[Ruby]

Adware.Savenow
(The English Original: Symantec Security Response)

Überblick
Adware.Savenow ist ein Adware Program, das Werbung von einem Server runterlädt und sie auf deinem Rechner abspielt.

Typ:
Adware

Manuelle Entfernung vom System

Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und
Ordner >"alle Dateien und Ordner anzeigen" aktivieren und
>Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner
>"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Beende im Taskmanager/Process Explorer folgende Prozesse:

Save.exe
VVSN.exe
xplus.exe
savenow.exe
WUInst.dll

Hinweis: Suche nach den Prozessen und beende sie!

Unregistern von DLLs:

regsvr32 /u "%WinDir%\%System%\SSubTmr.dll"
regsvr32 /u "%WinDir%\%System%\UNACE.DLL"
regsvr32 /u "%WinDir%\%System%\UNRAR.dll"
regsvr32 /u "%WinDir%\%System%\Unzip32.dll"

Deinstalliere das Programm "SaveUninst.exe" über die Funktion Programme hinzufügen/entfernen der Systemsteuerung.

Du solltest ein Back-Up deiner Registry machen, bevor du sie editierst: back up.

Öffne den Registry Editor.
Klicke auf Start >ausführen, schreib REGEDIT -> [enter]
(oder verwende Registrar Lite)

Wenn du diese Einträge findest, lösche sie:

HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave
HKCR\WUSN.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Uninstall\SaveNow
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Uninstall\Xtractor Plus_is1
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Free Software
HKEY_CLASSES_ROOT\CLSID\{E2F2B9D0-96B9-4B25-B90C-636ECB207D18}

Navigiere zu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run

und lösche auf der rechten Hälfte:

"VVSN" = "%ProgramFiles%\VVSN\VVSN.exe"
"SaveNow" = "%ProgramFiles%\SaveNow\SaveNow.exe"
"WhenUSave" = "%ProgramFiles%\Save\Save.exe"

Schliesse den Registry Editor.

Starte deinen Rechner neu in den abgesicherten Modus

Suche und lösche folgende Einträge, wenn vorhanden, mit dem Windows Explorer:

# %ProgramFiles%\Save\Save.exe
# %ProgramFiles%\Save\Save.html
# %ProgramFiles%\Save\Readme.txt
# %ProgramFiles%\Save\SaveUninst.exe
# %ProgramFiles%\VVSN\VVSN.exe
# %ProgramFiles%\SaveNow\Readme.txt
# %ProgramFiles%\SaveNow\SaveNow.exe
# %ProgramFiles%\SaveNow\SaveNow.htm
# %ProgramFiles%\SaveNow\Uninst.exe
# %ProgramFiles%\Xtractor Plus\hh.html
# %ProgramFiles%\Xtractor Plus\readme.txt
# %ProgramFiles%\Xtractor Plus\unins000.dat
# %ProgramFiles%\Xtractor Plus\unins000.exe
# %ProgramFiles%\Xtractor Plus\xp.exe
# %ProgramFiles%\Xtractor Plus\Xplus.CNT
# %ProgramFiles%\Xtractor Plus\XPLUS.HLP
# %System%\CCRPFTV6.OCX
# %System%\SSubTmr.dll
# %System%\TABCTL32.OCX
# %System%\UNACE.DLL
# %System%\UNRAR.dll
# %System%\Unzip32.dll
# %Windir%\hh.ico
# %Windir%\hhs.url
# %Windir%\Downloaded Program Files\WUInst.dll
# %UserProfile%\Start Menu\Programs\WhenU\Learn More About Save!.url
# %UserProfile%\Start Menu\Programs\WhenU\Learn More About SaveNow.url
# %UserProfile%\Start Menu\Programs\WhenU\WhenU.com Website.url

Hinweis:
%WinDir%, %System%, %ProgramFiles% sind Variable (?). Normalerweise ist dies C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), oder C:\Windows\System32 (Windows XP) und der Programme-Ordner.

Boote in den normalen Modus.

Leere den Inhalt der temporären Ordner mit dem Disk Cleaner.

Führe einen X-Cleaner-Online Scan durch. Information dazu ->klick.

Konfiguriere den IE wie hier empfohlen: Sicherheitseinstellungen!

Bei Windows XP und ME bitte die Systemwiederherstellung im Anschluß an die Reinigungsarbeiten einmal im Wechsel deaktivieren und aktivieren, dazwischen jedes mal neu booten. Zum Schluss muss die Systemwiederherstellung aktiviert, also angestellt sein. Vergib nun einen neuen Systemwiederherstellungspunkt.

Schwerpunktmäßige Übersetzung der englischen Originals/Translated from the English Website of Symantec into German by Ruby.