {C4DE5B15-4FFE-4c02-8CB3-CAD24A33562B} - C:\WINDOWS\System32\ramtmb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WZShutdown] C:\WZShutdown\P_zero.exe -hide
O4 - HKCU\..\Run: [QIP2005] C:\Programme\QIP\qip.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

eScan Log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.5.1
Sprache: English
Virus Database Date: 10/30/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with elite toolbar Spyware/Adware (toolbar.exe)! Action taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
File C:\WINDOWS\System32\ramtmb.dll infected by "Trojan-Spy.Win32.Agent.aiu" Virus! Action Taken: No Action Taken.
File C:\WINDOWS\System32\ramtmb.dll infected by "Trojan-Spy.Win32.Agent.aiu" Virus! Action Taken: No Action Taken.
File C:\WINDOWS\System32\ramtmb.dll infected by "Trojan-Spy.Win32.Agent.aiu" Virus! Action Taken: No Action Taken.
File C:\WINDOWS\system32\ramtmb.dll infected by "Trojan-Spy.Win32.Agent.aiu" Virus! Action Taken: No Action Taken.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\DOKUME~1\***\LOKALE~1\Temp\NERO13349\Toolbar.exe tagged as "not-a-virus:AdTool.Win32.MyWebSearch.bm". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{8F8AED01-B058-4DE8-9F8C-F33505E7DCC7}\RP35\A0008254.exe tagged as "not-a-virus:RiskTool.Win32.HideWindows". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{8F8AED01-B058-4DE8-9F8C-F33505E7DCC7}\RP35\A0008309.exe/nc.exe tagged as "not-a-virus:RemoteAdmin.Win32.NetCat". No Action Taken.
File C:\System Volume Information\_restore{8F8AED01-B058-4DE8-9F8C-F33505E7DCC7}\RP35\A0008310.exe tagged as "not-a-virus:RemoteAdmin.Win32.NetCat". No Action Taken.
File C:\System Volume Information\_restore{8F8AED01-B058-4DE8-9F8C-F33505E7DCC7}\RP35\A0008312.exe tagged as "not-a-virus:RemoteAdmin.Win32.NetCat". No Action Taken.
File C:\System Volume Information\_restore{8F8AED01-B058-4DE8-9F8C-F33505E7DCC7}\RP35\A0008314.exe tagged as "not-a-virus:RemoteAdmin.Win32.NetCat". No Action Taken.
File C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\NERO13349\Toolbar.exe tagged as "not-a-virus:AdTool.Win32.MyWebSearch.bm". Action Taken: No Action Taken.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\nero13349\toolbar.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\DOKUME~1\***\LOKALE~1\Temp\NERO13349\Cab\E2B8B375.cab not Scanned. Possibly password protected...
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\NERO13349\Cab\E2B8B375.cab not Scanned. Possibly password protected...
C:\Programme\Nero\Nero 7\Nero Mobile\SetupNeroMobile.exe not Scanned. Possibly password protected...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Total Critical Objects: 12
Total Disinfected Objects: 0
Total Objects Renamed: 0
Total Deleted Objects: 0
Total Errors: 78
Time Elapsed: 00:58:26
Total Objects Scanned: 77671
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Memory Check: Enabled
Registry Check: Enabled
System Folder Check: Enabled
System Area Check: Disabled
Services Check: Enabled
Drive Check: Enabled
All Drive Check isabled
All Drive Check isabled

Batchstart: 19:58:15,03
Batchende: 19:58:19,68

Halli hallo.

Dein System ist total veraltet und d.h. ein gefundenes Fressen für jegliche Malware. Meine Empfehlung ist es den Rechner neuaufzusetzten und ordentlich abzusichern! Eine Anleitung findest du in meiner Signatur.

Die unsichhere Variante wäre es den Trojaner zu entfernen. Dadurch wird aber kein vertrauenswürdiges System mehr hergestellt!!

Wenn du eine Bereinigung versuchen möchtst dann update dein System als aller erstes auf das Service Pack 2 (SP2) und alle Sicherheitsupdates! Update ebenfalls den I-Net-Explorer.

Danach melde dich mit frischem HijackThis log.

Ich bin mir durchaus im klaren darüber, dass ich nicht SP2 benutze und dadurch ein eventuell leichteres Ziel für Malware etc. bin. Dennoch habe ich in den letzten Jahren nie mit SP2 "gearbeitet" und bisher keine derartigen Probleme gehabt.

Außerdem glaube ich nicht, dass ein Neuaufsetzen des Systems o.ä. die richtige Lösung wegen ein paar Popups ist. Mag dreist klingen, aber ist nunmal meine Meinung. In den anderen Themen zu diesem oder ähnlichen Problemen wurde auch nicht direkt herumgenölt, weil SP1 genutzt wurde, sondern eher versucht Tipps zu geben.

Für ungepachte Systeme wird in diesem Forum KEIN Support geleistet. Und wenn ein Spyware Trojaner kein Grund für dich ist neuaufzusetzten dann weiss ich auch nicht weiter. Eine Bereinigung biete ich dir an aber nur wenn du dein System updatest. Ein Rechner im Internet wird heut zu Tage ca. alle 37 Sekunden angegriffen. Bei deinem System sind sooooooo viele Sicherheitslücken vorhanden, dass du dich auch gleich auf irgendeiner Hacker Seite als Versuchskaninchen melden könntest.

Anstatt mich irgendwie als Veruschskaninchen zu melden habe ich weiter gesucht und bin dabei auf folgende Lösung gestoßen, die in meinem Fall funktioniert hat. Da dieses Topic beim Suchbegriff "SecurePCCLeaner" für deutschsprachige Googlenutzer schon auf Platz 3 landet, dürfte es durchaus sinnvoll sein diese Lösung hier zu posten...

*Download SDFix and save it to your Desktop.

*Double click SDFix.exe and it will extract the files to %systemdrive%
(Drive that contains the Windows Directory, typically C:\SDFix)

*Reboot into Safe Mode: ( without networking support !)
To get into the Windows Safe Mode, restart your computer and, just before Windows starts to load, tap the F8 key a few times.
Choose Safe Mode from the menu that will appear and press Enter.

• Open the extracted SDFix folder and double click RunThis.bat to start the script.
• Type Y to begin the cleanup process.
• It will remove any Trojan Services and Registry Entries that it finds then prompt you to press any key to Reboot.
• Press any Key and it will restart the PC.
• When the PC restarts the Fixtool will run again and complete the removal process then display Finished, press any key to end the script and load your desktop icons.
• Once the desktop icons load the SDFix report will open on screen and also save into the SDFix folder as Report.txt
  (Report.txt will also be copied to Clipboard ready for posting back on the forum).
• Finally paste the contents of the Report.txt back on the forum with a new HijackThis log

In meinem Falle sah die Report.txt dann wie folgt aus:

Code: Alles auswählenAufklappen

ATTFilter

SDFix: Version 1.113

Run by dan on 02.11.2007 at 20:03

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services: 

Name:
runtime
runtime2

ImagePath:
\??\C:\WINDOWS\System32\drivers\runtime.sys 
\??\C:\WINDOWS\System32\drivers\runtime2.sys 

runtime - Deleted
runtime2 - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files: 

Trojan Files Found:

C:\WINDOWS\regedit.com  - Deleted
C:\WINDOWS\system32\9_exception.nls  - Deleted
C:\WINDOWS\system32\adult.txt  - Deleted
C:\WINDOWS\system32\finance.txt  - Deleted
C:\WINDOWS\system32\lt.res  - Deleted
C:\WINDOWS\system32\other.txt  - Deleted
C:\WINDOWS\system32\pharma.txt  - Deleted
C:\WINDOWS\system32\ramtmb.dll  - Deleted
C:\WINDOWS\system32\sft.res  - Deleted



Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found. 

C:\WINDOWS\system32
No streams found. 

C:\WINDOWS\system32\svchost.exe
No streams found.
 
C:\WINDOWS\system32\ntoskrnl.exe
No streams found.
 


                                 Final Check:

catchme 0.3.1253 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-02 20:03:02
Windows 5.1.2600 Service Pack 1 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services:
------------------



Authorized Application Key Export:

Remaining Files:
---------------

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes:


Finished!
         

Quelle (Hervorhebungen von mir)