Error Safe Free , ErrorSafe

startseite Gastbuch Kontakt
Error Safe Free ErrorSafe
Error Safe Free ErrorSafe

Error Safe Free , ErrorSafe




[-HKEY_USERS\S-1-5-21-515967899-152049171-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Error Safe]
[-HKEY_USERS\S-1-5-21-515967899-152049171-839522115-1003\Software\Error Safe]

"NI.UERSU_0001_LP"="\"C:\\Dokumente und Einstellungen\\User\\Desktop\\ErrorSafeScannerInstall_de.exe\""

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Error Safe]
[-HKEY_LOCAL_MACHINE\Software\ErrorSafe]
[-HKEY_CURRENT_USER\Software\ErrorSafe]
[-HKEY_CLASSES_ROOT\ESSPCheck.ESSPCheck]
[-HKEY_CLASSES_ROOT\ESSPCheck.ESSPCheck.1]
[-HKEY_CLASSES_ROOT\clsid\{5284AC2A-EF00-4750-9B82-B5B907D26536}]
[-HKEY_CLASSES_ROOT\Interface\{A0E2E5AB-C02F-489B-BD7B-58C329F774F3}]
[-HKEY_CLASSES_ROOT\TypeLib\{68BC55E9-4D3E-4C89-89AC-7559763C98B8}]


Files to delete:
C:\Programme\ErrorSafelock.dat
C:\Windows\System32\drivers\erssdd.sys
C:\WINDOWS\system32\ErrorSafeSetup.exe
C:\Programme\Error Safe\ers.exe
C:\Programme\Error Safe\wsres.sys
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\errorsafefreeinstall_de[1].exe

Folders to delete:
C:\Programme\Error Safe
C:\Programme\ErrorSafe Free

ErrorSafe - WinFixer 2005

ist ein Programm das sich selbst installiert und dann dem User verspricht Windows zu fixen und das man es kaufen muss um es wieder los zu werden. Es handelt sich also hier um einen Clone von Winfixer. Immer wieder fallen genervte User auf den Trick mit den Popups und den geänderten Startseiten Einträgen rein. Aber das ist nur das harmloseste was ErrorSafe anrichtet, den ErrorSafe richtet auch Kommunikations-Ports ein und installiert Rootkits auf dem System um so den Zugang von Außenstehenden zuzulassen.

"HINWEIS: Sie haben den Scan nicht durchgeführt. Wenn ihr Computer Fehler in der Registerdatenbank oder Dateisystem hat, könnte es unvorhersehbares oder erratisches Verhalten, Fröste, Abbrüche verursachen."


Variante ErrorSafe

Im Hijackthis sind folgende Einträge zu finden

O4 - HKLM\..\Run: [ErrorSafe] C:\Program Files\ErrorSafe\ers.exe /scan
O4 - HKLM\..\Run: [NI.UERSU_0001_LP] "C:\WINDOWS\Downloaded Program Files\UERSU_0001_LPNetInstaller.exe"
O4 - HKLM\..\Run: [NI.UERSU_0001_LP] "C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\X47W4DOM\ErrorSafeScannerInstall_de[1].exe"
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://de.errorsafe.com/pages/scanner_de/ErrorSafeScannerInstallDE.cab


ErrorSafe wird erkannt von folgenden Scannern:

**
Panda - Onlinescan
Potentially unwanted tool:application/errorsafe
C:\WINDOWS\SYSTEM32\DRIVERS\erssdd.sys

**
Avast
Win32:Trojano-2062
Temporary Internet Files/Content.IE5K54DINKL\ErrorSafeScannerInstall[1].cab
------------
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\7DODKIAZ\ErrorSafeScannerInstallDE[1].cab/UERSU_0001_LPNetInstaller.exe -> Downloader.Win32.Agent.d
+
C:\Programme\Gemeinsame Dateien\WinFixer 2005\FCrXML.dll -> Adware.Winfixer
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\ICD4.tmp\UERSU_0001_N68M1402NetInstaller.exe


**
Bitdefender-Onlinescan

C:\Dokumente und Einstellungen\%Username%\Desktop\ErrorSafeScannerInstall_de.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temporary Internet Files\Content.IE5\16KINT63\ErrorSafeScannerInstall_de[1].exe -> Trojan.Downloader.6550.D


**
Spybot
http://www.safer-networking.org/en/download/index.html


**

Counterspy

C:\WINDOWS\Downloaded Program Files\UERSU_0001_LPNetInstaller.exe
C:\WINDOWS\system32\drivers\erssdd.sys
c:\program files\error safe free\wsres.sys


Verzeichnis von C:\Programme\Error Safe Free 
06-08-13 20:18 80 appupdate.dat
06-08-13 20:18 -DIR- Backup
06-08-13 14:18 4 lock.dat
06-08-13 20:18 DIR Repaired
06-08-13 14:18 134 sr.log
06-08-13 20:18 -DIR- Tasks
06-08-13 20:18 0 trace.log

Verzeichnis von C:\WINDOWS\Downloaded Program Files

06-02-19 08:48 74,752 UERSU_0001_N68M1402NetInstaller.exe


HKEY_LOCAL_MACHINE\Software\ErrorSafe
HKEY_CLASSES_ROOT\ESSPCheck.ESSPCheck
HKEY_CLASSES_ROOT\ESSPCheck.ESSPCheck\CLSID {5284AC2A-EF00-4750-9B82-B5B907D26536}
HKEY_CLASSES_ROOT\ESSPCheck.ESSPCheck\CurVer ESSPCheck.ESSPCheck.1
HKEY_CLASSES_ROOT\ESSPCheck.ESSPCheck WFX5PCheck Class
HKEY_CLASSES_ROOT\ESSPCheck.ESSPCheck.1
HKEY_CLASSES_ROOT\ESSPCheck.ESSPCheck.1\CLSID {5284AC2A-EF00-4750-9B82-B5B907D26536}
HKEY_CLASSES_ROOT\ESSPCheck.ESSPCheck.1 WFX5PCheck Class
HKEY_CURRENT_USER\Software\ErrorSafe
HKEY_CLASSES_ROOT\clsid\{5284AC2A-EF00-4750-9B82-B5B907D26536}
HKEY_CLASSES_ROOT\clsid\{5284AC2A-EF00-4750-9B82-B5B907D26536}\ProgID ESSPCheck.ESSPCheck.1
HKEY_CLASSES_ROOT\clsid\{5284AC2A-EF00-4750-9B82-B5B907D26536}\VersionIndependentProgID ESSPCheck.ESSPCheck
HKEY_CLASSES_ROOT\clsid\{5284AC2A-EF00-4750-9B82-B5B907D26536} WFX5PCheck Class


WinSoftware.ErrorSafe

c:\program files\error safe free

C:\Programme\ErrorSafe\ERSShell.dll
C:\Programme\Gemeinsame Dateien\ErrorSafe\ESFF.exe
C:\Programme\Gemeinsame Dateien\ErrorSafe\ESPCheck.dll


Nach der Installation von Errosafe sind folgende Prozesse aktiv

* ~errorsafescannersetup.exe
* df_kme.exe
* ers.exe
* sr.exe
* setup.exe

Folgende Dateien installiert Errosafe:

* ERS.EXE
* ERRORSAFESCANNERINSTALL.EXE
* ERRORSAFESCANNERINSTALL_NL.EXE
* UERSM_0001_N56M1511NETINSTALLER.EXE


datfindbat

Verzeichnis von C:\DOKUME~1\User\LOKALE~1\Temp

12.01.2006 13:44 4.592 temp.ani
12.01.2006 09:16 1.897.584 ~ErrorSafeScannerSetup.exe
11.01.2006 18:05 46.596 drm_dialogs.dll

Verzeichnis von C:\WINDOWS

13.01.2006 09:09 0 0.log
13.01.2006 09:08 2.048 bootstat.dat
12.01.2006 12:37 762 win.ini
11.01.2006 11:12 50 pos.ini

Verzeichnis von C:\WINDOWS\system32

12.01.2006 12:26 2.550 Uninstall.ico
12.01.2006 12:26 1.406 Help.ico
12.01.2006 12:26 30.590 pavas.ico


andere Variante

1.
Vundofix abarbeiten
Vundofix

2.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: ATLDistrib Object - {4A85F02A-CCD3-4E96-9BB1-7ACE7D0B9C23} - C:\WINDOWS\System32\awtqq.dll
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\System32\ddcyw.dll

O4 - HKLM\..\Run: [NI.UERSU_0001_LP] "C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\X47W4DOM\ErrorSafeScannerInstall_de[1].exe"

O15 - Trusted Zone: http://*.winfixer.com
O15 - Trusted Zone: http://*.winnanny.com
O15 - Trusted Zone: http://*.winsoftware.com
O20 - Winlogon Notify: awtqq - C:\WINDOWS\System32\awtqq.dll
O20 - Winlogon Notify: ddcyw - C:\WINDOWS\SYSTEM32\ddcyw.dll

2.
stelle den Cleaner genauso ein, wie hier angegeben:
Cleaner

3.
Counterspy
* nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove --> Status: Deleted
*Quarantaine
wähle immer Remove und starte den PC neu


andere Variante
Apropos 1
Apropos 2

aproposfix --> im abgesicherten Modus anzuwenden !!
http://swandog46.geekstogo.com/aproposfix.exe

AproposFix v1
Deletion of file C:\WINDOWS\system32\drivers\nv4idusb.sys succeeded!
Deletion of file C:\WINDOWS\system32\lfikbdsg.exe succeeded!
Deletion of file C:\WINDOWS\system32\mswiscon.dll succeeded!
Deletion of file C:\WINDOWS\system32\ra3cdnet.exe succeeded!



Verzeichnis von C:\Programme\Error Safe Free

21.06.2006 20:50 4 lock.dat
1 Datei(en) 4 Bytes


datfindbat

Verzeichnis von C:\WINDOWS\system32

21.06.2006 20:00 649.344 ffhkj.ini
21.06.2006 19:46 648.097 ffhkj.bak1
21.06.2006 19:45 569.396 jkhff.dll
21.06.2006 16:09 18.238 ikhcore.log
21.06.2006 15:50 2 wtscc.exe
21.06.2006 15:48 39.437 fcccccy.dll
21.06.2006 15:47 65.032 regperf.exe
21.06.2006 05:38 81.920 wucrtupd.dll
21.06.2006 05:38 39.437 xxyvssq.dll
21.06.2006 05:37 15.317 winzdn32.dll

Verzeichnis von C:\DOKUME~1\User\LOKALE~1\Temp

21.06.2006 19:45 934 spng_redir.html
21.06.2006 15:34 106 46
21.06.2006 15:34 106 981
21.06.2006 05:38 181 cli18.bat
21.06.2006 05:38 43 removalfile.bat
21.06.2006 05:37 1.031 win19.tmp

2.LOG

Verzeichnis von C:\DOKUME~1\User\LOKALE~1\Temp

22.06.2006 11:59 0 spt56.tmp
22.06.2006 11:59 0 spt55.tmp
22.06.2006 11:58 71.680 !update.exe
22.06.2006 11:58 299.264 wups.exe
22.06.2006 11:32 936 spng_redir.html
22.06.2006 10:47 409 NDr25.tmp.html
21.06.2006 20:49 2.367.982 ErrorSafeScannerSetup.exe


Verzeichnis von C:\WINDOWS

21.06.2006 15:49 0 .protected
21.06.2006 14:27 1.811 win.ini
21.06.2006 14:27 1.811 win.tmp
21.06.2006 14:27 254 system.ini
21.06.2006 14:27 254 system.tmp

Verzeichnis von C:\

21.06.2006 15:49 0 .protected



vundofix anwenden
http://virus-protect.org/artikel/tools/vundofixx.html


Listing files found while scanning....

C:\WINDOWS\system32\ffhkj.bak1
C:\WINDOWS\system32\ffhkj.ini
C:\WINDOWS\system32\jkhff.dll
Attempting to delete C:\WINDOWS\system32\ffhkj.bak1
C:\WINDOWS\system32\ffhkj.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\system32\ffhkj.ini
C:\WINDOWS\system32\ffhkj.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\jkhff.dll
C:\WINDOWS\system32\jkhff.dll Has been deleted!

Performing Repairs to the registry.
Done!

smitfraud.fix anwenden
http://virus-protect.org/artikel/tools/smitfrautfix.html


Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

cd\
dir "C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\WINDOWS\Temp\Eroa" >>files.txt
dir "C:\Programme\Error Safe Free" >>files.txt
dir "C:\Dokumente und Einstellungen\%Username%\Eigene Dateien" >>files.txt
notepad files.txt


Verzeichnis von C:\WINDOWS\Temp

21.06.2006 15:48 0 4C.tmp
21.06.2006 15:26 0 win13.tmp
21.06.2006 15:26 0 win14.tmp
21.06.2006 15:50 -DIR- Eroa
21.06.2006 15:47 11.776 win38.tmp.exe
21.06.2006 15:18 0 winDA.tmp
21.06.2006 15:22 0 winE.tmp
21.06.2006 15:24 0 winF.tmp

--------------------------------------------

Verzeichnis von C:\Programme

21.06.2006 20:52 DIR Error Safe Free\lock.dat
21.06.2006 20:55 DIR ??sembly


Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html


Start > Ausfuehren --> reinschreiben --> cmd.exe
und ok. kopiere rein und poste alles, was im Texteditor erscheint

dir /s /a "c:\??sembly*.*" > c:\find.txt & start notepad c:\find.txt


Verzeichnis von c:\Programme
21.06.2006 20:55 -DIR- ??sembly
0 Datei(en) 0 Bytes

dir /s /a "c:\F?nts*.*" > c:\find.txt & start notepad c:\find.txt


Verzeichnis von c:\Dokumente und Einstellungen\Matrix\Eigene Dateien
22.06.2006 01:23 -DIR- F?nts
0 Datei(en) 0 Bytes


Verzeichnis von c:\Dokumente und Einstellungen\Matrix\Eigene Dateien\F?nts
06.06.2006 16:54 495.616 j?vaw.exe
1 Datei(en) 495.616 Bytes

dir /s /a "c:\j?vaw*.*" > c:\find.txt & start notepad c:\find.txt


Verzeichnis von c:\WINDOWS\Prefetch
22.06.2006 01:23 35.682 J?VAW.EXE-114CD778.pf
1 Datei(en) 35.682 Bytes

dir /s /a "c:\notepad*.*" > c:\find.txt & start notepad c:\find.txt


Verzeichnis von c:\WINDOWS\s?mbols
22.06.2006 11:59 71.680 notepad.exe
1 Datei(en) 71.680 Bytes

Verzeichnis von c:\WINDOWS
22.06.2006 11:59 -DIR- s?mbols
0 Datei(en) 0 Bytes


Verzeichnis von C:\Dokumente und Einstellungen\Username\Eigene Dateien
22.06.2006 01:23 -DIR- ..mbols
21.06.2006 15:50 -DIR- ..sks




virus-protect.org Valid HTML 4.0 Ranking-Hits