DriveCleaner - Rogue Programm

DriveCleaner

- de.wikipedia.org
Die Infektion erfolgt in der Regel per Drive-by-Download, anschließend wird eine Meldung ausgegeben, der Computer sei infiziert. Oft imitiert Rogueware dabei eine Warnmeldung von Windows täuschend echt, wobei die Meldung allerdings häufig englischsprachig ist. Diese Meldung ist aber unabhängig von der Existenz eines Schadprogramms, wobei in den meisten Fällen von Spyware die Rede ist. Außerdem ist keine Datei angegeben, in der sich der angebliche Schädling verstecken soll. Mitunter hat die "kostenpflichtige Vollversion" keine oder aber sogar eine tatsächlich bösartige Funktion, Rogueware kann also ein Trojanisches Pferd im fachsprachlichen Sinn sein. Zudem kann der Inhalt der Internetseite eines solchen Programms fragwürdig sein. Rogue-Software wird in der Regel von seriösen Antivirenprogrammen erkannt.

HijackThis

O4 - HKLM\..\Run: [DriveCleaner 2006 Free] "C:\Programme\DriveCleaner 2006 Free\UDC2006.exe" /min
O4 - HKLM\..\Run: [SDR6U_Check] "C:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free\sdrmon.exe"

C:\Programme\DriveCleaner 2006 Free
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\DriveCleaner 2006 Free
C:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\DriveCleaner Free
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\DriveCleaner Free\Logs\update.log
C:\Dokumente und Einstellungen\%Username%\err.log
C:\Dokumente und Einstellungen\%Username%\ResErrors.log
C:\Programme\Gemeinsame Dateien\drivecleaner free
C:\Programme\Gemeinsame Dateien\drivecleaner free\udcwap.exe

Registry values to delete: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|DriveCleaner 2006 Free HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|SDR6U_Check registry keys to delete: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\UDC6U_is1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\UDC6_is1 HKEY_LOCAL_MACHINE\SOFTWARE\DriveCleaner 2006 Free HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SDR6U_Check HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{22024DC7-D190-44ec-9D49-AEE5F244A466} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2BF3C5AD-F9EC-49d8-8568-D7DFFC77108B} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7EC618F2-C506-4221-9F56-792B92BF762E} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AE84FF0C-BABD-4D91-92A1-AF75D2D02E6D} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C4C4786C-9861-46d2-BB63-AC782AB07046} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\UDCShell HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shellex\ContextMenuHandlers\UDCShell HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A22FBA1E-CAAF-4E45-8EFF-4A821AF03E69} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shellex\ContextMenuHandlers\UDCShell HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{0A89FF7F-1A12-42D9-ACCB-4217112DC7E0} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\UDCPChk.UDCPChk HKEY_LOCAL_MACHINE\SOFTWARE\Classes\UDCPChk.UDCPChk.1 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\UDCShell HKEY_CURRENT_USER\Software\UAV Files to delete: C:\Dokumente und Einstellungen\%UserName%\Desktop\DriveCleaner 2006 Free.lnk C:\Dokumente und Einstellungen\%UserName%\Eigene Dateien\Eigene Dokumente\WinAntiVirusPro2006FreeInstall_de.exe C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten\winantiviruspro2006freeinstall_de[1].exe C:\WINDOWS\system32\ClickToFindandFixErrors_Intl.ico Folders to delete: C:\Programme\DriveCleaner 2006 Free C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\DriveCleaner 2006 Free C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\DriveCleaner 2006 Free C:\Dokumente und Einstellungen\%Username%\Startmenü\Programme\DriveCleaner 2006 Free C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\WinAntiVirus Pro 2006 C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinAntiVirus Pro 2006 C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\NI.UWA6PU_0001_N91M2107 C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\NI.UWA6P_0001_N91M1807 C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\DriveCleaner Free C:\Programme\UAV

Malwarebytes

C:\Programme\UAV\uav.exe (Rogue.UltimateAntivirus)
C:\Programme\UAV\uav0.dat (Rogue.UltimateAntivirus)
C:\Programme\UAV\uav1.dat (Rogue.UltimateAntivirus)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\UDC6U_is1]
"Inno Setup: App Path"="C:\\Programme\\DriveCleaner 2006 Free"
"InstallLocation"="C:\\Programme\\DriveCleaner 2006 Free\\"
"Inno Setup: Icon Group"="DriveCleaner 2006 Free"
"DisplayName"="DriveCleaner 2006 Free 1.0.44.3"
"UninstallString"="\"C:\\Programme\\DriveCleaner 2006 Free\\unins000.exe\""
"QuietUninstallString"="\"C:\\Programme\\DriveCleaner 2006 Free\\unins000.exe\" /SILENT"

((((((((((((((((((((((((((((((( Files Created from 2006-11-28 to 2006-12-28 ))))))))))))))))))))))))))))))))))

C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\DriveCleaner 2006 Free

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NI.UWA6P_0001_N91M1807]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winantiviruspro2006freeinstall[1]"
"hkey"="HKLM"
"command"="\"C:\\dokumente und einstellungen\\User\\anwendungsdaten\\winantiviruspro2006freeinstall[1].exe\" -nag "
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NI.UWA6PU_0001_N91M2107]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="WinAntiVirusPro2006FreeInstall_de"
"hkey"="HKLM"
"command"="\"C:\\Dokumente und Einstellungen\\User\\Eigene Dateien\\Eigene Dokumente\\WinAntiVirusPro2006FreeInstall_de.exe\" -nag "
"inimapping"="0"

C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\NI.UWA6PU_0001_N91M2107
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\NI.UWA6P_0001_N91M1807

C:\Dokumente und Einstellungen\All Users\Start Menu\Programme\DriveCleaner 2006 Free
C:\Dokumente und Einstellungen\All Users\Start Menu\Programme\DriveCleaner 2006 Free\DriveCleaner 2006 HomePage.lnk
C:\Dokumente und Einstellungen\All Users\Start Menu\Programme\DriveCleaner 2006 Free\DriveCleaner 2006 Online Manual.lnk
C:\Dokumente und Einstellungen\All Users\Start Menu\Programme\DriveCleaner 2006 Free\DriveCleaner 2006.lnk
C:\Dokumente und Einstellungen\All Users\Start Menu\Programme\DriveCleaner 2006 Free\DriveCleaner Online Support.lnk
C:\Dokumente und Einstellungen\All Users\Start Menu\Programme\DriveCleaner 2006 Free\Uninstall DriveCleaner 2006.lnk

# %UserProfile%\Desktop\DriveCleaner 2006 Free.lnk
# C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\UDC6_0001_D10M2905
# C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\UDC6_0001_D10M2905\accepted.txt
# C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\UDC6_0001_D10M2905\installer.exe
# C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\UDC6_0001_D10M2905\size.dat

Hinweis: http://www.symantec.com

Verzeichnis von C:\Programme\DriveCleaner 2006 Free\Appbase

05.08.2004 15:38 1.127 AE_CD_Cr.dat
11.11.2005 20:49 1.135 AReadr4.dat
11.11.2005 20:49 1.180 AReadr5.dat
05.08.2004 15:38 1.112 ASDSEEpv.dat
05.08.2004 15:38 1.098 ASPack.dat
05.08.2004 15:38 1.108 Babylon.dat
05.08.2004 15:38 1.374 BDelphi5.dat
05.08.2004 15:38 1.076 CatchUp.dat
05.08.2004 15:38 1.202 CBuildr5.dat
05.08.2004 15:38 1.121 CCGA.dat
05.08.2004 15:38 1.124 CManager.dat
05.08.2004 15:38 1.147 CuteFTP4.dat
05.08.2004 15:38 1.103 CuteHTML.dat
05.08.2004 15:38 1.117 DAcceler.dat
05.08.2004 15:38 1.082 DiscJug.dat
05.08.2004 15:38 1.235 ECDCreat4.dat
05.08.2004 15:38 1.184 Far.dat
05.08.2004 15:38 22 FFTsks.dat
05.08.2004 15:38 1.066 FlashFXP.dat
05.08.2004 15:38 1.185 FrntPage.dat
05.08.2004 15:38 1.164 FrontPEx.dat
05.08.2004 15:38 1.115 FtpEXP.dat
05.08.2004 15:38 1.100 FtpVoya.dat
05.08.2004 15:38 1.189 GetRight.dat
05.08.2004 15:38 1.640 GoZilla.dat
05.08.2004 15:38 1.082 GravMRU.dat
05.08.2004 15:38 1.081 HomeSite.dat
05.08.2004 15:38 1.077 HotDogPr.dat
05.08.2004 15:38 1.099 H_TxtPad.dat
05.08.2004 15:38 1.169 IconExtr.dat
05.08.2004 15:38 1.092 iMesh.dat
05.08.2004 15:38 1.164 ImgReady3.dat
05.08.2004 15:38 1.118 InsShExp.dat
05.08.2004 15:38 1.113 JASC_P_P.dat
05.08.2004 15:38 1.105 KaZaA.dat
05.08.2004 15:38 1.082 LView.dat
05.08.2004 15:38 1.090 MacDir.dat
05.08.2004 15:38 1.125 MacDrWea.dat
05.08.2004 15:38 1.114 MicAng.dat
05.08.2004 15:38 1.090 MicDes.dat
05.08.2004 15:38 1.091 MMUnDisk.dat
05.08.2004 15:38 1.141 MM_CON.dat
05.08.2004 15:38 1.079 Morpheus.dat
05.08.2004 15:38 1.173 MPaint.dat
05.08.2004 15:38 1.108 MPicPub.dat
05.08.2004 15:38 1.113 MPImaGal.dat
07.03.2006 19:40 1.157 MSExplorer.dat
05.08.2004 15:38 2.814 MSoffice.dat
07.03.2006 19:44 1.179 MSRegEdit.dat
07.03.2006 19:38 1.193 MSWMP.dat
07.03.2006 19:40 1.180 MSWordPad.dat
05.08.2004 15:38 1.102 Nero.dat
11.11.2005 20:55 1.095 NetShow.dat
05.08.2004 15:38 1.078 NTBackup.dat
10.07.2006 11:44 77 pfilelst.xda
05.08.2004 15:38 1.197 PhotShel.dat
05.08.2004 15:38 1.086 PHPCoder.dat
05.08.2004 15:38 1.095 PowerZIP.dat
05.08.2004 15:38 1.131 RapidBr.dat
05.08.2004 15:38 1.126 RealAuPl.dat
05.08.2004 15:38 1.126 RealDown.dat
05.08.2004 15:38 1.135 SecurCRT.dat
05.08.2004 15:38 1.110 SL_BlWin.dat
05.08.2004 15:38 1.099 SmartClr.dat
05.08.2004 15:38 1.100 Sonique.dat
05.08.2004 15:38 1.106 StuffIt.dat
05.08.2004 15:38 1.120 TelepPro.dat
05.08.2004 15:38 1.143 UGifAnim.dat
05.08.2004 15:38 1.073 UltraEd.dat
05.08.2004 15:38 1.176 UMedStud.dat
05.08.2004 15:38 1.166 UPhImpV.dat
05.08.2004 15:38 1.222 UPhotoEx.dat
05.08.2004 15:38 1.146 UVidStud.dat
05.08.2004 15:38 1.061 VNC.dat
05.08.2004 15:38 1.119 WebFeret.dat
05.08.2004 15:38 1.084 WebReap.dat
05.08.2004 15:38 1.167 WinACE.dat
05.08.2004 15:38 1.111 WinGate.dat
05.08.2004 15:38 1.096 WinRAR.dat
05.08.2004 15:38 1.182 WinZIP.dat
05.08.2004 15:38 1.162 WiseInst.dat
11.07.2006 17:00 61 wordslst.xda
05.08.2004 15:38 1.097 YahooPl.dat
05.08.2004 15:38 1.097 ZipMagic.dat

Verzeichnis von C:\Programme\DriveCleaner 2006 Free\Download

30.08.2006 12:00 -DIR-

Verzeichnis von C:\Programme\DriveCleaner 2006 Free\img

27.05.2005 21:44 2.738 button.gif
27.05.2005 21:44 2.497 button2.gif
27.05.2005 21:44 3.915 header.gif
05.12.2005 16:19 3.605 logo.gif
27.05.2005 21:44 43 spacer.gif
27.05.2005 21:44 498 top1.jpg
27.05.2005 21:44 7.108 top2.jpg
27.05.2005 21:44 44 top_line.gif

Verzeichnis von C:\Programme\DriveCleaner 2006 Free\Appbase

10.07.2006 11:44 77 pfilelst.xda
05.08.2004 15:38 1.096 WinRAR.dat
05.08.2004 15:38 1.182 WinZIP.dat
11.07.2006 17:00 61 wordslst.xda

Domain Name: DRIVECLEANER.COM
Registrar: TUCOWS INC.
Whois Server: whois.opensrs.net
Referral URL: http://domainhelp.tucows.com
Name Server: NS1.DRIVECLEANER.COM
Name Server: NS2.DRIVECLEANER.COM

Technical Contact:
Tone, Ricardo Da rtone@drivecleaner.com
32 Maxwell Road #03-07
Whitehouse
Singapore, NA 069115
SG
+65 6725 8018



Network Whois record

Queried whois.arin.net with "204.16.207.250"...

OrgName: Neutral Data Centers Corp.
OrgID: NDCC-4
Address: 151 Front St Suite 800-C
City: Toronto
StateProv: ON
PostalCode: M5J-2N1
Country: CA

RTechHandle: SKH21-ARIN
RTechName: Khosla, Sameer
RTechPhone: +1-416-822-9639
RTechEmail: skhosla@snickers.org

HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\UDCShell
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\UDCShell {C4C4786C-9861-46d2-BB63-AC782AB07046}
HKEY_ALL_USERS\Software\DriveCleaner 2006 Free

C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\BJPL1HPM\ installdrivecleanerstart_de[1].cab

UDC6U_0001_D19M0709NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.m

anderer PC

C:\Programme\Gemeinsame Dateien\DriveCleaner Free\udcpas.exe
C:\Programme\Gemeinsame Dateien\DriveCleaner Free\udcsdr.exe
c:\programme\drivecleaner free\udcpchk.dll

anderer PC

Combofix

C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten\DriveCleaner 2006 Free
C:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free

2007-01-27 20:59 444,552 ---hs---- C:\WINDOWS\system32\oqtss.bak2
2007-02-14 21:48 568,217 ---hs---- C:\WINDOWS\system32\oqtss.ini2
2007-02-15 02:47 88,340 --a------ C:\WINDOWS\system32\kirybotl.exe
2007-02-15 02:37 88,340 --a------ C:\WINDOWS\system32\gfdqnqau.exe
2007-01-25 20:39 154,112 --a------ C:\WINDOWS\system32\irftp.exe
2007-01-25 20:34 1,060,864 --a------ C:\WINDOWS\system32\mfc71.dll
2007-01-25 20:28 444,552 ---hs---- C:\WINDOWS\system32\oqtss.bak1
2007-01-25 20:28 277,205 --------- C:\WINDOWS\system32\sstqo.dll
2007-01-25 20:48 DIR d-------- C:\Programme\PeDevice

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))

C:\WINDOWS\system32\unsvchosts.lzma
C:\Programme\Gemeinsame Dateien\{30165~1
C:\Programme\InetGet2
C:\Programme\Outerinfo
C:\Programme\VSAdd-in

~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~
Folders Quarantined:
C:\qoobox\purity\DOKUME~1\admin\Anwendungsdaten\CROSOF~1
C:\qoobox\purity\DOKUME~1\admin\Anwendungsdaten\from.txt
C:\qoobox\purity\Programme\MANTEC~1
C:\qoobox\purity\WINDOWS\CROSOF~1.NET

----------------

C:\WINDOWS\system32\ClickToFindandFixErrors_Intl.ico

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SDR6U_Check]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="sdrmon"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\DriveCleaner 2006 Free\\sdrmon.exe\""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoAddPrinter"=dword:00000000
"NoDeletePrinter"=dword:00000000
"ClearRecentDocsOnExit"=dword:00000000
"NoAutoUpdate"=dword:00000000
"NoPropertiesMyComputer"=dword:00000000
"NoPropertiesMyDocuments"=dword:00000000
"NoPropertiesRecycleBin"=dword:00000000
"NoSecurityTab"=dword:00000000
"NoSharedDocuments"=dword:00000000
"NoStartMenuMFUProgramsList"=dword:00000000
"NoStartMenuNetworkPlaces"=dword:00000000
"NoClose"=dword:00000000
"NoFileMenu"=dword:00000000
"NoRun"=dword:00000000
"NoSetFolders"=dword:00000000
"NoViewContextMenu"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"DisablePersonalDirChange"=dword:00000000
"DontShowSuperHidden"=dword:00000000
"NoActiveDesktopChanges"=dword:00000000
"NoRecentDocsHistory"=dword:00000000
"NoNetworkConnections"=dword:00000000
"NoManageMyComputerVerb"=dword:00000000
"NoHardwareTabVal"=dword:00000000
"NoFolderOptions"=dword:00000000
"NoFileURL"=dword:00000000
"NoFileFolderConnection"=dword:00000000
"NoCDBurning"=dword:00000000

C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\Startmenü\PROGRAMME\DRIVECLEANER 2006 FREE\DriveCleaner 2006 deinstallieren.lnk
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\Startmenü\PROGRAMME\DRIVECLEANER 2006 FREE\DriveCleaner 2006 Online Anleitung.lnk
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\Startmenü\PROGRAMME\DRIVECLEANER 2006 FREE\DriveCleaner 2006 Online Hilfe.lnk
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\Startmenü\PROGRAMME\DRIVECLEANER 2006 FREE\DriveCleaner 2006 Startseite.lnk
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\Startmenü\PROGRAMME\DRIVECLEANER 2006 FREE\DriveCleaner 2006.lnk
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\Startmenü\PROGRAMME\DRIVECLEANER 2006 FREE
C:\Dokumente und Einstellungen\Username\Desktop\DriveCleaner 2006 Free.lnk

registry keys to delete: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\UDC6U_is1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\UDC6_is1 HKEY_LOCAL_MACHINE\SOFTWARE\DriveCleaner 2006 Free HKEY_LOCAL_MACHINE\Software\Classes\UDCPCHK.UDCPCHK Files to delete: C:\Dokumente und Einstellungen\%Username%\Desktop\DriveCleaner 2006 Free.lnk Folders to delete: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\DriveCleaner 2006 Free C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten\DriveCleaner 2006 Free C:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free C:\Programme\DriveCleaner 2006 Free