h*tp://www.web--search.com/

[Ruby]

ADW_TOOLBAND.B

Entdeckungsdatum: 24. November 2004

Beschreibung:

Alias: Win32.Startpage.Kv [Trojan], PMS/SeacrhBar.Dll.2

Typ: Adware/Browser Helper Objects

Infizierte Systeme: Windows 95, 98, ME, NT, 2000, XP

Name des Installers: ToolBand.dll

Herkunft: unbekannt

Download URL: h*tp://www.web--search.com/

Diese Adware trifft als .DLL File ein. Sie führt sich nicht von selbst aus. Sie verlangt Unterstützung von Seiten des Users oder durch eine Dritt-Anwendung, um sich auf einem betroffenen System zu registrieren.

Sie verändert die Start- und Search-Seiten des Internet Explorers und richtet sie auf die URL "www.web--search.com", die Website einer Suchmaschine.

Problem-Lösung:

HINWEISE ZUR MANUELLEN ENTFERNUNG

Bei der Anwendung von Windows XP und ME muss die Systemwiederherstellung deaktiviert werden.

Zur Identifizierung des Adware Programms

Lade das letzte Spyware Pattern File runter und scanne damit dein System. Schreibe alle Files auf, die als ADW_TOOLBAND.B entdeckt werden. Lösche dann alle Files, die als ADW_TOOLBAND.B. entdeckt werden.

Deinstallation des Adware Programms

1. Öffne die Eingabeaufforderung. Klick Start>Einstellungen>Systemsteuerung.
2. Finde und deinstalliere, wenn du es findest:

SBSoft

Adware Einträge aus der Registry entfernen (Registrar Lite):

1. Öffne den Registry Editor. Klick Start>ausführen, schreibe REGEDIT, drücke dann Enter.
2. In der linken Hälfte, Doppelklick auf Folgendes:
HKEY_CLASSES_ROOT>CLSID>
3. Immer noch in der linken Hälfte, finde und lösche den folgenden subkey:
{30192F8D-0958-44E6-B54D-331FD39AC959}
4. In der linken Hälfte, Doppelklick auf Folgendes:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>
CurrentVersion>Explorer>Browser Helper Objects>
5. Immer noch in der linken Hälfte, finde und lösche den folgenden subkey:
{30192F8D-0958-44E6-B54D-331FD39AC959}
6. In der linken Hälfte, Doppelklick auf Folgendes:
HKEY_CLASSES_ROOT>
7. Immer noch in der linken Hälfte, finde und lösche den folgenden subkey:
ToolBand.StartBHO
8. In der linken Hälfte, Doppelklick auf Folgendes:
HKEY_CLASSES_ROOT>CLSID>
9. Immer noch in der linken Hälfte, finde und lösche den folgenden subkey:
{30192F8D-0958-44E6-B54D-331FD39AC959}
10. In der linken Hälfte, Doppelklick auf Folgendes:
HKEY_CLASSES_ROOT>Interface>
11. Immer noch in der linken Hälfte, finde und lösche den folgenden subkey:
{1DE9EE01-DF51-49DB-9BDD-5990B35C1C2A}
12. In der linken Hälfte, Doppelklick auf Folgendes:
HKEY_CLASSES_ROOT>
13. Immer noch in der linken Hälfte, finde und lösche den folgenden subkey:
ToolBand.ToolBandObj
14. In der linken Hälfte, Doppelklick auf Folgendes:
HKEY_CLASSES_ROOT>CLSID>
15. Immer noch in der linken Hälfte, finde und lösche den folgenden subkey:
{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
16. In der linken Hälfte, Doppelklick auf Folgendes:
HKEY_CLASSES_ROOT>Interface>
17. Immer noch in der linken Hälfte, finde und lösche den folgenden subkey:
{95B92D92-8B7D-4A19-A3F1-43113B4DBCAF}
18. In der linken Hälfte, Doppelklick auf Folgendes:
HKEY_CLASSES_ROOT>TypeLib>
19. Immer noch in der linken Hälfte, finde und lösche den folgenden subkey:
{5297E905-1DFB-4A9C-9871-A4F95FD58945}
20. In der linken Hälfte, Doppelklick auf Folgendes:
HKEY_CURRENT_USER>Software>
21. Immer noch in der linken Hälfte, finde und lösche den folgenden subkey:
SerG
22. Schließe den Registry Editor.

Wiederherstellung der Internet Explorer Home- und Search Page

Sicherheitseinstellungen für den Internet Explorer

Details

Die Adware setzt sich als Browser Helper Objekt (BHO) ein, indem es eine Class ID schafft, die zu ihrem File und File-Namen weist. Sie schafft folgenden Registry Schlüssel und setzt darin die korrespondierende Class ID ab:

HKEY_CLASSES_ROOT\CLSID\{30192F8D-0958-44E6-B54D-331FD39AC959}

Dann fügt sie die geschaffene Class ID dem Schlüssel der BHO an:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Explorer\Browser Helper Objects\
{30192F8D-0958-44E6-B54D-331FD39AC959}

Nachdem sie die Class ID als BHO registriert hat, schafft sie neue Class ID's und weitere registry Einträge, die zu diesem Adware Pfad und Filenamen weisen, der wiederum durch andere Adware benutzt werden kann. Diese Adware plaziert erforderliche Daten zur Schaffung anderer Class ID's in folgende Registry Schlüssel:

HKEY_CLASSES_ROOT\ToolBand.StartBHO

HKEY_CLASSES_ROOT\CLSID\{30192F8D-0958-44E6-B54D-331FD39AC959}

HKEY_CLASSES_ROOT\Interface\{1DE9EE01-DF51-49DB-9BDD-5990B35C1C2A}

HKEY_CLASSES_ROOT\ToolBand.ToolBandObj

HKEY_CLASSES_ROOT\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}

HKEY_CLASSES_ROOT\Interface\{95B92D92-8B7D-4A19-A3F1-43113B4DBCAF}

HKEY_CLASSES_ROOT\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}

HKEY_CURRENT_USER\Software\SerG



Analyse von: Mary Gabriel

Translation of/Übersetzung von Ruby
Mehr dazu auf der Original-Seite von TREND MICRO / Users speaking English, please take a look to the Original Page of TREND MICRO:
ADW_TOOLBAND.B