Adware.Purityscan

Versão para impressão

Atualizado: February 13, 2007 11:33:32 AM
Tipo: Adware
Versão: n/a
Autor: n/a
Impacto do risco: Medium
Nomes de arquivos: rs.ex winservn.exe PuritySCAN.exe wbta.exe Wups.exe hoor.exe May be called one of the fowi
Sistemas afetados: Windows

Comportamento


O Adware.Purityscan é um programa de adware que faz o download de anúncios e os exibe na tela do computador.

Nota: as definições anteriores a 6 de abril de 2005 podem ter detectado essa ameaça como Adware.Purityscan.B, Adware.Purityscan.C ou Adware.Purityscan.D.

Sintomas


  • Os arquivos são detectados como Adware.Purityscan.
  • Uma grande quantidade de janelas pop-up é exibida durante a navegação na Internet.


Transmissão


Este aplicativo de adware somente é instalado manualmente. Entretanto, também pode ser instalado automaticamente como componente de outro programa.

Datas da proteção antivírus

  • Versão inicial do Rapid Release October 02, 2014 revisão 022
  • Última versão do Rapid Release April 23, 2018 revisão 020
  • Versão inicial diária certificada September 05, 2003 revisão 041
  • Última versão diária certificada April 19, 2018 revisão 038
  • Data da versão inicial semanal certificada September 10, 2003

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Atualizado: February 13, 2007 11:33:32 AM
Tipo: Adware
Versão: n/a
Autor: n/a
Impacto do risco: Medium
Nomes de arquivos: rs.ex winservn.exe PuritySCAN.exe wbta.exe Wups.exe hoor.exe May be called one of the fowi
Sistemas afetados: Windows


Devido a uma característica do Adware.PurityScan de se atualizar automaticamente, as informações fornecidas aqui podem sofrer alterações à medida que novas versões do adware são publicadas.

Ao ser executado, o Adware.PurityScan executa as seguintes ações:

  1. Adiciona uma cópia de si à pasta %UserProfile%\Menu Iniciar\Programas\Purity Scan.

    Nota: %UserProfile% é uma variável que se refere à pasta de perfil do usuário atual. Por padrão, é C:\Documents and Settings\<Nome do Usuário Atual> (no Windows NT/2000/XP).

  2. Pode criar os seguintes arquivos (havendo a possibilidade de que a primeira e/ou segunda letra seja substituída por um ponto de interrogação):

    • %System%\wnsinttr.exe
    • %System%\wnscpit.exe
    • %System%\Microsoft.NET.exe
    • %System%\Drivers.exe
    • %System%\WinSxS.exe
    • %System%\Tasks.exe
    • %System%\system32.exe
    • %System%\system.exe
    • %System%\symbols.exe
    • %System%\security.exe
    • %System%\java.exe
    • %System%\Help.exe
    • %System%\Fonts.exe
    • %System%\assembly.exe
    • %System%\AppPatch.exe
    • %System%\regsvr32.exe
    • %System%\regedit.exe
    • %System%\tracert.exe
    • %System%\nslookup.exe
    • %System%\arpa.exe
    • %System%\ping.exe
    • %System%\mshta.exe
    • %System%\nopdb.exe
    • %System%\winword.exe
    • %System%\ati2evxx.exe
    • %System%\spool32.exe
    • %System%\msconfig.exe
    • %System%\userinit.exe
    • %System%\netdde.exe
    • %System%\mmc.exe
    • %System%\scanregw.exe
    • %System%\wucrtupd.exe
    • %System%\wuauboot.exe
    • %System%\wuauclt.exe
    • %System%\wuaclt.exe
    • %System%\rundll.exe
    • %System%\fast.exe
    • %System%\alg.exe
    • %System%\cmd.exe
    • %System%\dexplore.exe
    • %System%\iexplore.exe
    • %System%\notepad.exe
    • %System%\msdtc.exe
    • %System%\javaw.exe
    • %System%\ntvdm.exe
    • %System%\wowexec.exe
    • %System%\winspool.exe
    • %System%\taskmgr.exe
    • %System%\rundll32.exe
    • %System%\msiexec.exe
    • %System%\logonui.exe
    • %System%\dvdplay.exe
    • %System%\dllhost.exe
    • %System%\chkdsk.exe
    • %System%\chkntfs.exe
    • %System%\attrib.exe
    • %System%\winlogon.exe
    • %System%\spoolsv.exe
    • %System%\smss.exe
    • %System%\services.exe
    • %System%\lsass.exe
    • %System%\csrss.exe
    • %System%\svchost.exe
    • %System%\explorer.exe

      Nota: %System% é uma variável que se refere à pasta System. Por padrão é C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) ou C:\Windows\System32 (Windows XP).

  3. Adiciona um ou mais dos seguintes valores:

    "Content Service" = %System%\winserv[letra].exe
    "twhe" = %Windir%\Application Data\wbta.exe
    "Ussi" = %Windir%\Application Data\rwsa.exe
    "Ussi" = "%System%\wnscpit.exe"
    "Oesi" = "%SystemDrive%\Documents and Settings\[nome do usuário]\Application Data\srts.exe"
    "Eech" = "%SystemDrive%\Documents and Settings\[nome do usuário]\Application Data\hoor.exe"
    "WNSI" = "%SystemDrive%\Documents and Settings\[nome do usuário]\Application Data\rwsa.exe"
    "Esph" = "%SystemDrive%\Documents and Settings\[nome do usuário]\Application Data\ortu.exe"

    a uma das seguintes sub-chaves de registro:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    Notas:
    • [letra] é uma letra variável que muda conforme a versão do PuritySCAN. As amostras coletadas apagaram sua versão anterior antes de instalar a mais recente.
    • %SystemDrive% é uma variável que se refere à unidade onde o Windows está instalado. Por padrão, é a unidade C.
    • %Windir% é uma variável que se refere a uma pasta de instalação do Windows. Por padrão é C:\Windows ou C:\Winnt.

  4. Cria as seguintes sub-chaves de registro:

    HKEY_CURRENT_USER\software\purityscan
    HKEY_LOCAL_MACHINE\SOFTWARE\ClickSpring
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared\ClickFlag
    HKEY_USERS\.DEFAULT\Software\Ttee
    HKEY_CURRENT_USER\Software\Toos
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PuritySCAn
    HKEY_CURRENT_USER\Software\Aubt

  5. Cria alguns ou todos os seguintes arquivos:

    • %Program Files%\PurityScan\PuritySCAN.exe
    • %ProgramFiles%\PurityScan\PuritySCANUninstall.exe
    • %System%\Winserv[letra].exe
    • %System%\Winservn.exeps_uninstaller.exe
    • %CurrentFolder%\Rs.exe
    • %Windir%\Application\Data\Wbta.exe
    • %SystemDrive%\Documents and Settings\[nome do usuário]\Application Data\srts.exe
    • %SystemDrive%\Documents and Settings\[nome do usuário]\Application Data\hoor.exe
    • %SystemDrive%\Documents and Settings\[nome do usuário]\Application Data\rbap.exe
    • %SystemDrive%\Documents and Settings\[nome do usuário]\Application Data\rwsa.exe

      Nota:
    • %ProgramFiles% é uma variável que se refere à pasta de arquivos de programas. Por padrão é C:\Arquivos de programas.
    • %CurrentFolder% é uma variável que se refere à pasta onde o risco foi executado pela primeira vez.

  6. Pode criar a pasta %UserProfile%\Application Data\ilas.

  7. Cria um atalho para o risco à segurança.

  8. Entra em contato com um servidor remoto no domínio clickspring.net. Depois, o adware envia informações sobre o sistema e o status da instalação ao servidor e verifica se há atualizações disponíveis para serem instaladas.

  9. Verifica os arquivos do Internet Explorer, inclusive arquivos do navegador, cache, histórico e cookies em busca de palavras-chave relacionadas a material de uso adulto. Em seguida, exibe anúncios.

  10. Faz o download de e exibe anúncios a partir de websites nos seguintes domínios:
    • fp.clickspring.net
    • www.clickspring.net
    • legend.psdtools.com
    • pisces.clickspring.com
    • app.whenu.com


Atualizado: February 13, 2007 11:33:32 AM
Tipo: Adware
Versão: n/a
Autor: n/a
Impacto do risco: Medium
Nomes de arquivos: rs.ex winservn.exe PuritySCAN.exe wbta.exe Wups.exe hoor.exe May be called one of the fowi
Sistemas afetados: Windows



Remoção utilizando o programa de desinstalação do PuritySCAN.
Quando este documento foi escrito, um programa de desinstalação estava disponível no website da PuritySCAN.com. Acesse http://www.purityscan.com/uninstall.html e siga as instruções.

O Symantec Security Response não testou o desinstalador da PuritySCAN. Se tiver alguma dúvida, entre em contato com o suporte técnico dessa empresa.


Remoção manual
As instruções a seguir se aplicam a todos os produtos antivírus Symantec que suportam a detecção de riscos à segurança.

  1. Atualize as definições de vírus.
  2. Reinicie o computador em Modo de Segurança.
  3. Finalize os processos associados ao adware.
  4. Execute uma verificação completa do sistema.
  5. Apague todos os valores adicionados ao registro.
Para mais informações sobre cada uma dessas etapas, consulte as instruções a seguir.

1. Atualizando as definições de vírus
Para obter as definições mais recentes, inicie o produto Symantec e execute o LiveUpdate.


2. Reiniciando o computador em Modo de Segurança
Desligue o computador. Aguarde pelo menos 30 segundos e reinicie o computador em Modo de Segurança. Para mais informações, consulte o documento Iniciando o computador em Modo de Segurança .

3. Finalizando os processos associados ao Adware.Purityscan
  • Windows NT/2000/XP
    Para finalizar o processo:
    1. Pressione Ctrl+Alt+Delete uma vez.
    2. Clique em Gerenciador de tarefas.
    3. Clique na guia Processos.
    4. Clique duas vezes sobre a coluna Nome da imagem para ordenar os processos em ordem alfabética.
    5. Role pela lista e procure por purityscan.exe, rs.exe, winserv[letter].exe e winservn.exeps_uninstaller.exe.
    6. Se encontrar algum desses arquivos, clique em cada um e clique em Finalizar processo.
    7. Feche o Gerenciador de tarefas.

  • Windows 95/98/Me
    Para fechar o programa:
    1. Pressione Ctrl+Alt+Delete uma vez.
    2. Na lista Fechar programa, procure por purityscan.exe, rs.exe,winserv[letra].exe e winservn.exeps_uninstaller.exe.
    3. Se encontrar algum desses arquivos, clique em cada um e clique em Finalizar tarefa. Clique novamente em Finalizar tarefa se for exibida uma segunda caixa de diálogo. Isso fechará a caixa de diálogo Fechar programa.
    4. Repita as etapas de a a c quantas vezes forem necessárias para fechar os programas listados na etapa b.

4. Executando a verificação
  1. Inicie o produto antivírus Symantec e execute uma verificação completa do sistema.
  2. Se algum arquivo for detectado como Adware.PurityScan, dependendo da versão do programa utilizada, é possível que uma ou mais das seguintes opções sejam exibidas:

    Nota: isso somente se aplica às versões do Norton AntiVirus que suportam a detecção de riscos à segurança. Se estiver executando uma versão do Symantec AntiVirus Corporate Edition que suporta a detecção de riscos à segurança e essa opção estiver ativada, somente será possível ver uma caixa de mensagem fornecendo os resultados da verificação. Se tiver dúvidas em relação a essa situação, entre em contato com o administrador de rede.
    • Excluir (Não recomendado): se clicar nesse botão, o risco à segurança será definido de forma a não ser mais detectado. Isto é, o programa antivírus manterá o risco à segurança no computador e não o detectará futuramente para que seja removido.

    • Ignorar: esta opção ignora o risco à segurança somente na verificação em execução no momento. O risco à segurança será detectado novamente da próxima vez que uma verificação for executada.

    • Cancelar: esta é uma nova opção do Norton AntiVirus 2005 que é utilizada quando o programa determina que não é possível apagar um risco à segurança. Essa opção ignora o risco à segurança somente nessa verificação. Assim, o risco à segurança será detectado novamente da próxima vez que uma verificação for executada.

      Para apagar de fato o risco à segurança:
      • Clique no nome do arquivo (sob a coluna Nome do arquivo).
      • Nas informações do item que são exibidas, anote o caminho completo e o nome do arquivo.
      • Depois, utilize o Windows Explorer para localizar e apagar o arquivo.

    • Apagar: esta opção tentará apagar os arquivos detectados. Em alguns casos, não será possível fazer isso.
      • Se a seguinte mensagem for exibida: “Falha na exclusão” (ou mensagem semelhante), apague o arquivo manualmente.
      • Sob a coluna Nome do arquivo, clique no nome do arquivo do risco à segurança.
      • Nas informações do item que são exibidas, anote o caminho completo e o nome do arquivo.
      • Depois, utilize o Windows Explorer para localizar e apagar o arquivo.
  3. Se ainda estiver em Modo de Segurança, reinicie o computador em Modo Normal antes de ir para a próxima seção.

5. Excluindo o valor do registro
Importante: a Symantec recomenda fazer um backup do registro antes de fazer quaisquer alterações. Alterações incorretas no registro podem resultar na perda permanente de dados ou em arquivos corrompidos. Altere somente as sub-chaves especificadas. Consulte o documento Fazendo um backup do Registro do Windows .
  1. Clique em Iniciar > Executar.
  2. Digite   regedit
  3. Clique em OK.

  4. Navegue até as sub-chaves:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  5. No painel direito, exclua os seguintes valores (se existirem):

    "Content Service" = %System%\winserv[letra].exe
    "twhe" = %Windir%\Application Data\wbta.exe
    "Ussi" = %Windir%\Application Data\rwsa.exe
    "Ussi" = "%System%\wnscpit.exe"
    "Oesi" = "%SystemDrive%\Documents and Settings\[nome do usuário]\Application Data\srts.exe"
    "Eech" = "%SystemDrive%\Documents and Settings\[nome do usuário]\Application Data\hoor.exe"
    "WNSI" = "%SystemDrive%\Documents and Settings\[nome do usuário]\Application Data\rwsa.exe"
    "Esph" = "%SystemDrive%\Documents and Settings\[nome do usuário]\Application Data\ortu.exe"

  6. Navegue até e apague as sub-chaves:

    HKEY_CURRENT_USER\software\purityscan
    HKEY_LOCAL_MACHINE\SOFTWARE\ClickSpring
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared\ClickFlag
    HKEY_USERS\.DEFAULT\Software\Ttee
    HKEY_CURRENT_USER\Software\Toos
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PuritySCAn
    HKEY_CURRENT_USER\Software\Aubt

  7. Saia do Editor do Registro.