Adware.Purityscan

Druckansicht

Aktualisiert: February 13, 2007 11:33:33 AM
Typ: Adware
Version: n/a
Herausgeber: n/a
Auswirkung des Risikos: Medium
Dateinamen: rs.ex winservn.exe PuritySCAN.exe wbta.exe Wups.exe hoor.exe May be called one of the fowi
Betroffene Systeme: Windows

Verhalten


Adware.Purityscan ist ein Werbeprogramm, das Werbungen auf einem Computer herunterlädt und anzeigt.

Hinweis: Definitionen vor 6. April 2005 erkennen möglicherweise dieses Sicherheitsrisiko als Adware.Purityscan.B, Adware.Purityscan.C oder Adware.Purityscan.D.

Symptome


  • Dateien werden als Adware.Purityscan erkannt.
  • Eine ungewöhnlich große Zahl von Popup-Werbungen wird angezeigt, wenn sie im Internet surfen.


Übertragung


Diese Werbesoftware-Anwendung muss manuell installiert werden. Jedoch kann sie auch als Komponente eines anderen Programms automatisch installiert werden.

Termine für Antivirus-Schutz

  • Erste Rapid Release-Version October 02, 2014 Änderung 022
  • Latest Rapid Release version April 23, 2018 Änderung 020
  • Erste Daily Certified-Version September 05, 2003 Änderung 041
  • Latest Daily Certified version April 19, 2018 Änderung 038
  • Initial Weekly Certified release date September 10, 2003

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Aktualisiert: February 13, 2007 11:33:33 AM
Typ: Adware
Version: n/a
Herausgeber: n/a
Auswirkung des Risikos: Medium
Dateinamen: rs.ex winservn.exe PuritySCAN.exe wbta.exe Wups.exe hoor.exe May be called one of the fowi
Betroffene Systeme: Windows


Da Adware.PurityScan sich immer wieder selbst aktualisiert, können sich diese Informationen ändern, wenn neue Versionen der Werbesoftware veröffentlicht werden.

Bei Ausführung führt Adware.PurityScan folgende Aktivitäten durch:

  1. Fügt sich in %UserProfile%\Startmenü\Programme\Purity Scan ein.

    Hinweis: %UserProfile% ist eine Variable, die sich auf den aktuellen Benutzerprofil-Ordner bezieht. Standardmäßig ist dies C:\Dokumente und Einstellungen\<Aktueller Benutzer> (Windows NT/2000/XP).

  2. Erstellt möglicherweise die folgenden Dateien (wobei der erste und/oder zweite Buchstabe durch ein Fragezeichen ersetzt sein kann):

    • %System%\wnsinttr.exe
    • %System%\wnscpit.exe
    • %System%\Microsoft.NET.exe
    • %System%\Drivers.exe
    • %System%\WinSxS.exe
    • %System%\Tasks.exe
    • %System%\system32.exe
    • %System%\system.exe
    • %System%\symbols.exe
    • %System%\security.exe
    • %System%\java.exe
    • %System%\Help.exe
    • %System%\Fonts.exe
    • %System%\assembly.exe
    • %System%\AppPatch.exe
    • %System%\regsvr32.exe
    • %System%\regedit.exe
    • %System%\tracert.exe
    • %System%\nslookup.exe
    • %System%\arpa.exe
    • %System%\ping.exe
    • %System%\mshta.exe
    • %System%\nopdb.exe
    • %System%\winword.exe
    • %System%\ati2evxx.exe
    • %System%\spool32.exe
    • %System%\msconfig.exe
    • %System%\userinit.exe
    • %System%\netdde.exe
    • %System%\mmc.exe
    • %System%\scanregw.exe
    • %System%\wucrtupd.exe
    • %System%\wuauboot.exe
    • %System%\wuauclt.exe
    • %System%\wuaclt.exe
    • %System%\rundll.exe
    • %System%\fast.exe
    • %System%\alg.exe
    • %System%\cmd.exe
    • %System%\dexplore.exe
    • %System%\iexplore.exe
    • %System%\notepad.exe
    • %System%\msdtc.exe
    • %System%\javaw.exe
    • %System%\ntvdm.exe
    • %System%\wowexec.exe
    • %System%\winspool.exe
    • %System%\taskmgr.exe
    • %System%\rundll32.exe
    • %System%\msiexec.exe
    • %System%\logonui.exe
    • %System%\dvdplay.exe
    • %System%\dllhost.exe
    • %System%\chkdsk.exe
    • %System%\chkntfs.exe
    • %System%\attrib.exe
    • %System%\winlogon.exe
    • %System%\spoolsv.exe
    • %System%\smss.exe
    • %System%\services.exe
    • %System%\lsass.exe
    • %System%\csrss.exe
    • %System%\svchost.exe
    • %System%\explorer.exe

      Hinweis: %System% ist eine Variable und bezieht sich auf den Systemordner. Standardmäßig ist dies C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) oder C:\Windows\System32 (Windows XP).

  3. Fügt einen oder mehrere der folgenden Werte:

    "Content Service" = %System%\winserv[Buchstabe].exe
    "twhe" = %Windir%\Anwendungsdaten\wbta.exe
    "Ussi" = %Windir%\Anwendungsdaten\rwsa.exe
    "Ussi" = "%System%\wnscpit.exe"
    "Oesi" = "%SystemDrive%\Dokumente und Einstellungen\[Benutzername]\Anwendungsdaten\srts.exe"
    "Eech" = "%SystemDrive%\Dokumente und Einstellungen\[Benutzername]\Anwendungsdaten\hoor.exe"
    "WNSI" = "%SystemDrive%\Dokumente und Einstellungen\[Benutzername]\Anwendungsdaten\rwsa.exe"
    "Esph" = "%SystemDrive%\Dokumente und Einstellungen\[Benutzername]\Anwendungsdaten\ortu.exe"

    einem der folgenden Registrierungsunterschlüssel hinzu:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    Hinweise:
    • [Buchstabe] ist ein variierbarer Buchstabe, der bei den verschiedenen Versionen von PuritySCAN immer anders ist. Proben, die wir gesehen haben, löschen im Allgemeinen die alte Version, bevor sie die aktualisierte Version installieren.
    • %SystemDrive% ist eine Variable, die sich auf das Laufwerk bezieht, auf dem Windows installiert ist. Standardmäßig ist dies das Laufwerk C.
    • %Windir% ist eine Variable und bezieht sich auf den Windows-Installationsordner. In der Regel ist dies C:\Windows oder C:\Winnt.

  4. Erstellt die folgenden Registrierungsunterschlüssel:

    HKEY_CURRENT_USER\software\purityscan
    HKEY_LOCAL_MACHINE\SOFTWARE\ClickSpring
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared\ClickFlag
    HKEY_USERS\.DEFAULT\Software\Ttee
    HKEY_CURRENT_USER\Software\Toos
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PuritySCAn
    HKEY_CURRENT_USER\Software\Aubt

  5. Erstellt einige oder alle der folgenden Dateien:

    • %Programme%\PurityScan\PuritySCAN.exe
    • %Programme%\PurityScan\PuritySCANUninstall.exe
    • %System%\Winserv[Buchstabe].exe
    • %System%\Winservn.exeps_uninstaller.exe
    • %CurrentFolder%\Rs.exe
    • %Windir%\Application\Data\Wbta.exe
    • %SystemDrive%\Dokumente und Einstellungen\[Benutzername]\Anwendungsdaten\srts.exe
    • %SystemDrive%\Dokumente und Einstellungen\[Benutzername]\Anwendungsdaten\hoor.exe
    • %SystemDrive%\Dokumente und Einstellungen\[Benutzername]\Anwendungsdaten\rbap.exe
    • %SystemDrive%\Dokumente und Einstellungen\[Benutzername]\Anwendungsdaten\rwsa.exe

      Hinweis:
    • %Programme% ist eine Variable, die sich auf den Programmdateienordner bezieht. Standardmäßig ist dies C:\Programme.
    • %CurrentFolder% ist eine Variable, die sich auf den Ordner bezieht, in dem das Risiko ursprünglich ausgeführt wurde.

  6. Erstellt möglicherweise den Ordner %UserProfile%\Anwendungsdaten\ilas.

  7. Erstellt eine Schnellverknüpfung zum Risiko auf dem Desktop.

  8. Kontaktiert einen entfernten Server auf der Domäne clickspring.net. Die Werbesoftware registriert dann Systemdaten und den Status der Installationbeim Server und überprüft, ob Software-Aktualisierungen zum Installieren vorhanden sind.

  9. Prüft Internet Explorer-Dateien, einschließlich Browser-Dateien, Cache, Verlauf und Cookies, auf Schlüsselwörter, die sich auf pornografischen Inhalt beziehen. Anschließend zeigt er Werbungen an.

  10. Lädt Werbungen von Websites auf den folgenden Domänen herunter und zeigt sie an:

    • fp.clickspring.net
    • www.clickspring.net
    • legend.psdtools.com
    • pisces.clickspring.com
    • app.whenu.com


Aktualisiert: February 13, 2007 11:33:33 AM
Typ: Adware
Version: n/a
Herausgeber: n/a
Auswirkung des Risikos: Medium
Dateinamen: rs.ex winservn.exe PuritySCAN.exe wbta.exe Wups.exe hoor.exe May be called one of the fowi
Betroffene Systeme: Windows



Entfernung mit dem PuritySCAN-Entfernungsprogramm
Zur Zeit der Verfassung dieses Dokuments ist ein Deinstallationsprogramm auf der PuritySCAN.com-Website verfügbar. Wechseln Sie zu http://www.purityscan.com/uninstall.html und befolgen Sie die Anweisungen.

Symantec Security Response hat das PuritySCAN-Deinstallationsprogramm nicht geprüft. Wenn Sie irgendwelche Fragen haben, kontaktieren Sie die technische Unterstützung von PuritySCAN.


Manuelle Entfernung
Die folgenden Anweisungen gelten für alle Virenschutzprodukte von Symantec, die die Erkennung von Sicherheitsrisiken unterstützen.

  1. Aktualisieren Sie die Definitionen.
  2. Starten Sie den Computer im abgesicherten Modus neu.
  3. Beenden Sie die Prozesse, die mit der Werbesoftware verbunden sind.
  4. Führen Sie eine vollständige Systemprüfung durch.
  5. Entfernen Sie die in die Registrierung geschriebenen Werte.
Detaillierte Informationen zu diesen Verfahren finden Sie in den folgenden Anweisungen.

1. Aktualisieren der Virendefinitionen
Um die neuesten Definitionen zu beziehen, starten Sie Ihr Symantec-Programm und führen Sie LiveUpdate aus.


2. Neustarten des Computers im abgesicherten Modus
Fahren Sie den Computer herunter und schalten Sie ihn aus. Warten Sie mindestens 30 Sekunden und starten Sie dann den Computer im abgesicherten Modus neu. Anweisungen hierzu finden Sie im Dokument Starten Ihres Computers im abgesicherten Modus .

3. Beenden der mit Adware.Purityscan verbundenen Prozesse
  • Windows NT/2000/XP
    Den Prozess beenden:
    1. Drücken Sie zugleich Strg+Alt+Entf.
    2. Klicken Sie auf Task-Manager.
    3. Klicken Sie auf die Registerkarte Prozesse.
    4. Doppelklicken Sie auf die Spaltenüberschrift Name, um die Prozesse alphabetisch zu ordnen.
    5. Durchsuchen Sie die Liste und suchen Sie nach purityscan.exe, rs.exe, winserv[Buchstabe].exe und winservn.exeps_uninstaller.exe.
    6. Wenn Sie irgendwelche dieser Dateien finden, klicken Sie auf die Datei und klicken Sie dann auf Prozess beenden.
    7. Schließen Sie den Task-Manager.

  • Windows 95/98/Me
    Das Programm schließen:
    1. Drücken Sie zugleich Strg+Alt+Entf.
    2. Suchen Sie in der Liste Anwendung schließen nach purityscan.exe, rs.exe, winserv[Buchstabe].exe und winservn.exeps_uninstaller.exe.
    3. Wenn Sie irgendwelche dieser Dateien finden, klicken Sie auf die Datei und klicken Sie dann auf Task beenden. Klicken Sie erneut auf Task beenden, wenn Sie durch ein zweites Dialogfeld aufgefordert werden. Dadurch wird das Dialogfeld Anwendung schließen geschlossen.
    4. Wiederholen Sie Schritte a bis c so oft wie nötig, um die in Schritt b aufgeführten Programme zu schließen.

4. Ausführen der Prüfung
  1. Starten Sie Ihr Symantec-Virenschutzprogramm und führen Sie dann eine vollständige Systemprüfung aus.
  2. Wenn Dateien als Adware.PurityScan erkannt werden und abhängig davon, welcher Software-Version Sie benutzen, sehen Sie möglicherweise eine oder mehrere der folgenden Optionen:

    Hinweis: Dies gilt nur für Versionen von Norton AntiVirus, die die Sicherheitsrisiko-Erkennung unterstützen. Wenn Sie eine Version von Symantec AntiVirus Corporate Edition verwenden, die die Sicherheitsrisiko-Erkennung unterstützt, und die Sicherheitsrisiko-Erkennung ist aktiviert worden, sehen Sie lediglich ein Meldungsfeld, das die Ergebnisse der Prüfung angibt. Wenn Sie Fragen zu dieser Situation haben, kontaktieren Sie Ihren Netzwerkadministrator.
    • Ausschließen (nicht empfohlen): Wenn Sie auf diese Schaltfläche klicken, stellen Sie Ihr Programm so ein, dass das Risiko nicht mehr entdeckt wird. Das heißt, das Virenschutzprogramm behält das Sicherheitsrisiko auf Ihrem Computer und erkennt es nicht mehr, um es von Ihrem Computer zu entfernen.

    • Ignorieren oder Überspringen: Diese Option weist das Prüfprogramm an, das Risiko für nur diese Prüfung zu ignorieren. Sie wird beim nächsten Mal wieder erkannt, wenn Sie eine Prüfung ausführen.

    • Abbrechen: Diese Option ist neu in Norton AntiVirus 2005. Sie wird verwendet, wenn Norton AntiVirus 2005 festgestellt hat, dass es ein Sicherheitsrisiko nicht löschen kann. Diese Option weist das Prüfprogramm an, das Risiko für nur diese Prüfung zu ignorieren, und folglich wird das Risiko das nächste Mal wieder erkannt, wenn Sie eine Prüfung ausführen.

      Das Sicherheitsrisiko wirklich löschen:
      • Klicken Sie auf den Dateinamen des Risikos (unter der Spalte "Dateiname").
      • Geben Sie in das angezeigte Feld für Informationen den vollen Pfad und Dateinamen an.
      • Verwenden Sie dann Windows-Explorer, um die Datei zu finden und zu löschen.

    • Löschen: Diese Option versucht, die erkannten Dateien zu löschen. In einigen Fällen kann das Prüfprogramm dies nicht tun.
      • Wenn Sie eine Meldung darüber erhalten, dass der Löschvorgang nicht durchgeführt werden konnte, löschen Sie die Datei manuell.
      • Klicken Sie auf den Dateinamen des Risikos, den Sie unter der Spalte "Dateiname" finden.
      • Geben Sie in das angezeigte Feld für Informationen den vollen Pfad und Dateinamen an.
      • Verwenden Sie dann Windows-Explorer, um die Datei zu finden und zu löschen.
  3. Wenn Sie noch im abgesicherten Modus sind, starten Sie den Computer im normalen Modus neu, bevor Sie mit dem folgenden Abschnitt fortfahren.

5. Entfernen eines Werts aus der Registrierung
Wichtig: Wir empfehlen Ihnen nachdrücklich, eine Sicherungskopie der Registrierung anzulegen, bevor Sie Änderungen daran vornehmen. Fehler bei der Änderung von Registrierungseinträgen können zu permanentem Datenverlust oder beschädigten Dateien führen. Ändern Sie nur die angegebenen Unterschlüssel. Lesen Sie das Dokument Erstellen einer Sicherheitskopie der Windows-Registrierung .
  1. Klicken Sie auf Start > Ausführen.
  2. Geben Sie regedit ein.

    Klicken Sie dann auf OK.

  3. Navigieren Sie zu den Unterschlüsseln:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  4. Löschen Sie die folgenden Werte im rechten Teilfenster, wenn sie vorhanden sind:

    "Content Service" = %System%\winserv[Buchstabe].exe
    "twhe" = %Windir%\Anwendungsdaten\wbta.exe
    "Ussi" = %Windir%\Anwendungsdaten\rwsa.exe
    "Ussi" = "%System%\wnscpit.exe"
    "Oesi" = "%SystemDrive%\Dokumente und Einstellungen\[Benutzername]\Anwendungsdaten\srts.exe"
    "Eech" = "%SystemDrive%\Dokumente und Einstellungen\[Benutzername]\Anwendungsdaten\hoor.exe"
    "WNSI" = "%SystemDrive%\Dokumente und Einstellungen\[Benutzername]\Anwendungsdaten\rwsa.exe"
    "Esph" = "%SystemDrive%\Dokumente und Einstellungen\[Benutzername]\Anwendungsdaten\ortu.exe"

  5. Navigieren Sie zu folgenden Unterschlüsseln und löschen Sie sie:

    HKEY_CURRENT_USER\software\purityscan
    HKEY_LOCAL_MACHINE\SOFTWARE\ClickSpring
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared\ClickFlag
    HKEY_USERS\.DEFAULT\Software\Ttee
    HKEY_CURRENT_USER\Software\Toos
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PuritySCAn
    HKEY_CURRENT_USER\Software\Aubt

  6. Schließen Sie den Registrierungseditor.