Adware Solutions (de-en)

[Ruby]

DeluxeCommunications

Beschreibung

CastleCops: BHO/CLSID/Toolbar Deep Dive
GUID {A8BD6820-6ED7-423E-9558-2D1486B0FEEA}
Filename DxcBho.dll
Object Name (no name)
Status X SH
Description "Deluxe Communications", a SurfSideKick adware variant - siehe auch hier
und bei uns: SurfSideKick

Download eines anzuwendenden Tools:
FixDXC.reg

In einem HijackThis Log (Die O20 Einträge können unterschiedliche Nummern aufzeigen) siehst du:

R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - C:\Programme\DeluxeCommunications\DxcBho.dll
O4 - HKLM\..\Run: [DeluxeCommunications] C:\Programme\DeluxeCommunications\Dxc.exe
O4 - HKCU\..\Run: [DeluxeCommunications] C:\Programme\DeluxeCommunications\Dxc.exe
O20 - AppInit_DLLs: dxclib303562752.dll

In einem Combofix Logfile findest du die folgenden Einträge:

C:\WINDOWS\system32\dxclib303562752.dll
C:\Dokumente und Einstellungen\******\Anwendungsdaten\Dxcknwrd.dll
C:\Dokumente und Einstellungen\------\Anwendungsdaten\Dxcdmns.dll
C:\Dokumente und Einstellungen\------\Anwendungsdaten\Dxcknwrd.dll
C:\WINDOWS\system32\bkd.exe
C:\Programme\DeluxeCommunications\Dxc.exe
C:\Programme\DeluxeCommunications\DxcBho.dll
C:\Programme\DeluxeCommunications\DxcCore.dll

Entfernungs-Hinweise:

• 1. Drucke diese Anleitung aus.
  
• 2. Schliesse den Internet Explorer und halte ihn geschlossen, während dem gesamten Entfernungsprozess.
  
• 3. START > Systemsteuerung > ausführen
  
• 4. schreib rein: control > klicke auf OK
  
• 5. Doppelklick auf Programme hinzufügen/entfernen
  
• 6. Suche den folgenden Eintrag und mache einen Doppelklick darauf:

DeluxeCommunications

• Wenn du dieses Programm hier nicht findest, geh auf START > ausführen > schreib rein:

C:\Programme\DeluxeCommunications\Dxc.exe /u

• Drücke auf OK

• 7. Das DeluxeCommunications Deinstallations Programm wird sich nun öffnen und du wirst gebeten, einen Security Code einzugeben
  Gib den Security Code ein und klicke auf den OK Knopf.

DeluxCommunications Uninstall Security Code

• 8. Der Deinstallations Prozess wir dir nun erklären, dass alle Browser geschlossen sein müssen, wenn du weitermachen willst.
  Drücke auf Ja/Yes und lass die Deinstallation von DeluxeCommunications weiterlaufen, wie in der folgenden Abbildung zu sehen

Schliesse alle offenen Anwendungen, damit die Deinstallation von DeluxeCommunications weiterlaufen kann.

• 9. Wenn du dann gefragt wirst, ob du ein neuaufstarten des Rechners erlaubst, siehe folgende Abbildung, klicke auf Ja/Yes und lass den Rechner neu aufstarten (booten).

Boote den Rechner, um die Deinstallation von DeluxeCommunications zu vollenden.

• 10. Lade das FixDXC.reg unter folgendem Link herunter und speichere es in einem Notepad-Dokument unter 'Alle Datei Typen' auf deinem Desktop als FixDXC.reg.

FixDXC.reg Download Link

• 11. Wenn du die FixDCX.reg Datei heruntergeladen hast, mache einen Doppelklick auf diese Datei.
  Wenn du gefragt wirst, ob du erlaubst, dass die Information der Registrierung beigefügt werden soll, klicke auf den Ja/Yes Knopf, klicke dann auf den OK Knopf...

• 12. Suche dann bitte nach folgenden Dateien.
  Wenn sie noch vorhanden sind, findest du sie wahrscheinlich unter
  C:\Documente und Einstellungen\\Anwendungsdaten
  Wenn du diese Dateien findest, lösche sie mit dem Windows Explorer:

Dxcdmns.dll
Dxcknwrd.dll
Dxccwrd.dll

Vergiss nicht, den Papierkorb zu leeren.

START > ausführen (schreib rein): cleanmgr -> ok
Vergewissere dich, dass die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) geleert werden.
Klicke ok.

Nun wird dein Rechner nicht mehr länger mit DeluxeCommunications infiziert sein.

Es kann aber sein, dass es noch andere Spyware oder Malware auf deinem Rechner gibt. Wenn du der Ansicht bist, dass dies der Fall ist, erstelle ein HijackThis Logfile (Anleitung) und poste es im Forum für HijackThis Logfiles.

Quelle

Bei Windows XP und ME sollte noch darauf geachtet werden, dass die Systemwiederherstellung im Anschluss an die Reinigungsarbeiten zunächst deaktiviert, der Rechner gebootet, und die SWH dann wieder aktiviert wird. Es sollte nun ein neuer Systemwiederherstellungspunkt vergeben werden.

Diese Anleitung ist aus dem Englischen übersetzt und mit den dazugehörigen Abbildungen versehen, mit einem Dankeschön an Grinler bei Bleepingcomputer.com
Dieser Beitrag ist desweiteren ergänzt durch unsere eigenen Erfahrungen mit dem Programm DeluxeCommunications an unserem Forum.

[Ruby]

Toolbar888
Beschreibung und Entfernungshinweise

Information von folgenden Web Seiten:
a-squared , Beepingcomputer.com , Castlecops.com , Castlecops Deutsch , CounterSpy V2 , eAcceleration , Prevx1 , Sophos , SpywareGuide , Tenebril.com


Information zur Toolbar888

Überblick
Author/URL: maxsearch.com
Author URL: freeprod.com
Typ: Adware
Alias: Adware.MyToolbar, MaxiFiles, MaxSearch, Toolbar888, Adware.888bar, 888bar

Castlecops.com:

GUID {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F}
Filename ToolBar888.dll, TOOLBA~1.DLL
Object Name Toolbar888
Status X TB
Description Toolbar888 adware - also see here

• KEY: "X" - Certified spyware/foistware, or other malware

• Die Toolbar888 installiert sich zusammen mit anderen Ad- und Spyware Programmen.
• Fuegt eine IE Toolbar hinzu.
• Ist auch bekannt als Bundleware.Freeprod Toolbar oder FreeProd Toolbar.
• Installiert eine Internet Explorer Toolbar, die weitere Malware mit sich fuehrt: Emotion Smileys, Spiele etc.
• Die Toolbar888 sorgt fuer Werbung auf dem betroffenen Rechner.

Wie die Toolbar im Internet Explorer und die dazugehoerige Sidebar aussehen, zeigt uns SpywareGuide (bitte klicken)
mit folgenden Hinweisen zu den Eigenschaften der Toolbar888:

Properties:

• Driveby ActiveX Installation
• Autostarts/Stays Resident
• Changes browser
• Connects to the internet
• Force, hidden or stealth install
• Redirects searches

Beepingcomputer.com zeigt ein Video wie man unerwuenschte Programme deinstallieren kann:
How To Remove An Installed Program From Your Computer


Manuelle Entfernung der Toolbar888 vom System

• Methode 1:

emsisoft.de (a-squared Malware-Info) entnommen:

1. START > Systemsteuerung > Software.
2. Oeffne Programme hinzufuegen/entfernen.
3. Suche im Programmverzeichnis nach der Toolbar888
Klicke auf entfernen und entferne das Programm von deinem Rechner.
4. Starte den Rechner neu auf, um den Entfernungsprozess zu vervollstaendigen.

• Methode 2:

emsisoft.de (a-squared Malware-Info) entnommen:

1. Beende die Internet Verbindung, schliesse deinen/deine Web Browser.
2. Druecke auf Ctrl + Alt + Del um den Task Manager zu starten.
3. Waehle unter Prozesse 'freeprodtb.exe' > klicke auf 'Beende den Prozess', wiederhole den Schritt solange bis kein Prozess dieses Namens mehr laeuft.
4. DLLs unregistern:

C:\Program Files\Toolbar888\ToolBar888.dll

Um die DLL zu unregistern
START->Programme->Zubehoer->Eingabeaufforderung)

Waehle den DOS Befehl cd

Unregistere DLLs mit dem Befehl regsvr32 /u
regsvr32 /u DateiName mit dem vollen Dateipfad

5. START > ausfuehren, schreib rein REGEDIT > Ok
> oeffne damit den Registry Editor.

6. Loesche die Registrierungseintraege (*) der Toolbar888.
7. Entferne die Ordner C:\Programme\Toolbar888 und C:\Programme\Gemeinsame dateien\InetGet
8. Starte den Rechner neu auf
9. Oeffne den Internet Explorer > Wekzeuge > Internet Optionen > Programme > Wiederherstellung der Internet Einstellungen > Default

Die Informationen zu den Dateien und den Registrierungs-Eintraegen (Registry-Eintraegen),
die entfernt werden sollen, kann der Malware Beschreibung folgender Seiten entnommen werden:

• a-squared Free (http://www.emsisoft.de/de/malware/?Adware.Toolbar888),
• eAcceleration (http://research.eacceleration.com/th...?threat=106673) und
• Sunbelt-Software (http://research.sunbelt-software.com...hreatid=39860)

Hier die Sunbelt-Software Liste der Dateien
(ohne die Registry-Eintraege, die jedoch ebenfalls entfernt werden muessen):

Code:

%DESKTOPDIRECTORY%\ freeprodtb.exe
 	%DESKTOPDIRECTORY%\ mc-110-12-0000121.exe
 	%local_settings%\ temp\ b121.exe
 	%local_settings%\ temp\ b122.exe
 	%LOCAL_SETTINGS%\ temp\ freeprodtb.exe
 	%LOCAL_SETTINGS%\ temp\ mc-110-12-0000118.exe
 	%LOCAL_SETTINGS%\ temp\ mc-110-12-0000121.exe
 	%LOCAL_SETTINGS%\ temp\ mc-58-12-0000113.exe
 	%local_settings%\ temp\ nsi4.tmp\ services.dll
 	%local_settings%\ temp\ win10.tmp.exe
 	%local_settings%\ temp\ win12.tmp.exe
 	%local_settings%\ temp\ win1D.tmp.exe
 	%local_settings%\ temp\ win7.tmp.exe
 	%PROGRAM_FILES%\ Common Files\ {384EA8A0-0959-1033-0814-030001}\ 888Bar.dll
 	%PROGRAM_FILES%\ Common Files\ {384EA8A0-0959-1033-0814-030001}\ MyToolBar.dll
 	%program_files%\ common files\ {38a5d4ba-0647-2074-0216-06031401017d}\ update.exe
 	%program_files%\ common files\ {3C133044-067D-1033-0729-050001}\ Activate.exe
 	%program_files%\ common files\ {3C133044-067E-1033-0729-050001}\ Activate.exe
 	%program_files%\ common files\ {3C133044-0701-1033-0421-040001}\ Activate.exe
 	%program_files%\ common files\ {3C133044-0703-1033-0421-040001}\ Activate.exe
 	%program_files%\ common files\ {3C133044-08A2-1033-0729-0529050001}\ Bar888.dll
 	%program_files%\ common files\ {3C133044-08A3-1033-0729-0529050001}\ Bar888.dll
 	%PROGRAM_FILES%\ common files\ {a4f71067-0682-1028-0521-040422030376}\ mat32.exe
 	%PROGRAM_FILES%\ common files\ {a4f71067-0682-1028-0521-040422030376}\ ww32.exe
 	%program_files%\ common files\ {CC133044-067D-1033-0729-050001}\ services.dll
 	%program_files%\ common files\ {CC133044-067E-1033-0729-050001}\ system.dll
 	%program_files%\ common files\ {CC133044-067E-1033-0729-050001}\ Update.exe
 	%program_files%\ common files\ {CC133044-0701-1033-0421-040001}\ services.dll
 	%program_files%\ common files\ {CC133044-0701-1033-0421-040001}\ Update.exe
 	%program_files%\ common files\ {CC133044-08A2-1033-0729-0529050001}\ system.dll
 	%program_files%\ common files\ {CC133044-08A2-1033-0729-0529050001}\ Update.exe
 	%program_files%\ common files\ {CC133044-08A3-1033-0729-0529050001}\ system.dll
 	%program_files%\ common files\ {CC133044-08A3-1033-0729-0529050001}\ Update.exe
 	%program_files%\ common files\ {CC133044-08A4-1033-0729-0529050001}\ system.dll
 	%program_files%\ common files\ {CC133044-08A4-1033-0729-0529050001}\ Update.exe
 	%PROGRAM_FILES%\ common files\ {cc133044-0ae9-1033-0211-050001}\ services.dll
 	%PROGRAM_FILES%\ common files\ {cc133044-0ae9-1033-0211-050001}\ update.exe
 	%program_files%\ Common Files\ Download\ freeprod.exe
 	%PROGRAM_FILES%\ common files\ download\ freeprodtb.exe
 	%PROGRAM_FILES%\ common files\ download\ mc-110-12-0000121.exe
 	%program_files%\ common files\ download\ mc-110-12-0000228.exe
 	%PROGRAM_FILES%\ common files\ inetget\ mc-110-12-0000118.exe
 	%PROGRAM_FILES%\ common files\ inetget\ mc-110-12-0000121.exe
 	%PROGRAM_FILES%\ common files\ inetget\ mc-58-12-0000113.exe
 	%PROGRAM_FILES%\ common files\ inetget\ mc-58-12-0000158.exe
 	%PROGRAM_FILES%\ common files\ inetget2\ mc-58-12-0000158.exe
 	%PROGRAM_FILES%\ common files\ mc-58-12-0000093.exe
 	%PROGRAM_FILES%\ common files\ mc-62-602-0000061.exe
 	%PROGRAM_FILES%\ COMMON FILES\ Update.exe
 	%PROGRAM_FILES%\ common files\ windows\ mc-110-12-0000118.exe
 	%PROGRAM_FILES%\ common files\ windows\ mc-110-12-0000121.exe
 	%PROGRAM_FILES%\ freeprod toolbar\ freeprod.dll
 	%program_files%\ inetget2\ direct3.exe
 	%PROGRAM_FILES%\ inetget2\ mc-0-0-0.exe
 	%program_files%\ search1 toolbar\ searchone.dll
 	%program_files%\ search1 toolbar\ tbu02285\ searchone.dll
 	%PROGRAM_FILES%\ toolbar888\ 888bar.dll
 	%PROGRAM_FILES%\ toolbar888\ activate.exe
 	%PROGRAM_FILES%\ toolbar888\ bar888.dll
 	%PROGRAM_FILES%\ toolbar888\ mytoolbar.dll
 	%PROGRAM_FILES%\ toolbar888\ toolbar888.dll
 	%program_files%\ windows\ winupdate.exe
 	%system%\ 5.exe
 	%SYSTEM%\ mc-110-12-0000118.exe
 	%SYSTEM%\ protect.exe
 	%windows%\ downloaded program files\ conflict.1\ searchone.dll
 	%windows%\ downloaded program files\ conflict.2\ searchone.dll
 	%windows%\ downloaded program files\ searchone.dll
 	%windows%\ protect.exe
 	%windows%\ temp\ freeprodtb.exe
 	%windows%\ temp\ win12.tmp.exe
 	c:\ freeprodtb.exe
 	c:\ mc-110-12-0000228.exe
 	c:\ protect.exe
 	c77e4cdc-5fbe-4f06-a4a5-f532079223c3.exe
 	c93f461b-973f-48b3-99b7-6b28c649aa03.exe
 	explorer.exe
 	install.exe
 	mc-110-12-0000118.exe
 	mc-110-12-0000228.exe
 	mc-110-12-0000509.exe.exe
 	pre.exe
 	system.dll
 	toolbar.dll
 	update.exe
 	winupdate.exe

Hinweis: %program_files% steht fuer Programme / common files steht fuer Gemeinsame Dateien

• Methode 3:

Öffne HijackThis-> config -> misc tools --> delete a file on reboot:
füge alle *.exe und alle *.dll Dateien ein.
Starte deinen Rechner neu auf, wenn du damit fertig bist.

(*) Hinweis:
Erstelle ein BackUp deines Systems bevor du die Registry editierst.
Du kannst sowohl für ein Backup der Registry den kostenlosen Registrar Registry Manager verwenden, als auch zum editieren der Registry. 'Registrar Lite' (mit seinem neuen Namen und neuen Features):
Registrar Registry Manager.
('Registrar Registry Manager' unterstützt folgende Betriebssysteme: Win2003/XP/2K/NT
Für die Betriebssysteme WinXP/2000/NT/ME/9x steht eine Trialversion für 21 Tage kostenlos zur Verfügung:
'Registrar for the Command Line' mit einigen weiteren Möglichkeiten.)

(Windows XP: erstelle einen neuen Systempunkt, siehe TIPP 5)

Bitte den Rechner nach dem editieren der Registry neu aufstarten.

Entfernung der Toolbar888 vom System mithilfe eines Programmes

Spybot Search & Destroy
(Unterstützte Betriebssyteme - bitte klicken)

a-squared Free
(Unterstützte Betriebssyteme: Windows 98, ME, 2000, 2000 Server, XP und 2003 Server)

Prevx1 Prevx1 Anleitung
(Unterstützte Betriebssyteme: Windows XP, Windows 2000 (Server und Professional))

CounterSpy V2 (Deutsche Anleitung)
(Unterstützte Betriebssyteme: Windows 2000 Pro SP3 + Windows XP (32bit only), Windows Vista (32bit only))

Spycatcher-express (unsere Anleitung)

Zusätzlich sollte der Rechner im Anschluss sowohl an die manuellen Reinigungsarbeiten
als auch an die Reinigungsarbeiten mit einem Programm mit mindestens einem Systemreiniger gesaeubert werden:
Windows und die temporären Ordner'

Windows XP und ME:
deaktiviere die Systemwiederherstellung,
boote den Rechner, aktiviere die Systemwiederherstellung.
Windows XP: Vergib einen neuen System Wiederherstellungspunkt.

Ins Deutsche übertragene Information der oben genannten Webseiten/Translated from the above indicated Websites into German by Ruby.