WinAntiSpyware 2007, WinAntiVirusPRO 2007 (Remove it)

[Ruby]

Detaillierte bebilderte Beschreibung,
Nachforschungsarbeiten im Netz und Entfernungshinweise zu:

WinAntiSpyware 2007 Free, WinAntiVirusPRO 2007 und WinAntiSpyware 2007


Teil I
Detaillierte bebilderte Beschreibung

WinAntiSpyware, hier ein Bericht zu diesem Programm seitens des Sunbelt-Software Research Center, WinAntiVirus Pro, ein Bericht vom Sunbelt-Software Research Center, aus den Jahren 2005, 2006 und 2007, mit oder ohne dem Zusatz 'Free' sind alles Programme ein und des gleichen Herstellers: Winsoftware'

'Winsoftware' ist der Autor folgender Programme
(Software Such Ergebnisse nach "Winsoftware" beim Sunbelt-Software Research Center:)

Software Search Results
- You searched for: Winsoftware

Found: 8

DriveCleaner
ErrorSafe
SystemDoctor
WinAntiSpyware
WinAntiVirus Pro
WinFixer
WinSecureDisc
WinSoftware Corporation, Inc. (v)

Siehe dazu unsere Berichte in den Sicherheits-News
mit jeweils einem Vergleichsbericht des 'Sunbelt-Software Research Center'.

• DriveCleaner 2006 Free (Sunbelt-Software Research Center)
• ErrorSafe/Winfixer (Sunbelt-Software Research Center)
• WinAntiVirus Pro 2006 Removal (Sunbelt-Software Research Center)
• SysProtect - Remove it (Sunbelt-Software Research Center)
• SystemDoctor 2006 Removal (Sunbelt-Software Research Center)
• Sunbelt-Software Research Center: WinFixer,
• Sunbelt-Software Research Center: ScamFixer.CommonFiles

Anwender dieser Software koennen ihre Programme updaten, die neuen Versionen vom Jahre 2007 sind herausgekommen. Sie sind schon laenger auf dem Markt, das neue Jahr hat ja auch im Januar begonnen.

Ein Ausflug im Netz, vor dem ich jeden Anwender warne, zu einer der Downloadseiten der 'Winsoftware Versionen' des Jahres 2007, hat mir gezeigt, wie kompliziert es fuer den User sein kann, diese Programme nicht auf den Rechner zu bekommen, wenn man - normalerweise ungewollt - auf diese Seiten geraet. Lassen wir den Autor selbst zu Wort kommen, anhand von Screenshots auf der betreffenden Downloadseite, die ich nicht verlinke. Bei Interesse kann diese Website per PM angefordert werden.

Es beginnt harmlos. Eine Blog-Seite mit dem Titel 'Antivirus Protection Software', wehe dem, der sich fuer diese Software interessiert... ich verwende den Mozilla FireFox. Es ist nicht unmoeglich der Website zu entrinnen, ohne eines der Programme herunterzuladen. Man sollte allerdings wissen, worauf man klicken muss. Der Internet Explorer duerfte einem solchen Ausflug nicht gewachsen sein, noch dazu wenn ein ahnungsloser Anwender von Windows 2000 oder Windows XP im Administrator Account surft.

Eine Abbildung, die stark an ErrorSafe erinnert, finden wir nun auch bei der Winsoftware Ausgabe des Jahres 2007 wieder:

Die Aussage lautet uebersetzt:
Dein gegenwaertiger AntiVirus Schutz ist nicht effektiv.
Dein Computer koennte mit Spyware infiziert sein.

Effektive Werbung und Irrefuehrung des Users, nichts Neues.



WinAntiVirusPRO 2007
Antivirus, Firewall, Popup-Blocker, und AntiSpyware in einem

WinAntiSpyware 2007

7. NEW! Improved usability
8. NEW! New Graphic User Interface
9. NEW! Quick Scan Option
10. Complete E-mail Scan
11. Access to worldwide statistics
12. Updating WinAntiVirus Pro 2007

Das neue Interface fuer 2007.

Ausreichend informiert wollte ich die Website verlassen. Das brachte mir eine ganze Serie unterschiedlicher Warnungen ein: "Der Rechner koennte Fehler im Registrierungs- und Dateisystem haben. Es sei angeraten WinAntiVirus Pro zu installieren und den Rechner grafisch zu scannen." Nein, danke, kein Bedarf. Ein Klick auf das x oben rechts brachte mich zu einer bereits bekannten Unter-Website (Unser Bericht, Posting #6).

Von hier wegzukommen, ist garnicht so einfach. Man kann die Seite nicht dicht klicken. Was immer man tut, sie kommt wieder.

Ich habe zwar keine Erlaubnis dazu erteilt, ich wurde auch nicht danach gefragt, aber ich erfahre nun, dass WinAntiSpyware 2006 meinen Rechner gerade scannt. Ich soll WinAntiSpyware 2006 downloaden.

Ein Klick auf das x oben rechts fuehrt mich zu

Ein weiterer Klick auf das x oben rechts und ich erfahre, dass ich den Scan meines Rechners nicht beendet habe. Es koennte zu einem Verlust meiner Daten und zu System Crashs fuehren. Es wird dringend empfohlen, das Programm zu installieren und den Rechner damit kostenlos zu scannen.

Wieder ein Klick auf das x oben rechts:

Uebersetzung:
WinAntiSpyware 2006 will dein System nun auf Spyware untersuchen.

Druecke auf 'ausfuehren' oder 'oeffnen', wenn du bei der Installation danach gefragt wirst.

Die Datei ist digital und unabhaengig signifiziert, als 100% Viren, Adware und Spyware frei.

Der Klick auf das x oben rechts, zeigt eine neue Meldung:

"WinAntiVirus Pro wird dein System nun auf Fehler untersuchen.... "

Ich schaffe es, es gelingt mir die Seite zu schliessen.
Meine Systemreinigunsprogramme, der Benutzer-Account und der FireFox verhueten Schlimmeres (Tipps & Tricks).

>> Fortsetzung unter Posting #2 >>

[Ruby]

Detaillierte bebilderte Beschreibung,
Nachforschungsarbeiten im Netz und Entfernungshinweise zu:

WinAntiSpyware 2007 Free, WinAntiVirusPRO 2007 und WinAntiSpyware 2007


Teil II
Nachforschungsarbeiten im Netz

Search Microsoft.com for WinAntiVirusPRO 2007 Microsoft:

Winantivirus 2004-2007, Systemdoctor 2005-2007, Ultimate Defender 3 variants, all 3 also hijack your router!!!
Thread Starter: Invid Started: 07 Sep 2006 6:08 AM UTC

Windows Live OneCare Anti-Spyware - Archive - ein sehr interessanter Artikel fuer all jene, die Englisch sprechen. 'Winsoftware', die Windows den Kampf ansagt? 'Ultimate Defender' gehoert zu diesen Winsoftware Programmen dazu.

Win AntiVirus 2004- 2007, System Doctor 2005-2007, Ultimate Defender 3 different Variants, hijack your Router/Gateway portal by creating a named computer called Detective which cannot be removed unless you redo from a fresh navram base, they actually rewrite your router/gateway settings to allow a backdoor into your network, right through every firewall available, [..] all exploited by same bug in Windows OS, [..] winantiviruspro ate the OS 50x+, even with internet explorer 7, that got infected first shot right after a fresh install.... It seems they all hide in this regkey file: My Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\Curren tVersion\Run [..], they are all hidden files in the registry and dont show themselves til a certain word is typed,[..]

Die 3 verschiedenen Winsoftware Varianten entfuehren das Router/gateway Portal, erstellen einen Detektiv Computer, ueberschreiben die Router Gateway Einstellungen, um einem Backdoor das Eindringen ins Netzwerk zu ermoeglichen, sie tunneln jede Firewall. All diese Programme nutzen einen Bug im Windows Betriebssystem, sogar mit einem frisch installierten Internet Explorer 7. Sie alle scheinen sich in jenem Registry Schluessel zu verstecken: My Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\Curren tVersion\Run
Es handelt sich um verborgene Dateien, die sich solange nicht zeigen, bis ein bestimmtes Wort geschrieben wird[..]

Soweit dieser Beitrag von Invid (Microsoft) frei uebersetzt.

Haben wir eine Chance diese Programme von den Rechnern zu enfernen oder behalten jene Recht, die behaupten, dass Betriebssysteme, die von solchen Programmen befallen sind, formatiert werden muessen? Microsoft ist sich auch noch nicht darueber einig.

Search Microsoft.com for Winsoftware

Windows Live OneCare Anti-Spyware - Archive
trojanSPM/LX
Thread Starter: William Heller Started: 13 Oct 2006 7:56 PM UTC

Ein User, der 'Microsoft Onecare' únd den 'Windows Defender anwendet, kam beim surfen auf eine Website, die ein Programm herunter lud. Er konnte es mithilfe des Windows Waechter Programmes blockieren. Dennoch wurden verschiedene Webseiten eingespielt, mit der Aussage, ein "TROJAN SPM/LX" befaende sich auf dem Rechner und der User solle 'WINANTIVIRUS 2006 PRO' herunterladen. Der Windows Defender erkannte die "winsoftware.winantivirus", jedoch wurde der User von einer Malware Website zur naechsten geschickt.
(Vergleiche hierzu McAfee Siteadvisor). Der User moechte von Microsoft wissen, was er tun kann, um das Problem zu beseitigen.

Bevor man sich der Frage zu wendet, wie man sie entfernt, sollte man, meiner Ansicht wissen, welche Dateien zu dieser 'Winsoftware' gehoeren. Eine Ansicht, die nur wenige Helfer/Experten zu teilen scheinen, denn der allgemeine Trend im Netz ist, die Dateien von den Systemen zu entfernen, ohne dass man sich darum kuemmert, um was es sich handeln koennte. Auch fuer jene, die Rechner formatieren, ist diese Frage nicht von Bedeutung. Man sieht, dass gefaehrliche Malware Programme auf einem veralteten Betriebssystem vorhanden sind und laesst den Rechner formatieren, mitsamt all den, zum Teil noch immer, unbekannten, neuen Dateien. Die Hersteller der Malware freuen sich, sie koennen Wochen, Monate weiter Schaden anrichten, ihre Dateien bleiben unerkannt.

Ein sehr interessantes Beispiel ist dieser Thread am Trojaner Board mit Dateien, die moeglicherweise oder auch nicht zu der auf dem Rechner vorhandenen 'Winsoftware' gehoeren moegen:

Code:

Logfile of HijackThis v1.99.1
Scan saved at 18:00:13, on 28.02.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2600)
MSIE: Internet Explorer v6.00 SP4 (5.00.2585.0000) 

J:\WINNT\System32\ozqbalov.exe
J:\WINNT\System32\pscmain2.exe
J:\Programme\DriveCleaner 2006 Free\UDC2006.exe
J:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free\sdrmon.exe
J:\Programme\DriveCleaner 2006 Free\udc6cw.exe
J:\WINNT\System32\szsvc.exe
J:\Programme\Gemeinsame Dateien\WinAntiSpyware 2007 Free\uwasdc.exe
J:\Programme\Gemeinsame Dateien\WinAntiSpyware 2007 Free\uwasers.exe
J:\Programme\WinAntiSpyware 2007 Free\uwas7cw.exe
J:\Programme\SysProtect Free\usypcw.exe
J:\WINNT\System32\agldoc32.com
J:\Programme\WinAntiVirus Pro 2006\WinAV.exe
J:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006\uwa6pcw.exe

O4 - HKLM\..\Run: [ozqbalov.exe] J:\WINNT\System32\ozqbalov.exe
O4 - HKLM\..\Run: [PSCMain] J:\WINNT\System32\pscmain2.exe
O4 - HKLM\..\Run: [DriveCleaner 2006 Free] "J:\Programme\DriveCleaner 2006 Free\UDC2006.exe" /min
O4 - HKLM\..\Run: [SDR6U_Check] "J:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free\sdrmon.exe"
O4 - HKLM\..\Run: [udc6cw] "J:\Programme\DriveCleaner 2006 Free\udc6cw.exe" -c
O4 - HKLM\..\Run: [zSecurity Service] J:\WINNT\System32\szsvc.exe
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "J:\WINNT\System32\iwkfyosk.dll",setvm
O4 - HKLM\..\Run: [WinAntiSpyware 2007 Free] "J:\Programme\WinAntiSpyware 2007 Free\was7.exe" /min
O4 - HKLM\..\Run: [DC6_Check] "J:\Programme\Gemeinsame Dateien\WinAntiSpyware 2007 Free\uwasdc.exe"
O4 - HKLM\..\Run: [ERS_Check] "J:\Programme\Gemeinsame Dateien\WinAntiSpyware 2007 Free\uwasers.exe"
O4 - HKLM\..\Run: [uwas7cw] "J:\Programme\WinAntiSpyware 2007 Free\uwas7cw.exe" -c
O4 - HKLM\..\Run: [usypcw] "J:\Programme\SysProtect Free\usypcw.exe" -c
O4 - HKLM\..\Run: [Windows Service Com] agldoc32.com
O4 - HKLM\..\Run: [WinAntiVirusPro2006] "J:\Programme\WinAntiVirus Pro 2006\WinAV.exe" /min
O4 - HKLM\..\Run: [uwa6pcw] "J:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006\uwa6pcw.exe" -c
O4 - HKLM\..\RunServices: [Windows Service Com] agldoc32.com
O4 - HKCU\..\Run: [SysProtect] J:\Programme\SysProtect Free\USYP.exe /scan
O4 - HKCU\..\Run: [SysProtect Free] "J:\Programme\SysProtect Free\USYP.exe" /min
O4 - HKCU\..\Run: [Windows Service Com] agldoc32.com

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.93 85.255.112.14

WHOIS results for 85.255.112.14
Generated by www.DNSstuff.com

Location: Ukraine (high) [City: Kharkiv, Kharkivs'Ka Oblast']

% This is the RIPE Whois query server #2.
% The objects are in RPSL format.
%
% Note: the default output of the RIPE Whois server
% is changed. Your tools may need to be adjusted. See
% http://www.ripe.net/db/news/abuse-pr...-20050331.html
% for more details.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Information related to '85.255.112.0 - 85.255.127.255'

inetnum: 85.255.112.0 - 85.255.127.255
netname: inhoster
descr: Inhoster hosting company
descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine
remarks: -----------------------------------
remarks: Abuse notifications to: *****@inhoster.com
remarks: Network problems to: ***@inhoster.com
remarks: Peering requests to: *******@inhoster.com
remarks: -----------------------------------
country: UA
org: ORG-EST1-RIPE
admin-c: AK4026-RIPE

DNS Eintraege, gekidnapt zu einem ukrainischen Hoster, der dafuer sorgt, dass ein System mit Malware ausgestattet wird. (DNS-Tutorial)

Welche Dateien gehoeren zu welchem Programm?

WinAntiSpyware 2007 Free:

Programme\Gemeinsame Dateien\WinAntiSpyware 2007 Free\uwasdc.exe
Programme\Gemeinsame Dateien\WinAntiSpyware 2007 Free\uwasers.exe
Programme\WinAntiSpyware 2007 Free\uwas7cw.exe
O4 - HKLM\..\Run: [WinAntiSpyware 2007 Free] "Programme\WinAntiSpyware 2007 Free\was7.exe" /min
O4 - HKLM\..\Run: [DC6_Check] "Programme\Gemeinsame Dateien\WinAntiSpyware 2007 Free\uwasdc.exe"
O4 - HKLM\..\Run: [ERS_Check] "Programme\Gemeinsame Dateien\WinAntiSpyware 2007 Free\uwasers.exe"
O4 - HKLM\..\Run: [uwas7cw] "Programme\WinAntiSpyware 2007 Free\uwas7cw.exe" -c

Spywareinfo.com:

--------------------------------------------------------
AVG Anti-Spyware - Scan Report
---------------------------------------------------------

+ Created at: 6:32:18 PM 16/03/2007

+ Scan result:

C:\System Volume Information\_restore{BB948DE5-AACD-489E-82FE-E912B04BD19E}\RP259\A0023376.dll -> Adware.WinAntiSpyware : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{BB948DE5-AACD-489E-82FE-E912B04BD19E}\RP259\A0023377.exe -> Adware.WinAntiSpyware : Cleaned with backup (quarantined).

afterdawn.com:

C:\Program Files\WinAntiSpyware 2007 Free\uwasffNT.exe

Infos du Net.com:

O17 - HKLM\System\CCS\Services\Tcpip\..\{6E1A01BD-187B-40AF-9A43-D35F2C8EE930}: NameServer = 85.255.115.43,85.255.112.124
O17 - HKLM\System\CCS\Services\Tcpip\..\{AD2AF92C-BC3F-4E96-ADD2-4D8EF00F5E94}: NameServer = 85.255.115.43,85.255.112.124

und erfolgreich geloeschten unbekannten Dateien...

forum.telecharger.01net.com

C:\Program Files\Fichiers communs\WinAntiSpyware 2007 Free
und erfolgreich geloeschte unbekannte Dateien

virus-protect.org beschaeftigt sich auch mit dieser Frage:

Trojan.WinAntiSpyware/WinAntiVirus 2006/2007

Combofix
2007-01-30 19:10 DIR d--hs---- C:\WA7P
2007-01-30 19:10 DIR d-------- C:\DOCUME~1\User\Application Data\WinAntiVirus Pro 2007
2007-01-30 19:08 8,704 --a------ C:\WINDOWS\system32\SpOrder.dll
2007-01-30 19:08 DIR d-------- C:\Program Files\Common Files\WinAntiVirus Pro 2007
2007-01-30 19:02 87,248 --a------ C:\DOCUME~1\User\Application Data\winantiviruspro2007freeinstall[1].exe

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VSPF
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf_hk
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf

HKU\S-1-5-21-2025429265-2111687655-1708537768-1003\Software\WinAntiVirus Pro 2007

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedA ccess\Parameter s\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\WinAntiVirus Pro 2007\AVupd.exe"

C:\WINDOWS\system32\stera.job
C:\WINDOWS\system32\SpOrder.dll
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\winantiviruspro2007 freeinstall[1].exe
C:\WINDOWS\system32\drivers\vspf5.sys
C:\WINDOWS\system32\drivers\vspf_hk5.sys
C:\WA7P
C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2007\err.log
C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2007\uwa7pcw.exe
C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2007\WAPChk.dll
C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2007
C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten\WinAntiVirus Pro 2007\Logs\update.log
C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten\WinAntiVirus Pro 2007
C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten\WINANTIVIRUSPRO2007 FREEINSTALL[1].EXE
C:\Programme\Common Files\WinAntiVirus Pro 2007
C:\Programme\Common Files\Companion Wizard

Tomcoyote.org
'Winsoftware' ist bekannt dafuer, dass sie den Trojan Vundo mit sich fuehrt.
In diesem HijackThis Logfile findet man ausschliesslich den Trojan Vundo und eine unbekannte Datei, die erfolgreich geloescht werden konnte.

Sophos:
Troj/FakeVir-AA spielt Warnungen ein, sorgt fuer eine Sprechblase neben der Uhr und erstellt folgende Eintraege auf dem Desktop:

<Desktop>\PrivacyProtector.url
<Desktop>\SystemDoctor.url
<Desktop>\WinAntiSpyware 2007.url

Sie koennen gefahrlos geloescht werden.