Error Safe
|
Error Safe[-HKEY_USERS\S-1-5-21-515967899-152049171-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Error Safe][-HKEY_USERS\S-1-5-21-515967899-152049171-839522115-1003\Software\Error Safe] "NI.UERSU_0001_LP"="\"C:\\Dokumente und Einstellungen\\User\\Desktop\\ErrorSafeScannerInstall_de.exe\""
ErrorSafe - WinFixer 2005
ist ein Programm das sich selbst installiert und dann dem User verspricht Windows zu fixen und das man es kaufen muss um es wieder los zu werden. Es handelt sich also hier um einen Clone von Winfixer. Immer wieder fallen genervte User auf den Trick mit den Popups und den geänderten Startseiten Einträgen rein. Aber das ist nur das harmloseste was ErrorSafe anrichtet, den ErrorSafe richtet auch Kommunikations-Ports ein und installiert Rootkits auf dem System um so den Zugang von Außenstehenden zuzulassen. "HINWEIS: Sie haben den Scan nicht durchgeführt. Wenn ihr Computer Fehler in der Registerdatenbank oder Dateisystem hat, könnte es unvorhersehbares oder erratisches Verhalten, Fröste, Abbrüche verursachen." Variante ErrorSafe
Im Hijackthis sind folgende Einträge zu finden
O4 - HKLM\..\Run: [ErrorSafe] C:\Program Files\ErrorSafe\ers.exe /scan O4 - HKLM\..\Run: [NI.UERSU_0001_LP] "C:\WINDOWS\Downloaded Program Files\UERSU_0001_LPNetInstaller.exe" O4 - HKLM\..\Run: [NI.UERSU_0001_LP] "C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\ Temporary Internet Files\Content.IE5\X47W4DOM\ErrorSafeScannerInstall_de[1].exe" O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://de.errorsafe.com/pages/scanner_de/ErrorSafeScannerInstallDE.cab
ErrorSafe wird erkannt von folgenden Scannern:
** Panda - Onlinescan Potentially unwanted tool:application/errorsafe C:\WINDOWS\SYSTEM32\DRIVERS\erssdd.sys ** Avast anwenden Win32:Trojano-2062 Temporary Internet Files/Content.IE5K54DINKL\ErrorSafeScannerInstall[1].cab C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\7DODKIAZ\ ErrorSafeScannerInstallDE[1].cab/UERSU_0001_LPNetInstaller.exe -> Downloader.Win32.Agent.d C:\Programme\Gemeinsame Dateien\WinFixer 2005\FCrXML.dll -> Adware.Winfixer C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\ICD4.tmp\UERSU_0001_N68M1402NetInstaller.exe ** Bitdefender-Onlinescan C:\Dokumente und Einstellungen\%Username%\Desktop\ErrorSafeScannerInstall_de.exe C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temporary Internet Files\Content.IE5\16KINT63\ ErrorSafeScannerInstall_de[1].exe -> Trojan.Downloader.6550.D ** SpyBot - Search Destroy anwenden ** Counterspy/Vipre anwenden C:\WINDOWS\Downloaded Program Files\UERSU_0001_LPNetInstaller.exe C:\WINDOWS\system32\drivers\erssdd.sys c:\program files\error safe free\wsres.sys Verzeichnis von C:\Programme\Error Safe Free 06-08-13 20:18 80 appupdate.dat 06-08-13 20:18 -DIR- Backup 06-08-13 14:18 4 lock.dat 06-08-13 20:18 DIR Repaired 06-08-13 14:18 134 sr.log 06-08-13 20:18 -DIR- Tasks 06-08-13 20:18 0 trace.log Verzeichnis von C:\WINDOWS\Downloaded Program Files 06-02-19 08:48 74,752 UERSU_0001_N68M1402NetInstaller.exe
WinSoftware.ErrorSafe c:\program files\error safe free C:\Programme\ErrorSafe\ERSShell.dll C:\Programme\Gemeinsame Dateien\ErrorSafe\ESFF.exe C:\Programme\Gemeinsame Dateien\ErrorSafe\ESPCheck.dll
Nach der Installation von Errosafe sind folgende Prozesse aktiv
* ~errorsafescannersetup.exe * df_kme.exe * ers.exe * sr.exe * setup.exe
Folgende Dateien installiert Errosafe:
* ERS.EXE * ERRORSAFESCANNERINSTALL.EXE * ERRORSAFESCANNERINSTALL_NL.EXE * UERSM_0001_N56M1511NETINSTALLER.EXE
datfindbat
Verzeichnis von C:\DOKUME~1\User\LOKALE~1\Temp 12.01.2006 13:44 4.592 temp.ani 12.01.2006 09:16 1.897.584 ~ErrorSafeScannerSetup.exe 11.01.2006 18:05 46.596 drm_dialogs.dll Verzeichnis von C:\WINDOWS 13.01.2006 09:09 0 0.log 13.01.2006 09:08 2.048 bootstat.dat 12.01.2006 12:37 762 win.ini 11.01.2006 11:12 50 pos.ini Verzeichnis von C:\WINDOWS\system32 12.01.2006 12:26 2.550 Uninstall.ico 12.01.2006 12:26 1.406 Help.ico 12.01.2006 12:26 30.590 pavas.ico andere Variante
Vundofix anwenden
HijackThis
O2 - BHO: ATLDistrib Object - {4A85F02A-CCD3-4E96-9BB1-7ACE7D0B9C23} - C:\WINDOWS\System32\awtqq.dll O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\System32\ddcyw.dll O4 - HKLM\..\Run: [NI.UERSU_0001_LP] "C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\X47W4DOM\ErrorSafeScannerInstall_de[1].exe" O15 - Trusted Zone: http://*.winfixer.com O15 - Trusted Zone: http://*.winnanny.com O15 - Trusted Zone: http://*.winsoftware.com O20 - Winlogon Notify: awtqq - C:\WINDOWS\System32\awtqq.dll O20 - Winlogon Notify: ddcyw - C:\WINDOWS\SYSTEM32\ddcyw.dll
stelle den Cleaner genauso ein, wie hier angegeben:
Counterspy/Vipre anwenden
andere Variante
Apropos 1
Apropos 2
aproposfix --> im abgesicherten Modus anzuwenden !!
aproposfix.exe
AproposFix v1 Deletion of file C:\WINDOWS\system32\drivers\nv4idusb.sys succeeded! Deletion of file C:\WINDOWS\system32\lfikbdsg.exe succeeded! Deletion of file C:\WINDOWS\system32\mswiscon.dll succeeded! Deletion of file C:\WINDOWS\system32\ra3cdnet.exe succeeded! Verzeichnis von C:\Programme\Error Safe Free 21.06.2006 20:50 4 lock.dat 1 Datei(en) 4 Bytes
datfindbat
1. LOG Verzeichnis von C:\WINDOWS\system32 21.06.2006 20:00 649.344 ffhkj.ini 21.06.2006 19:46 648.097 ffhkj.bak1 21.06.2006 19:45 569.396 jkhff.dll 21.06.2006 16:09 18.238 ikhcore.log 21.06.2006 15:50 2 wtscc.exe 21.06.2006 15:48 39.437 fcccccy.dll 21.06.2006 15:47 65.032 regperf.exe 21.06.2006 05:38 81.920 wucrtupd.dll 21.06.2006 05:38 39.437 xxyvssq.dll 21.06.2006 05:37 15.317 winzdn32.dll Verzeichnis von C:\DOKUME~1\User\LOKALE~1\Temp 21.06.2006 19:45 934 spng_redir.html 21.06.2006 15:34 106 46 21.06.2006 15:34 106 981 21.06.2006 05:38 181 cli18.bat 21.06.2006 05:38 43 removalfile.bat 21.06.2006 05:37 1.031 win19.tmp 2. LOG Verzeichnis von C:\DOKUME~1\User\LOKALE~1\Temp 22.06.2006 11:59 0 spt56.tmp 22.06.2006 11:59 0 spt55.tmp 22.06.2006 11:58 71.680 !update.exe 22.06.2006 11:58 299.264 wups.exe 22.06.2006 11:32 936 spng_redir.html 22.06.2006 10:47 409 NDr25.tmp.html 21.06.2006 20:49 2.367.982 ErrorSafeScannerSetup.exe Verzeichnis von C:\WINDOWS 21.06.2006 15:49 0 .protected 21.06.2006 14:27 1.811 win.ini 21.06.2006 14:27 1.811 win.tmp 21.06.2006 14:27 254 system.ini 21.06.2006 14:27 254 system.tmp Verzeichnis von C:\ 21.06.2006 15:49 0 .protected
Vundofix
Listing files found while scanning.... C:\WINDOWS\system32\ffhkj.bak1 C:\WINDOWS\system32\ffhkj.ini C:\WINDOWS\system32\jkhff.dll Attempting to delete C:\WINDOWS\system32\ffhkj.bak1 C:\WINDOWS\system32\ffhkj.bak1 Has been deleted! Attempting to delete C:\WINDOWS\system32\ffhkj.ini C:\WINDOWS\system32\ffhkj.ini Has been deleted! Attempting to delete C:\WINDOWS\system32\jkhff.dll C:\WINDOWS\system32\jkhff.dll Has been deleted! Performing Repairs to the registry. Done!
smidfraudfix
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint
Verzeichnis von C:\WINDOWS\Temp 21.06.2006 15:48 0 4C.tmp 21.06.2006 15:26 0 win13.tmp 21.06.2006 15:26 0 win14.tmp 21.06.2006 15:50 -DIR- Eroa 21.06.2006 15:47 11.776 win38.tmp.exe 21.06.2006 15:18 0 winDA.tmp 21.06.2006 15:22 0 winE.tmp 21.06.2006 15:24 0 winF.tmp Verzeichnis von C:\Programme 21.06.2006 20:52 DIR Error Safe Free\lock.dat 21.06.2006 20:55 DIR ??sembly
Versteckte- und Systemdateien sichtbar machen:
invisible
Start > Ausführen --> reinschreiben --> cmd.exe
und ok. kopiere rein und poste alles, was im Texteditor erscheint
Verzeichnis von c:\Programme 21.06.2006 20:55 -DIR- ??sembly 0 Datei(en) 0 Bytes
Verzeichnis von c:\Dokumente und Einstellungen\Matrix\Eigene Dateien 22.06.2006 01:23 -DIR- F?nts 0 Datei(en) 0 Bytes Verzeichnis von c:\Dokumente und Einstellungen\Matrix\Eigene Dateien\F?nts 06.06.2006 16:54 495.616 j?vaw.exe 1 Datei(en) 495.616 Bytes
Verzeichnis von c:\WINDOWS\Prefetch 22.06.2006 01:23 35.682 J?VAW.EXE-114CD778.pf 1 Datei(en) 35.682 Bytes
Verzeichnis von c:\WINDOWS\s?mbols 22.06.2006 11:59 71.680 notepad.exe 1 Datei(en) 71.680 Bytes Verzeichnis von c:\WINDOWS 22.06.2006 11:59 -DIR- s?mbols 0 Datei(en) 0 Bytes Verzeichnis von C:\Dokumente und Einstellungen\Username\Eigene Dateien 22.06.2006 01:23 -DIR- ..mbols 21.06.2006 15:50 -DIR- ..sks Counter-Box.de |
