ErrorSafe/Winfixer

[Ruby]

ErrorSafe, so nennt sich jene unerwünschte Software, die sich seit November 2005 selbst auf den Rechnern installiert. Der neue Winfixer Clone, ein Programm das viel verspricht und den potentiellen Kunden zwingt, es zu kaufen, wenn er es denn wieder los werden will.

'Professionelle System Optimierung, Schutz und Wiederherstellung in einer Suite', nennt man das bei ErrorSafe. Eine Methode, die sich auszuzahlen scheint, fallen doch immer wieder genervte User auf diesen Trick rein. Allen gemeinsam ist der Ärger über Popups und geänderte Startseiten-Einträge.

Doch das ist nicht alles, was dieses Programm anzubieten hat: es kann Kommunikations Ports öffnen, polymorphe Techniken verwenden, Rootkits auf das System setzen, um Dritten einen Zugang zu ermöglichen.

Quellangaben/Sources:

AntiSpywareOffensief.nl, PChelper.nl, Research.Sunbelt-Software:

Potentially Unwanted Software
Advice: Remove

Threat risk: High Risk
High risk threats typically are remotely exploitable vulnerabilities, which can compromise a system. Successful exploitation doesn't require the user's interaction. It may open up communication ports, use polymorphic tactics, stealth installations, and/or anti-spy counter measures.

Description: ErrorSafe is known to be installed through inappropriate bundling, without the user's consent. It's a software that scans the system for damaged files and attempts to fix it if the user pays a fee. A clone of Winfixer.

Mehr zum Thema/Look for more information: Research.Sunbelt-Software.com.

[Ruby]

ErrorSafe - Nachforschung

Dateien

Folgende Files werden erstellt:

- ERS.EXE
- ERRORSAFESCANNERINSTALL.EXE
- ERRORSAFESCANNERINSTALL_NL.EXE
- UERSM_0001_N56M1511NETINSTALLER.EXE

als NetInstaller von ErrorSafe

Folgende Prozesse laufen nach der Installation:

setup.exe
df_kme.exe
ers.exe
sr.exe
~errorsafescannersetup.exe

Diese Files können im HijackThis Logfile anzutreffen sein:

- C:\Program Files\ErrorSafe\ers.exe
- O4 - HKLM\..\Run: [ErrorSafe] C:\Program Files\ErrorSafe\ers.exe /scan

Einträge unter 02 und 020.

In den TIF:

Temporary Internet Files/Content.IE5K54DINKL\ErrorSafeScannerInstall[1].cab

Zuordnung und Ansicht

Zusammenfassung von ERRORSAFESCANNERINSTALL.EXE
Trojan.ErrorSafe.Process
Kategorie: TROJANER
Anschauungs-Objekt: "WinFixer" (AKA "ErrorSafe") Should Be Called "WinTrixer"

Entfernungshinweise

1.VundoFix-Methode
ErrorSafe ist eine Variante des Virtumonde (Vundo) Hijacker. Es gibt vor, ein Programm zu sein, das dabei hilft Windows Probleme zu lösen, spielt aber in Wirklichkeit falsche Informationen ein, damit man das Programm kauft. Dieser Trojaner kann entsprechend der VundoFix-Methode entfernt werden: => Methode 2 oder 7

ErrorSafe is a variant of the Virtumonde (Vundo) hijacker. It pretends to be a program that will help you fix windows problems, but really it reports false information to try to get you to purchase the program. It is a SCAM. This nasty trojan can be removed by following these steps: ErrorSafe Removal and/or WinFixer Removal

2. Mit Ewido im abgesicherten Modus

C:\WINDOWS\Downloaded Program Files\UERSNetInstaller.exe -> Not-A-Virus.Downloader.Agent.d : Cleaned with backup
C:\WINDOWS\Downloaded Program Files\UERS_0001_NI531020NetInstaller.exe -> Not-A-Virus.Downloader.Agent.f : Cleaned with backup

C:\Documents and Settings\Name\Local Settings\Temp\ICD11.tmp\UERS_0001_NI531020NetInstaller.exe -> Not-A-Virus.Downloader.Agent.f : Cleaned with backup
C:\Documents and Settings\Name\Local Settings\Temp\ICD13.tmp\UERS_0001_NI531020NetInstaller.exe -> Not-A-Virus.Downloader.Agent.f : Cleaned with backup
C:\Documents and Settings\Name\Local Settings\Temp\ICD3.tmp\UERSNetInstaller.exe -> Not-A-Virus.Downloader.Agent.d : Cleaned with backup
C:\Documents and Settings\Name\Local Settings\Temp\ICD4.tmp\UERSNetInstaller.exe -> Not-A-Virus.Downloader.Agent.d : Cleaned with backup

3. Mit Spybot Search & Destroy mit geupdateten Signaturen SpybotUpdates.com (2006-01-06) im abgesicherten Modus:

Hijacker
+ CoolWWWSearch.Feat2Installer + CoolWWWSearch.Service + CoolWWWSearch.Feat2DLL
Keylogger
+ Perfect Keylogger
Malware
+ ErrorSafe + Smitfraud-C. + SpyAxe + SpyTrooper + E2Give + Pacimedia + Deskwizz + DyFuCA.InternetOptimizer + MaxSearch + ConsumerAlertSystem + BookedSpace + WinFixer2005 + Zeno
PUPS
+ MalwareWipe
Spyware
+ 180Solutions.SearchAssistant + 180Solutions.SearchAssistant.Boomerang + 180Solutions.MediaGatewayX
Trojan
+ Adult Box
Total: 297652 fingerprints in 34771 rules for 1779 products.

Quell-Angaben:

Prozesse entnommen von
Research.Sunbelt-Software
Quelle der Temporary Internet Files:
Computing.net
Zuordung als Trojaner:
superadblocker.com und Fileresearchcenter.com
HJT-Logfile-Einträge:
spywareinfo.com
Anschauungs-Objekt:
exisle.net
Ewido Logfile:
spywareinfo.com und spywareinfo.com

[Ruby]

ErrorSafe ist (laut Quellangaben, weiter unten aufgeführt als "andere Seiten") ein manuell installiertes Sicherheitsrisiko, das übertriebene Berichte zu angeblicher Malware auf dem System abspielt. Das Programm nötigt den User zum Kauf, um die angeblich vorhandene Malware vom System zu entfernen. Mit Abschluss des Lizens Vertrags von ErrorSafe tritt der Käufer die Rechte, Programme zu installieren und zu deinstallieren an ErrorSafe ab. ErrorSafe erstattet keinerlei Schadenersatz für entstandene Schäden, weder an nicht mehr funktionierenden Programmen noch am System (sicher lesen: License Agreement/Lizens Vertrag).

Hinweise zur manuellen Entfernung unter:

Adware Solutions (de-en)

***

Weitere Information zur Familie ErrorSafe/Winfixer

a) bei uns im Forum:
WinAntiVirus Pro 2006 (Sicherheits-News); Malware Guide (Hilfe, Tipps & Tricks);

b) andere Seiten:
SCUMWARE SCAM ALERT; Symantec; eTrust; Forums.spybot.info; Spyware Warrior List (Die Rote Spyware Warrior Liste);

CastleCops: ErrorSafe’ ähnelt der Original Microsoft Website, ganz in Blau gehalten. MicroWorld (eScan) ist auch bereits auf dieses Programm aufmerksam geworden und kann es entfernen - eine gute Neuigkeit.

Laut einer neuen niederländischen Virus-Informations-Website, die ich seit einiger Zeit mit Interesse beobachte, verfügt die Malware ErrorSafe/Winfixer auch über die Fähigkeit das Mail-Adress-Verzeichnis zu inspizieren und Massenmails zu versenden: Virusinfo.Prevx.com.
Prevx bietet ein Removal Tool gegen diese Malware an: Prevx (-> Deutsche Anleitung).

Zusätzlich zu den an anderer Stelle bereits genannten Hinweisen zur Entfernung dieser Malware vom System:

Help2Go empfiehlt die abgebildeten Programme, insbesondere eine geupdatete Version von
Spybot Search & Destroy (den Tea Timer nicht verwenden, während der Reinigung).

Weitere Berichte:

WinAntiVirus Pro 2006
SysProtect - Remove it