Doctorcleaner, was tun / was ist das ?

#1 Hallo,

ein Verwandter hat sich vermutlich auf Grund eines Nachrichtendienst Alerts das Programm Doctorcleaner installiert.
Ich habe nun auch kaum Ahnung vom Thema und kann mich da für ihn jetzt nicht total reinhängen, wollte aber mal hören, ob "Doctorcleaner" hier bekannt ist, z.B. als Dialer( Beweissicherung ).
Das beste für ihn ist dann doch wahrscheinlich die Neuinstallation des Systems, mit deinstallieren ist das doch sicher nicht getan, oder ? Da der Mann weitgehend "PC-Anfänger" ist, trau ich ihm weitere Prozeduren auch nicht recht zu.

Aber vielleicht hat hier ja schon jemand Erfahrung mit Doctorcleaner ?

LG

Starvanger

#2 starvanger

Doctor Cleaner

das ist eines der vielen Fakeprogramme, die es zur Zeit gibt...und die beim Download andere Malware (Trojaner) nachladen.
Man wird mit PopUps belaestigt , und soll das Tool kaufen, was man natuerlich auf keinen Fall tun sollte....denn das Geld ist dann verloren.
Wenn der User nicht viel von PCs versteht, sollte er formatieren.
oder ich schaue es mir an und wir entfernen das Fake-Tool

-----------

Zitat

Domain Name: DOCTORCLEANER.COM
Registrar: REGISTERFLY.COM, INC.
Whois Server: whois.registerfly.com
Referral URL: http://www.registerfly.com
Name Server: DNS1.NAME-SERVICES.COM
Name Server: DNS2.NAME-SERVICES.COM

Domain Name: DOCTORCLEANER.COM

Registrant Contact:
RegisterFly.com - Ref# 20862421
ProtectFly.com (axqb09582wczyq@protectfly.com)
P.O. Box 969
Margaretville
NY,12455
US

OrgName: ThePlanet.com Internet Services, Inc.
OrgID: TPCM
Address: 1333 North Stemmons Freeway
Address: Suite 110
City: Dallas
StateProv: TX
PostalCode: 75207
Country: US

ReferralServer: rwhois://rwhois.theplanet.com:4321

NetRange: 67.18.0.0 - 67.19.255.255
CIDR: 67.18.0.0/15
NetName: NETBLK-THEPLANET-BLK-11
NetHandle: NET-67-18-0-0-1
Parent: NET-67-0-0-0-0
NetType: Direct Allocation
NameServer: NS1.THEPLANET.COM
NameServer: NS2.THEPLANET.COM
Comment:
RegDate: 2004-03-15
Updated: 2004-07-29

RTechHandle: PP46-ARIN
RTechName: Pathos, Peter
RTechPhone: +1-214-782-7800
RTechEmail: admins@theplanet.com

OrgAbuseHandle: ABUSE271-ARIN
OrgAbuseName: Abuse
OrgAbusePhone: +1-214-782-7802
OrgAbuseEmail: abuse@theplanet.com

OrgNOCHandle: TECHN33-ARIN
OrgNOCName: Technical Support
OrgNOCPhone: +1-214-782-7800
OrgNOCEmail: admins@theplanet.com

OrgTechHandle: TECHN33-ARIN
OrgTechName: Technical Support
OrgTechPhone: +1-214-782-7800
OrgTechEmail: admins@theplanet.com

# ARIN WHOIS database, last updated 2006-05-14 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.

DNS records
name class type data time to live
doctorcleaner.com IN A 67.19.22.165 1800s (00:30:00)
doctorcleaner.com IN MX
preference: 10
exchange: mail.doctorcleaner.com
1800s (00:30:00)
doctorcleaner.com IN SOA
server: dns1.name-services.com
email: info.name-services.com
serial: 2002050701
refresh: 10001
retry: 1801
expire: 604801
minimum ttl: 181
1800s (00:30:00)
165.22.19.67.in-addr.arpa IN PTR a5.16.1343.static.theplanet.com 86400s (1.00:00:00)
Traceroute

Tracing route to doctorcleaner.com [67.19.22.165]...
hop rtt rtt rtt ip address fully qualified domain name
1 0 0 0 216.46.228.229 port-216-3073253-es128.devices.datareturn.com
2 0 0 0 64.29.192.145 port-64-1949841-zzt0prespect.devices.datareturn.com
3 54 0 0 64.29.192.226 daa.g921.ispb.datareturn.com
4 0 0 0 168.215.241.133 hagg-01-ae0-1001.dlfw.twtelecom.net
5 0 0 1 168.215.241.150
6 1 0 0 70.85.127.61 vl32.dsr01.dllstx3.theplanet.com
7 1 1 1 70.85.127.83 vl41.dsr01.dllstx4.theplanet.com
8 1 1 1 67.19.255.14 gi1-0-1.car04.dllstx4.theplanet.com
9 1 1 1 67.19.22.165 a5.16.1343.static.theplanet.com

Trace complete
Service scan

We are reconsidering whether to offer this feature. Do you use it often? If so, please read more.
FTP - 21 220 ProFTPD 1.2.9 Server (ProFTPD Default Installation) [hsck01]
SMTP - 25 220 silverdomains.com ESMTP Sendmail 8.12.11.20060308/8.12.11; Mon, 15 May 2006 04:33:05 -0500
HTTP - 80 HTTP/1.1 200 OK
Date: Mon, 15 May 2006 09:33:06 GMT
Server: Apache/2.0.46 (Red Hat)
X-Powered-By: PHP/4.3.4
Set-Cookie: sessioncookie=4aeea60c191cee3dd63a1b3ea2a91fee; expires=Mon, 15-May-2006 21:33:06 GMT; path=/
Expires: Mon, 26 Jul 1997 05:00:00 GMT
Last-Modified: Mon, 15 May 2006 09:33:06 GMT
Cache-Control: no-store, no-cache, must-revalidate
Cache-Control: post-check=0, pre-check=0
Pragma: no-cache
Connection: close
Content-Type: text/html; charset=windows-1251
POP3 - 110 +OK POP3 silverdomains.com v2003.83rh server ready
NNTP - 119 Error: ConnectionRefused

__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina,

herzlichen Dank für Deine Antwort, wäre schön, wenn Du Dir das mal anschauen könntest. Dann kann ich dem Mann sagen, was er sich eigentlich eingehandelt hat, ihn ev. beim entfernen unterstützen.

Ganz lieben Gruß

Starvanger

#4 mich wuerde das interessieren, denn es ist neu.....

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
Hijackthis -->
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo Sabina,

danke erstmal, ich biete meinem Verwandten das an und dann poste ich das. Weiß aber nicht genau, wann er mal rumkommt, ich bin auch am WE weg.

LG
Starvanger

#6 ich lasse den Thread geoeffnet
__________
MfG Sabina

rund um die PC-Sicherheit