WebSpyShield, ein weiteres Rogue Programm, stellt sich als Spyware Remover vor. Das Programmm zeigt überzogene Fehlermeldungen an und schlägt vor, dass man die Vollversion des Programmes kauft, um diese Fehlermeldungen zu beheben. Es installiert eine Toolbar und einen webspyshield Ordner mit einer ausführbaren Datei. Um die exe Datei ausführen zu können, muss man mit dem Internet verbunden sein. Ein weiteres Spam Programm...
Castlecops:
GUID: {E4988DE7-C5DB-4173-96F9-AAC426AF7BCE}
Filename: WebSpyShield.dll
Object Name: WebSpyShield
Status: X TB
Description: WebSpyShield - rogue "security software" using false positives as goad to purchase.
Symantec übersetzt:
Im Umlauf seit: 11 Oktober 2007 1:13:28 PM
Typ: Anderes
Name: Web Spy Shield
Version: 1.0.0.1
Herausgeber: Sawert Alliance
Risiko Impact: Medium
Betroffene Systeme:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
Art der Ausführung:
Das Programm muss manuell installiert werden.
Das Programm berichtet über Sicherheits Probleme, wie gefährliche Würmer und Trojaner u.a.m. auf dem Rechner und fordert den User auf, die Vollversion zu kaufen, um diese Probleme zu beheben.
Lies dazu Symantec:
Wenn das Programm auf dem Rechner installiert wird, erstellt es folgend Einträge:
* %UserProfile%\Local Settings\Temp\[RANDOM NAME].tmp
* %UserProfile%\Start Menu\Programs\WebSpyShield\
* %UserProfile%\Start Menu\Programs\WebSpyShield\Uninstall.lnk
* %UserProfile%\Start Menu\Programs\WebSpyShield\WebSpyShield.lnk
* %Programme%\WebSpyShield\
* %Programme%\WebSpyShield\Uninstall.exe
* %Programme%\WebSpyShield\WebSpyShield.dll
* %Programme%\WebSpyShield\WebSpyShield.exe
* %Windir%\system32\netsupp.dll
Als nächstes erstellt es die folgenden Einträge in der Registrierung, um bei jedem Systemstart mitaufgestartet zu werden:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run\"WebSpyShield" = "%Program Files%\WebSpyShield\WebSpyShield.exe"
Es erstellt folgende Unterschlüssel in der Registrierung:
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\WebSpyShield.EXE
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{331BB5FE-6A91-45F8-AE63-33D910E1A0B0}
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2F12EBBC-8CF2-464E-9F13-CB58705D4824}
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DC87418B-0B2C-424E-900D-54F2ECE15B6B}
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E4988DE7-C5DB-4173-96F9-AAC426AF7BCE}
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{72A7BE89-C627-4A6C-BBE4-AB171C51BEAC}
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B16D65AB-EBAF-4DCD-BD17-EEC7C5DE790C}
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{EA5D3C85-6C7A-42F3-974B-216442137576}
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{34476BD7-3292-4A2B-A7C3-895169DCF6E7}
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{6389830B-ADD6-4BF7-8D38-F292E92C66B1}
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WebSpyShield.Application
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WebSpyShield.Application .1
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\Browser Helper Objects\{DC87418B-0B2C-424E-900D-54F2ECE15B6B}
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Uninstall\WebSpyShield
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Ext\Stats\{DC87418B-0B2C-424E-900D-54F2ECE15B6B}
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Ext\Stats\{E4988DE7-C5DB-4173-96F9-AAC426AF7BCE}
* HKEY_CURRENT_USER\Software\WebSpyShield
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Toolb ar\{E4988DE7-C5DB-4173-96F9-AAC426AF7BCE}
Eine Internet Explorer Toolbar wird installiert, die das Programm anzeigt.
SunbeltBlog übersetzt:
In einem HijackThis Logfile finden sich folgende Einträge:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://webspyshield(dot)com/scan.html
O2 - BHO: WebSpyShieldToolBarShower - {DC87418B-0B2C-424E-900D-54F2ECE15B6B} - C:\Program Files\WebSpyShield\WebSpyShield.dll
O3 - Toolbar: WebSpyShield - {E4988DE7-C5DB-4173-96F9-AAC426AF7BCE} - C:\Program Files\WebSpyShield\WebSpyShield.dll
O4 - HKCU\..\Run: [WebSpyShield] C:\Program Files\WebSpyShield\WebSpyShield.exe
Das neue Fake Spyware Programm entführt die Internet Explorer Homepage.
CounterSpy übersetzt:
WebSpyShield entführt den Desktop des befallenen Rechners, spielt übertriebene und falsche Warnmeldungen ab über angebliche Trojaner-, Wurm- und Spywarefunde, um den User zu erschrecken und damit zum Kauf des Programmes zu bewegen.
Entfernungshinweise zur manuellen Reinigung:
Drucke diese Anleitung aus, da du im abgesicherten Modus arbeiten und somit keinen Zugang zum Netz haben wirst.
Schritt 1
Öffne den Windows Task Manager und beende den Prozess WebSpyShield.exe.
Schritt 2
Du kannst Registrar Registry Manager 5.50 Lite verwenden, um die Registry zu editieren.
Schritt 3
Du solltest ein Back-Up deiner Registry machen, bevor du sie editierst:
Dazu kannst du entweder einen neuen Systemwiederherstellungspunkt erstellen (Systemwiederherstellung) oder folgendermassen vorgehen:
START > ausführen > [schreib rein]REGEDIT >drücke OK
Nun öffnet sich der Registrierungseditor von (beispielsweise Windows XP) Windows
Wähle auf der linken Hälfte des Fensterchens den Satz "Mein Computer"
Wähle Datei exportieren
Gib der Datei einen deutlichen Namen, den du dir merken kannst
Wähle "speichern"
Nun wird die Registrierung kopiert und als .reg Datei am angegebenen Ort gespeichert.
Bitte den Namen der Datei nicht ändern.
Bewahre dieses Sicherungs Backup an einem sicheren Platz, am besten kopiert auf CD?DVD, einen Wechselträger.
Wenn etwas schiefgeht, kannst du das Backup einspielen und brauchst den Rechner nicht zu formatieren.
Übersetzung aus dem Flämischen, die bebilderte Anleitung befindet sich hier:
Backup van het Windows Register
Schritt 4
Entfernung von Einträgen aus der Registry
Öffne den Registry Editor.
Klicke Start >ausführen, schreib REGEDIT -> [enter]
Schritt 5
Navigiere zu und lösche diesen Schlüssel:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run\"WebSpyShield" = "%ProgramFiles%\WebSpyShield\WebSpyShield.exe"
Schritt 6
Navigiere zu und lösche folgende Unterschlüssel:
Code:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WebSpyShield
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DC87418B-0B2C-424E-900D-54F2ECE15B6B}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E4988DE7-C5DB-4173-96F9-AAC426AF7BCE}
HKEY_CURRENT_USER\Software\WebSpyShield
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Toolbar\{E4988DE7-C5DB-4173-96F9-AAC426AF7BCE}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"WebSpyShield" = "%Program Files%\WebSpyShield\WebSpyShield.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E4988DE7-C5DB-4173-96F9-AAC426AF7BCE}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{72A7BE89-C627-4A6C-BBE4-AB171C51BEAC}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B16D65AB-EBAF-4DCD-BD17-EEC7C5DE790C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{EA5D3C85-6C7A-42F3-974B-216442137576}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{34476BD7-3292-4A2B-A7C3-895169DCF6E7}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{6389830B-ADD6-4BF7-8D38-F292E92C66B1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WebSpyShield.Application
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WebSpyShield.Application.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DC87418B-0B2C-424E-900D-54F2ECE15B6B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\WebSpyShield.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{331BB5FE-6A91-45F8-AE63-33D910E1A0B0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2F12EBBC-8CF2-464E-9F13-CB58705D4824}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DC87418B-0B2C-424E-900D-54F2ECE15B6B}
Schliesse den Registry Editor.
Schritt 7
Nun musst du Dateien unregistern, bevor du sie löscht:
Lies dazu bitte diese bebilderte Anleitung: Malware dll's unregistern.
Unregistere folgende dll Dateien:
* %ProgramFiles%\WebSpyShield\WebSpyShield.dll
* %Windir%\system32\netsupp.dll
Schritt 8
Starte deinen Rechner in den abgesicherten Modus Tipps & Tricks -> TIPP 4. Bitte den Rechner vom Internet trennen.
(beachte dazu unseren Sicherheitshinweis!)
Schritt 9
Lösche folgende Dateien mit dem Windows Explorer:
* %UserProfile%\Start Menu\Programs\WebSpyShield\Uninstall.lnk
* %UserProfile%\Start Menu\Programs\WebSpyShield\WebSpyShield.lnk
* %Programme%\WebSpyShield\Uninstall.exe
* %Programme%\WebSpyShield\WebSpyShield.dll
* %Programme%\WebSpyShield\WebSpyShield.exe
* %Windir%\system32\netsupp.dll
Schritt 10
Lösche folgende Ordner mit dem Windows Explorer:
* %UserProfile%\Start Menu\Programs\WebSpyShield
* %ProgramFiles%\WebSpyShield
Du kannst alternativ HijackThis verwenden,
wenn sich die Dateien nicht mit dem Windows Explorer löschen lassen:
- Lass HijackThis laufen -> config -> misc tools --> delete a file on reboot,
- wähle die zu löschende Datei:
* %UserProfile%\Start Menu\Programs\WebSpyShield\
Uninstall.lnk
* %UserProfile%\Start Menu\Programs\WebSpyShield\
WebSpyShield.lnk
* %ProgramFiles%\WebSpyShield\
Uninstall.exe
* %ProgramFiles%\WebSpyShield\
WebSpyShield.dll
* %ProgramFiles%\WebSpyShield\
WebSpyShield.exe
* %Windir%\system32\
netsupp.dll
- beantworte auf die Frage zum Neustart nach Eingabe der letzten Datei mit JA
- Starte den Rechner neu auf.
Code:
Hinweis:
%WinDir%, %System%, %ProgramFiles% sind Variable (?). Normalerweise ist dies C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), oder C:\Windows\System32 (Windows XP) und der Programme-Ordner.
Schritt 11
Temporäre Dateien mit CCleaner bereinigen
Download CCleaner (Crap Cleaner) und installiere ihn, (klicke die Yahoo Toolbar weg!). Danach CCleaner starten und ? unter options settings ? german einstellen. Gehe auf den Button links oben "Cleaner", setze Häkchen unter Reiter "Windows" (alle außer "Eingabefeld Verlauf" und bei "Erweitert" nur ein Häkchen bei "Alte Prefetchdaten"). Wechsel zum Reiter "Anwendungen", dort alle Häkchen setzen außer bei "Gespeicherte Formular-Informationen". Starte nun den CCleaner, indem Du unten auf den Button "Analysieren" klickst. Wenn die Analyse fertig ist, klicke auf den Button "Starte CCleaner". Achte hier mal darauf, wieviele MB bei der Bereinigung entfernt wurden und teile uns das mit.
Bestimmte Cookies von der Bereinigung der temporären Dateien mit CCleaner ausschließen
Einstellungen ? Cookies ? Cookies, die Du behalten möchtest, mit dem Pfeilbutton in der Mitte nach rechts befördern. Auf diese Weise ist gesichert, dass wichtige Cookies bei der Bereinigung mit CCleaner nicht verloren gehen.
Registry mit CCleaner bereinigen
Gehe links auf den Button "Einstellungen" und kontrolliere, ob bei "Erweitert" ein Haken bei "Zeige Aufforderung für ein Backup der Registry" vorhanden ist, falls nicht, bitte anhaken. Zur Registry-Bereinigung klicke links auf "Probleme", setze alle Häkchen und starte die Suche unten mit dem Button "nach Fehlern suchen". Die gefundenen Fehler kannst Du durch den Button "Fehler beheben" entfernen lassen. Diesen Vorgang wiederholen, bis keine Fehler mehr gefunden werden. Teile uns hier mit, wie viele Fehler bereinigt wurden.
Anleitungen für CCleaner
Falls noch Fragen offen sind schaue Dir die Screenshots und die Quick-Tour an. Deutsche und bebilderte CCleaner-Anleitungen findest Du u. a. bei WinFuture oder bei CHIP Online.
Schritt 12
Scanne deinen Rechner mit einem Full System-Scan mit dem Panda Active Online-Scan.
1. klicke auf den "Scan your PC" button
2. klicke auf den "Check Now" button
3. Gib dein Land ein
4. Trage die Provinz ein
5. Gib deine email Adresse an und drücke auf senden
6. Wähle Home User (privat) oder Company (Firma)
7. Drücke nun auf den "Scan Now" button
8. Erlaube die Installation einer ActiveX Komponente
9. Warte geduldig bis der Download beendet ist
10. Klicke dann auf "Local Disks" um den Scan zu starten.
- Lass das Programm alles entfernen, was es findet.
- Der Scan kann ca 2-3 Stunden dauern.
- Speichere das Logfile.
- Sollte noch Spyware gefunden werden, die nicht mit Panda entfernt wird, melde dich bei uns im Forum.
- Starte deinen Rechner nach dem Scan neu auf.
Bitte die Sicherheitsvorkehrungen im Internet-Explorer heruntersetzen und ActiveX erlauben. Vergiss nicht, die Sicherheitseinstellungen nach dem Scan wieder hochzustellen.
Entfernungshinweise zur Programm Reinigung:
Betriebssysteme: Windows 2000 Pro SP3, Windows XP (32bit only), Windows Vista (32bit only)
Lade eine 15 Tage kostenlose Trialversion von CounterSpy V2 herunter (Deutsche Anleitung).
Update das Programm online.
Setze ein Häkchen in 'Save Options'.
Beende die Internet-Verbindung.
Starte deinen Rechner neu auf in den abgesicherten Modus (Anleitung).
Scanne deinen Rechner ('Full System') mit CounterSpy im abgesicherten Modus.
Stelle das Programm nach dem Scan so ein, dass es alles entfernt (-> Remove), was es gefunden hat.
Man kann nach dem Scan unter > Action (Default) wählen, was man mit der Malware machen will:
* Ignore
* Quarantine
*Remove
Wähle bei jeder einzelnen gefundenen Malware immer -> Remove.
Dann musst du noch auf den Button 'Take Action' klicken,
den du unten links im Bild siehst.
Wenn du das nicht machst, weiss CounterSpy nicht,
dass es eine Handlung vornehmen soll.
Wenn die Behandlung der Malware abgeschlossen ist, zeigt CounterSpy dir das Ergebnis des Scans.
Klicke auf 'View Details'.
Mit dem Klick auf 'View Details' bekommst du die 'Scan History Details' zu sehen.
In dem aufpoppenden Fensterchen 'Scan History Details' steht das Scan Ergebnis,
mit allen Details, was an Malware auf deinem Rechner gefunden und gelöscht worden ist.
Dieses Ergebnis kannst du kopieren, und als cslog1.txt in einem Textdokument im Ordner von CounterSpy speichern.
Dies ist das erste Logfile von CounterSpy, das wir im Forum unbedingt sehen müssen,
um zu erfahren, was auf deinem System gefunden und gelöscht wurde - wenn du bei uns um Rat nachfragen willst.
Starte den Rechner neu auf.
CounterSpy entfernt mit einem Durchgang immer nur einen Teil Malware aufeinmal vom System.- Windows XP: Deaktiviere die Systemwiederherstellung,
- boote den Rechner,
- aktiviere die Systemwiederherstellung.
- Vergib einen vorläufigen Systempunkt.
- Alle Systeme: Verwende nun wieder CounterSpy,
- mit den gleichen Einstellungen > Action (Default) > Remove > 'Take Action' nach dem Scan.
- 'View Details' > kopiere die 'Scan History Details' > speichere das Logfile und poste es.
- Mach das solange, bis CounterSpy nichts mehr findet.
- Boote den Rechner nach jedem Scan neu auf
- -> Zeige uns bitte alle CounterSpy Logfiles.
Solltest du einen Uninstaller benötigen, um das Programm zu deinstallieren:
Uninstall Cleaner 1.0
Führe im Anschluss daran die Anleitungen unter Schritt 11 und Schritt 12 der manuellen Anleitung auf deinem Rechner aus.
Anwender der Betriebssysteme Windows XP und ME bitte beachten:
Die Funktion, Systemwiederherstellung, die normalerweise auf "an" gestellt ist, ermöglicht eine Wiederherstellung des Systems im Falle, dass es beschädigt worden ist. Wenn ein Virus, Wurm oder Trojaner ein System infiziert, erstellt die Systemwiederherstellung ein Backup des Viruses, Wurms oder Trojaners auf dem Rechner und erstellt ihn neu. Folglich muss nach der Reinigung von Malware die Systemwiederherstellung im Wechsel deaktiviert und dann wieder aktiviert werden, dazwischen wird der Rechner neu gestartet. Zum Schluss muss die Systemwiederherstellung aktiviert, also angestellt sein.
Windows XP: bitte zur eigenen Sicherheit einen neuen Systempunkt erstellen.
=======================
Um Infektionen in Zukunft zu vermeiden, empfehlen wir die Lektüre unseres Beitrags
Tipps & Tricks #1 und #2.
