Windows Adstatus (Adware)

[Ruby]

ADW_ADSTAT.A

Entdeckungs Datum: 31. Jan. 2005
Beschreibung und Typ: Adware

Infizierte Systeme: Windows 95, 98, ME, NT, 2000 und XP.
User, die Windows XP und ME verwenden, müssen vor dem Bearbeiten ihrer Systeme die Systemwiederherstellung deaktivieren.

Diese Adware kommt wahrscheinlich aus Freeware-Paketen. Wenn diese zur Ausführung kommen, schaffen sie Windows Ordner AdStatus im Windows Verzeichnis der Programm Files. Sie "tropfen" folgende Files in ihre neu geschaffenen Ordner:

* Info.txt
* WinStat.exe
* WinStatComm.dll
* WinStatKeep.exe

Sie bilden folgende Registry-Einträge:

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\Run
Windows AdStatus = "C:\Program Files\Windows AdStatus\WinStat.exe"

HKEY_LOCAL_MACHINE\Software\
Windows AdStatus

HKEY_LOCAL_MACHINE\Software\Microsoft>Windows>CurrentVersion >Uninstall
Windows AdStatus

Lösung:

HINWEISE ZUR MANUELLEN ENTFERNUNG

Um das Greyware Programm vom System zu entfernen, verwendet man seine Uninstall Funktion:

1. Klicke Start>Systemsteuerung>Eingabeaufforderung.
2. Doppel-Klick auf Programme hinzufügen/entfernen.
3. In der Liste, wähle folgendes Programm:
Windows Adstatus
4. Klicke auf Wechseln/Entfernen.
5. Folge den Anweisungen, die nun erfolgen.
6. Schliesse das Fenster zum hinzufügen oder entfernen von Programmen.

Beendigung der Grayware Programme.

Diese Methode beendet laufende Grayware Prozesse. Dazu brauchst du jedoch die Namen der Files, die vorher entdeckt worden sind:

1. Öffne den Windows Task Manager.
» bei Windows 95, 98, und ME, drücke
CTRL+ALT+DELETE
» bei Windows NT, 2000, und XP, drücke
CTRL+SHIFT+ESC, klick dann auf die Prozesstaste.
2. Entnimm der Liste der Programme diejenigen Files, die vorher entdeckt worden sind.
3. Beende den Prozess im Task Manager.
4. Mach das mit jedem der entdeckten Grayware Files in der Liste der laufenden Prozesse.
5. Um herauszufinden, ob ein Grayware-Prozess beendet ist, schliesse den Task Manager und öffne ihn dann wieder..
6. Schliesse den Task Manager.

*Beachte: Auf Systemen unter Windows 95, 98, und ME, zeigt der Windows Task Manager möglicherweise bestimmte Prozesse nicht an. Man kann daher auch einen anderen Prozess Manager verwenden, wie zum Beispiel den Process Explorer, um die Grayware Prozesse zu beenden. Andernfalls mache weiter mit den folgenden Maßnahmen, beachte die zusätzlichen Hinweise.

Grayware Einträge aus der Registry entfernen:

Lade Registrar Lite runter und installiere es in einem eigenen Ordner (Einführung in Windows).

(Es wird empfohlen, ein BackUp der Registry anzulegen, bevor sie editiert wird. VORSICHT: dieses BackUp ist verseucht! Es dient nur als Sicherheit und sollte nach dem richtigen editieren der Registry vernichtet werden.)

Wende entweder Registrar Lite an oder editiere die Registry von Hand:

1. Öffne den Registry Editor. Klick Start>ausführen, schreibe REGEDIT, drücke dann Enter.

2. Auf der linken Seite, Doppelklick auf:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
3. Auf der rechten Seite, suche und lösche den Eintrag:
Windows AdStatus = "C:\Program Files\Windows AdStatus\WinStat.exe"
4. Auf der linken Seite, Doppelklick auf:
HKEY_LOCAL_MACHINE>Software>
5. Auf der rechten Seite, suche und lösche den Eintrag:
Windows AdStatus
6. Auf der linken Seite, Doppelklick auf:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Uninstall
7. Auf der rechten Seite, suche und lösche den Eintrag:
Windows AdStatus

8. Schliesse den Registry Editor.

Weitere Hinweise auf der Seite von TREND MICRO: DW_ADSTAT.A

English speaking Users, please have a look to the original Page of TREND MICRO

Übersetzung von/Translation of Ruby

[Ruby]

Adware.Begin2search

Infizierte Systeme:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

Verhalten:
Adware.Begin2search ist eine Internet Explorer Toolbar, die Pop-Up Seiten wiedergibt, wenn bestimmte URL's besucht worden sind.

Symptome:
Die Files werden als Adware.Begin2search bezeichnet.

Übertragung:
Diese Adware Componente wird manuell oder durch ein anderes Programm installiert.

Technische Details
File Namen: reg6523.exe; winb2s32.dll

Wenn Adware.Begin2search ausgeführt wird, zeigt es folgende Aktivitäten:

1. Es erstellt folgende Files:
* %System%\reg6523.exe
* %System%\winb2s32.dll
* %System%dsktrf.dll

Hinweis: %System% ist eine Variable die den jeweiligen systemabhängigen System Ordner beschreibt. So ist es bei C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), oder C:\Windows\System32 (Windows XP).

2. Es fügt 'values' an folgende Registry Sub Keys:

HKEY_CLASSES_ROOT\winb2s.dbi.1
HKEY_CLASSES_ROOT\winb2s.dbi
HKEY_CLASSES_ROOT\winb2s.iiittt.1
HKEY_CLASSES_ROOT\winb2s.iiittt
HKEY_CLASSES_ROOT\winb2s.momo.1
HKEY_CLASSES_ROOT\winb2s.momo
HKEY_CLASSES_ROOT\winb2s.ohb.1
HKEY_CLASSES_ROOT\winb2s.ohb
HKEY_CLASSES_ROOT\winb2s.amo.1
HKEY_CLASSES_ROOT\winb2s.amo
HKEY_CLASSES_ROOT\CLSID\{52FE5233-367C-4EFB-BDD7-0BE4D212C107}
HKEY_CLASSES_ROOT\CLSID\{07E9CDF4-20D2-46B1-B681-663968F527CE}
HKEY_CLASSES_ROOT\CLSID\{7C5E5671-7A1D-4AE8-91F0-496ADF2825F7}
HKEY_CLASSES_ROOT\CLSID\{4D568F0F-8AC9-40AB-88B7-415134C78777}
HKEY_CLASSES_ROOT\CLSID\{09C14745-90FD-42D1-9276-4924D7DBC274}

3. Es fügt eine Search Toolbar dem Internet Explorer zu.

4. Es spielt Pop-Ups ab.

5. Es kann auch folgenden 'value' anhängen:

"{52FE5233-367C-4EFB-BDD7-0BE4D212C107}" = "[no value]"

an diesen Registry Key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar

6. Es kann ausserdem folgene 'values' folgenden Registry Sub Keys anfügen:

HKEY_CLASSES_ROOT\TypeLib\{081DE2F6-927B-4AA9-88C1-F531C9387383}
HKEY_CLASSES_ROOT\Interface\{A797A41D-F9F0-4A32-B9B5-AF927CB5AE54}
HKEY_CLASSES_ROOT\Interface\{B12508AD-CA55-4238-8DB3-55808BA6915A}
HKEY_CLASSES_ROOT\Interface\{F912C325-5B26-4AD6-BF39-84370833E972}
HKEY_CLASSES_ROOT\Interface\{BF7CB2C3-55B6-44C1-9615-920D004C27F7}
HKEY_CLASSES_ROOT\Interface\{6FE4AADF-EDAC-4037-9164-0B60179A4F12}
HKEY_CLASSES_ROOT\Interface\{17973BD7-959C-4D8A-8B2F-AB200E20A75E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dsktrf.amo
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dsktrf.amo.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dsktrf.iiittt
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dsktrf.iiittt.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dsktrf.momo
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dsktrf.momo.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dsktrf.ohb
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dsktrf.ohb.1
HKEY_ALL_USERS\Software\_dsktptr
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6024FCD5-91FC-4DC7-8481-63EABD5051D8}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CB5B2BC6-F957-4D8A-BE67-83F3EC58BA01}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E4776F3A-6936-4A9C-B2DA-E57C239FD2F8}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FF81672F-13FF-401F-8662-6E895C564CC4}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\Browser Helper Objects\{CB5B2BC6-F957-4D8A-BE67-83F3EC58BA01}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\Browser Helper Objects\{4D568F0F-8AC9-40AB-88B7-415134C78777}
HKEY_CURRENT_USER\SOFTWARE\aaa_soft

----------------------

Um die Schlüssel aus der Registry zu enfernen, sollte man
Registrar Lite runterladen.

Wichtig: Symantec empfiehlt dringend ein Back-Up der Registry zu machen, bevor daran gearbeitet wird.


1. Klick Start > Run.
2. Schreibe regedit

Dann klick OK.

3. Navigiere zu und lösche folgende Schlüssel:

HKEY_CLASSES_ROOT\winb2s.dbi.1
HKEY_CLASSES_ROOT\winb2s.dbi
HKEY_CLASSES_ROOT\winb2s.iiittt.1
HKEY_CLASSES_ROOT\winb2s.iiittt
HKEY_CLASSES_ROOT\winb2s.momo.1
HKEY_CLASSES_ROOT\winb2s.momo
HKEY_CLASSES_ROOT\winb2s.ohb.1
HKEY_CLASSES_ROOT\winb2s.ohb
HKEY_CLASSES_ROOT\winb2s.amo.1
HKEY_CLASSES_ROOT\winb2s.amo
HKEY_CLASSES_ROOT\CLSID\{52FE5233-367C-4EFB-BDD7-0BE4D212C107}
HKEY_CLASSES_ROOT\CLSID\{07E9CDF4-20D2-46B1-B681-663968F527CE}
HKEY_CLASSES_ROOT\CLSID\{7C5E5671-7A1D-4AE8-91F0-496ADF2825F7}
HKEY_CLASSES_ROOT\CLSID\{4D568F0F-8AC9-40AB-88B7-415134C78777}
HKEY_CLASSES_ROOT\CLSID\{09C14745-90FD-42D1-9276-4924D7DBC274}
HKEY_CLASSES_ROOT\TypeLib\{081DE2F6-927B-4AA9-88C1-F531C9387383}
HKEY_CLASSES_ROOT\Interface\{A797A41D-F9F0-4A32-B9B5-AF927CB5AE54}
HKEY_CLASSES_ROOT\Interface\{B12508AD-CA55-4238-8DB3-55808BA6915A}
HKEY_CLASSES_ROOT\Interface\{F912C325-5B26-4AD6-BF39-84370833E972}
HKEY_CLASSES_ROOT\Interface\{BF7CB2C3-55B6-44C1-9615-920D004C27F7}
HKEY_CLASSES_ROOT\Interface\{6FE4AADF-EDAC-4037-9164-0B60179A4F12}
HKEY_CLASSES_ROOT\Interface\{17973BD7-959C-4D8A-8B2F-AB200E20A75E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dsktrf.amo
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dsktrf.amo.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dsktrf.iiittt
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dsktrf.iiittt.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dsktrf.momo
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dsktrf.momo.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dsktrf.ohb
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dsktrf.ohb.1
HKEY_ALL_USERS\Software\_dsktptr
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6024FCD5-91FC-4DC7-8481-63EABD5051D8}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CB5B2BC6-F957-4D8A-BE67-83F3EC58BA01}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E4776F3A-6936-4A9C-B2DA-E57C239FD2F8}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FF81672F-13FF-401F-8662-6E895C564CC4}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\Browser Helper Objects\{CB5B2BC6-F957-4D8A-BE67-83F3EC58BA01}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\Browser Helper Objects\{4D568F0F-8AC9-40AB-88B7-415134C78777}
HKEY_CURRENT_USER\SOFTWARE\aaa_soft

4. Lösche folgenden 'value':

"{52FE5233-367C-4EFB-BDD7-0BE4D212C107}" = "[no value]"

aus dem Registry Key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar

5. Schliesse den Registry Editor.


Mehr dazu: Symantec
Übersetzung von / Translation by Ruby