Adware.Purityscan

Version imprimable

Mis à jour : 13 Février 2007 11:33:35 AM

Type : Logiciel publicitaire

Impact des risques : Moyen

Noms de fichiers : rs.ex winservn.exe PuritySCAN.exe wbta.exe Wups.exe hoor.exe May be called one of the fowi

Systèmes affectés : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

En raison de la fonction de mise à jour automatique d'Adware.PurityScan, ces informations sont variables en fonction des versions du programme publicitaire.

Lorsque Adware.PurityScan s'exécute, il réalise les opérations suivantes :

S'ajoute au dossier %UserProfile%\Start Menu\Programs\Purity Scan.

Remarque : %UserProfile% est une variable qui se rapporte au dossier profil de l'utilisateur en cours. Par défaut, c'est C:\Documents and Settings\<Utilisateur en cours> (Windows NT/2000/XP).
Peut créer les fichiers suivants (probablement avec la première et/ou la deuxième lettres remplacées par un point d'interrogation) :
- %System%\wnsinttr.exe
- %System%\wnscpit.exe
- %System%\Microsoft.NET.exe
- %System%\Drivers.exe
- %System%\WinSxS.exe
- %System%\Tasks.exe
- %System%\system32.exe
- %System%\system.exe
- %System%\symbols.exe
- %System%\security.exe
- %System%\java.exe
- %System%\Help.exe
- %System%\Fonts.exe
- %System%\assembly.exe
- %System%\AppPatch.exe
- %System%\regsvr32.exe
- %System%\regedit.exe
- %System%\tracert.exe
- %System%\nslookup.exe
- %System%\arpa.exe
- %System%\ping.exe
- %System%\mshta.exe
- %System%\nopdb.exe
- %System%\winword.exe
- %System%\ati2evxx.exe
- %System%\spool32.exe
- %System%\msconfig.exe
- %System%\userinit.exe
- %System%\netdde.exe
- %System%\mmc.exe
- %System%\scanregw.exe
- %System%\wucrtupd.exe
- %System%\wuauboot.exe
- %System%\wuauclt.exe
- %System%\wuaclt.exe
- %System%\rundll.exe
- %System%\fast.exe
- %System%\alg.exe
- %System%\cmd.exe
- %System%\dexplore.exe
- %System%\iexplore.exe
- %System%\notepad.exe
- %System%\msdtc.exe
- %System%\javaw.exe
- %System%\ntvdm.exe
- %System%\wowexec.exe
- %System%\winspool.exe
- %System%\taskmgr.exe
- %System%\rundll32.exe
- %System%\msiexec.exe
- %System%\logonui.exe
- %System%\dvdplay.exe
- %System%\dllhost.exe
- %System%\chkdsk.exe
- %System%\chkntfs.exe
- %System%\attrib.exe
- %System%\winlogon.exe
- %System%\spoolsv.exe
- %System%\smss.exe
- %System%\services.exe
- %System%\lsass.exe
- %System%\csrss.exe
- %System%\svchost.exe
- %System%\explorer.exe
  
  Remarque : % System% est une variable qui fait référence au dossier System. Par défaut, il s'agit de C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) ou C:\Windows\System32 (Windows XP).
Ajoute une ou plusieurs des valeurs suivantes :

"Content Service" = %System%\winserv[lettre].exe
"twhe" = %Windir%\Application Data\wbta.exe"Ussi" = %Windir%\Application Data\rwsa.exe "Ussi" = "%System%\wnscpit.exe" "Oesi" = "%SystemDrive%\Documents and Settings\[nom d'utilisateur]\Application Data\srts.exe"
"Eech" = "%SystemDrive%\Documents and Settings\[nom d'utilisateur]\Application Data\hoor.exe""WNSI" = "%SystemDrive%\Documents and Settings\[nom d'utilisateur]\Application Data\rwsa.exe" "Esph" = "%SystemDrive%\Documents and Settings\[nom d'utilisateur]\Application Data\ortu.exe"

à l'une des sous-clés de registre suivantes :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Remarques :
- [lettre] est une lettre variable qui changera pour différentes versions de PuritySCAN. Les échantillons que nous avons analysés supprimeront généralement l'ancienne version avant d'installer la mise à jour.
- %SystemDrive% est une variable qui se rapporte au disque sur lequel Windows est installé. Par défaut, il s'agit du disque C.
- %Windir% est une variable qui indique l'emplacement du dossier d'installation de Windows. Par défaut, il s'agit de C:\Windows ou C:\Winnt.
Crée les sous-clés de registre suivantes :

HKEY_CURRENT_USER\software\purityscanHKEY_LOCAL_MACHINE\SOFTWARE\ClickSpring HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared\ClickFlag
HKEY_USERS\.DEFAULT\Software\Ttee
HKEY_CURRENT_USER\Software\Toos
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PuritySCAnHKEY_CURRENT_USER\Software\Aubt
Crée tout ou partie des fichiers suivants :
- %Program Files%\PurityScan\PuritySCAN.exe
- %ProgramFiles%\PurityScan\PuritySCANUninstall.exe
- %System%\Winserv[lettre].exe
- %System%\Winservn.exeps_uninstaller.exe
- %CurrentFolder%\Rs.exe
- %Windir%\Application\Data\Wbta.exe
- %SystemDrive%\Documents and Settings\[nom d'utilisateur]\Application Data\srts.exe
- %SystemDrive%\Documents and Settings\[nom d'utilisateur]\Application Data\hoor.exe
- %SystemDrive%\Documents and Settings\[nom d'utilisateur]\Application Data\rbap.exe
- %SystemDrive%\Documents and Settings\[nom d'utilisateur]\Application Data\rwsa.exe
  
  Remarque :
- %ProgramFiles% est une variable qui se rapporte au dossier program files. Par défaut, c'est C:\Program Files.
- %CurrentFolder% est une variable qui se rapporte au dossier où le risque a été exécuté à l'origine.
Peut créer le dossier %UserProfile%\Application Data\ilas.
Crée un raccourci vers le risque sur le bureau.
Contacte un serveur distant sur le domaine clickspring.net. Le logiciel publicitaire enregistre alors des informations système et le statut de l'installation avec le serveur et vérifie s'il existe des mises à jour logicielles à installer.
Analyse les fichiers d'Internet Explorer, y compris les fichiers du navigateur, le cache, l'historique et les cookies à la recherche de mots-clé liés à des thèmes pour adultes. Il affiche alors des publicités.
Télécharge et affiche des publicités de sites Web sur les domaines suivants :
- fp.clickspring.net
- www.clickspring.net
- legend.psdtools.com
- pisces.clickspring.com
- app.whenu.com

Suppression

Résumé

Economisez jusqu'à 20% avec un abonnement de 2 ans.