Spywarestormer/Errorguard/Ceres/

#1 Ein User berichtet:

zwar öffnet sich bei mir auf dem PC ein Pop Up und gibt mir eine Warnmeldung in Englisch, wenn mein PC langsamer ist als vorher, dann könnte er Viren oder sowas haben. Dann werde ich gefragt ob ich den PC scannen will. Ich habe nein gedrückt, da ich keinen Hinweis habe von welchen Programm das ist. Dann öffnet sich wieder ein Pop Up und ich kann es nur schwer wegklicken, es geht immer wieder auf. Eine Seite *www.Spywarestormer.com* öffnet sich. Ist diese jemanden bekannt? Ich habe nie was da runtergeladen oder eine solche Software bewusst runtergeladen....................................

___________________________________________________________________________

Ein serioeser Antispyware-Entwickler wuerde nie mit dieser Art von PopUps arbeiten. Deshalb ist immer Vorsicht geboten, wenn solche Meldungen erscheinen.

Wie man sich Malware einfaengt, indem man einen angeblichen Scanner anklickt:

spywarestormer
#O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - *http://www.spywarestormer.com/files2/Install.cab*

InProcServer32 = C:\WINDOWS\DOWNLO~1\Install.dll
CODEBASE = *http://www.spywarestormer.com/files2/Install.cab*

C:\WINDOWS\Downloaded Program Files\Install.dll

nicht anklicken,!!!!!!!!!!!!!





aber selbst, wenn man "no" anklickt, wird man weiteregeleitet auf:







_____________________________________________________________________________-


O4 - HKLM\..\Run: [ErrorGuard] C:\Programme\ErrorGuard\ErrorGuard.Exe
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab


Userproblem:

Seit ich hier in ebay bin, bekomme ich immer eine englische Warnung, ich müsste den Error Guard laufen lassen, obwohl ich das nicht wollte, fing er an zu suchen und hat 59 Probleme gefunden, daraufhin erschien ein Fenster ich solle 49 euro bezahlen. Was ist das?

Userproblem:
Seit dieser Error guard erschienen ist habe ich Riesenprobleme.

Kommentar:
Eine Deppen - Abzocke.

Error Guards found 470 errors on your computer the last time
you performed a system scan which require immediate repair!
These errors may cause system instability, slow computer speeds,
and frequent computer crashes.
To Repair these errors, you must register Error Guard. To do so,
click the "repair" button below.


Error Guard solltest Du so schnell wie möglich wieder deinstallieren. (Wenn es sich so ohne weiteres deinstallieren läßt.) Das Programm hat einen sehr zweifelhaften Ruf.








__________
MfG Sabina

rund um die PC-Sicherheit

#2 O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - *http://www.errorguard.com/installation/Install.cab*

C:\WINDOWS\Downloaded Program Files\Install.dll

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "{205FF73B-CA67-11D5-99DD-444553540006}" 10.03.2005 16:54:48

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{205FF73B-CA67-11D5-99DD-444553540006}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{205FF73B-CA67-11D5-99DD-444553540006}\Implemented Categories]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{205FF73B-CA67-11D5-99DD-444553540006}\Implemented Categories\{7DD95801-9882-11CF-9FA9-00AA006C42C4}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{205FF73B-CA67-11D5-99DD-444553540006}\Implemented Categories\{7DD95802-9882-11CF-9FA9-00AA006C42C4}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{205FF73B-CA67-11D5-99DD-444553540006}\InprocServer32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{205FF73B-CA67-11D5-99DD-444553540006}\ProgID]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{205FF73B-CA67-11D5-99DD-444553540006}\Programmable]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{205FF73B-CA67-11D5-99DD-444553540006}\TypeLib]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{205FF73B-CA67-11D5-99DD-444553540006}\VersionIndependentProgID]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Install.Install\CLSID]
@="{205FF73B-CA67-11D5-99DD-444553540006}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Install.Install.1\CLSID]
@="{205FF73B-CA67-11D5-99DD-444553540006}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{205FF73B-CA67-11D5-99DD-444553540006}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{205FF73B-CA67-11D5-99DD-444553540006}\Contains]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{205FF73B-CA67-11D5-99DD-444553540006}\Contains\Files]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{205FF73B-CA67-11D5-99DD-444553540006}\DownloadInformation]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{205FF73B-CA67-11D5-99DD-444553540006}\InstalledVersion]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/Install.dll]
".Owner"="{205FF73B-CA67-11D5-99DD-444553540006}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/Install.dll]
"{205FF73B-CA67-11D5-99DD-444553540006}"=""
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo guten morgen;
guten morgen Sabina;

wenn man das alles so liest und mitbekommt was so alles umherschwirrt im netzt bekommt man höllenangst eine seite anzuklicken um mal bischen zu stöbern. ich meine jetzt nicht solche die schon von vornerein als zwielichtige seiten anmuten, sondern einfach eine x-beliebiege auf der man nur informationen sich holen möchte. Seit ich Protecus gefunden habe und verschiedene treads lese, mach ich mir natürlich schon sorgen und gedanken um die sicherheit meiner hardware denn, wenn wirklich garnixmehr hilft muss man ein neues system aufsetzen und wenn man da nicht gut ist hat man schon verloren. Ich hoffe meine vorkehrungen die ich seither getroffen habe (alles empfehlungen von hier aus dem board) schützen mich vor dem gröbsten, denn auch mir ist klar einen vollkommenen schutz gibt es niergends.

Nunja ich hoffe Du oder der User hat alles gut überlebt und den bösewicht wieder runterbekommen und alles funtzt wieder ordnungsgemäs.

wünsche schönen tag noch und frohes chatten

mfg fake


teile dein Wissen, das ist der einzige Weg Unsterbklichkeit zu erlangen. (Dalai Lama)
__________
Teile dein Wissen, denn das ist der einzige Weg Unsterblichkeit zu erlangen (Dalai Lama)

#4 Hallo@fake

Ich hab das natuerlich nicht geladen

Die Registry-Daten sind von anderen Usern, nur die Bilder, die hab ich gemacht, als sie mir ploetzlich aufpoppten.
Ich denke, dass es vielen anderen so geht (und wie ich aus den Threads entnehmen kann,ungluecklicherweise auch laden) und moechte mit diesen Fotos warnen, dass man nie was laden soll, was einem "aufgedraengt" wird.

Es gibt viele andere Beispiele, z.B auch Alerten, die ueber Mail kommen und dann Viren enthalten.
Nur die kann ich leider nicht bildlich festhalten
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hi!

Ich wäre auch beinahe auf dieses ErrorGuard hereingefallen.

Mein Tipp:
Erst einmal bei Google suchen: "Name" Spyware

So bin ich auf dieses Forum gekommen!

#6 Hallo Sabina

zum Thema Error Guard habe ich noch was.
Spybot Search&Destroy 1.3 beseitigt Error Guard.
Wer das Programm noch nicht hat sollte es sich runterladen.
Bei google spybot search&destroy eingeben (am besten: seiten auf deutsch anklicken) und los gehts.

#7 •Search&Destroy
http://www.safer-networking.org/de/download/index.html
Spybot - Search && Destroy process list report,-->bitte abkopieren und posten
__________
MfG Sabina

rund um die PC-Sicherheit

#8 Hallo,
also ich Depp musste diesen Errorguard natürlich installiert, keine ahnung warum, war wohl noch zu früh am Morgen. :)
Hab den einmal durchlaufen lassen und er hat jede Menge Viren oder was auch immer gefunden, dann kam ich endlich da drauf das da irgendwas nicht stimmen kann und ich hab ihn schnell beendet und deinstalliert.
Danach Adaware und SpyBot drüber laufen lassen.
Adaware hat nichts gefunden, Spybot aber.
Habe alles was er gefunden hat gelöscht (versucht zu löschen), jedoch kommen einige nach ein paar Minuten immer wieder, können gar nicht gelöscht werden oder es kommen neue Einträge dazu u.a. Office Registrierungsschlüssel. Spyware soll es zwar nicht sein, aber vorher waren diese Einträge halt nicht da.

HiJackThis hat nichts gefunden.

Hoffe mir kann jemand Antworten geben, danke im Vorraus.

[edit]-> http://board.protecus.de/t16498.htm da gehts weiter :) [/edit]

#9 Company name: Ceres
Internal name: Ceres
Comments: *www.abetterinternet.com*

AdWare.BetterInternet

The ceres.dll is also now being installed with their flashtalk popup ads and some of their offeroptimizer ads are still peddling Spyspotter software that their own popup ads act like adware types.
http://www.spywarewarrior.com/rogue_anti-spyware.htm

O2 - BHO: CeresObj Class - {00000049-8F91-4D9C-9573-F016E7626484} - C:\WINDOWS\ceres.dll<<-Transponder Variant

Suche/loesche:
C:\WINDOWS\Buddy.exe (?)

download.abetterinternet.com/download/cabs/CSDLL_O/ceres.cab
download.abetterinternet.com/download/cabs/ADRMCER1/adrmcer.cab

C:\Windows\Downloaded Program Files\Ceres.cab

C:\WINDOWS\ceres.dll

D:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\THI11D4.tmp\ceres.cab
D:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\THI11D4.tmp\ceres.dll

D:\System Volume Information\_restore{C5B33C5B-C1D1-41D6-AEBD-F88943181D8C}\RP23\A0004796.dll infected by "not-a-virus:AdWare.BetterInternet" Virus.

The newest Transponder Variant that is coming out of aBetterInternet.com is called Ceres.dll and it has a partner it uses called Buddy.exe. When their offeroptimizer.com starts to transmit popup ads, they now come in their socalled Buddy.exe window.

Below is the Ceres ad window (30 March 2005) and a screen shot of the buddy.exe that has the same icon.



File information in the ceres.dll properties
--- Version --------------------------------------------------------
File version: 0, 12, 4, 69
Company name: Ceres
Internal name: Ceres
Comments: www.abetterinternet.com
Legal copyright: Copyright © 2004
Legal trademarks:
Original filename: Ceres.dll
Product name: Ceres
Product version: 0, 12, 4, 69
File description: www.abetterinternet.com

Registry Data:
HKCR
{
CeresDll.CeresDllObj.1 = s 'CeresObj Class'
{
CLSID = s '{00000049-8F91-4D9C-9573-F016E7626484}'
}
CeresDll.CeresDllObj = s 'Ceres Functional Class'
{
CLSID = s '{00000049-8F91-4D9C-9573-F016E7626484}'
CurVer = s 'CeresDll.CeresDllObj.1'
}
NoRemove CLSID
{
ForceRemove {00000049-8F91-4D9C-9573-F016E7626484} = s 'CeresObj Class'
{
ProgID = s 'Ceres.CeresObj.1'
VersionIndependentProgID = s 'Ceres.CeresObj'
ForceRemove 'Programmable'
InprocServer32 = s '%MODULE%'
{
val ThreadingModel = s 'Apartment'
}
'TypeLib' = s '{92daf5c1-2135-4e0c-b7a0-259abfcd3904}'

HKLM
{
NoRemove SOFTWARE
{
NoRemove Microsoft
{
NoRemove Windows
{
NoRemove CurrentVersion
{
NoRemove Explorer
{
NoRemove 'Browser Helper Objects'
{
ForceRemove {00000049-8F91-4D9C-9573-F016E7626484}

The following below is part of the ceres.dll code where it creates the buddy.exe. The rest of the code is still their older variant code and also shows stop-popup-ads-now in the bottom of the code.






__________
MfG Sabina

rund um die PC-Sicherheit

#10 Neue Nachricht vom Errorguard:

Auf der Suche nach einem Songtitel im Net erscheint ploetzlich auf dem Desktop:



klickt man auf ja oder nein (ist egal) wird man auf folgende Seite weitergeleitet:


__________
MfG Sabina

rund um die PC-Sicherheit

#11 Natürlichhhhh hab ich es auch runtergeladen weil ich ja überhaupt kein plan hab von meinem pc später hab ich gedacht hier steht alles auf englisch und englisch kann ich nicht so gut dann hab ich gesagt such mal erst im google hab ich getan und hab gelsen und habe errorguard gelöscht ich glaube bei mir ist nichts passiert oder dochhh?????müsste ich nach dem löschen eigentlich noch etwas machen wenn noch was ist könntet ihr mir hier schreiben und bescheit sagennnnn?? und noch etwas ich hab nicht mal einen Virus program ich glaube das in meine pc ein hjäcker befindet

#12 Hallo@Seda

•Antivirus (free)
http://www.free-av.de/

Nach dem Installationsscan (in Ruhe abwarten und alles Bestaetigen waehrend der Installation:
Optionen--> Konfiguration-->Heuristik-->win32 Datei-heuristik--> aktivieren--> auf Mittel stellen

[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

und dann schau mal auf meiner Seite vorbei (siehe Signatur), da findest du viele Sachen und alles leicht verstaendlich zur Sicherheit

+ dann eroeffne hier im Spyware & Browser Hijacker Support Forum einen Thread und poste dein Log vom HijackThis:

HijackThis
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Lade/entpacke HijackThis in einem Ordner
-->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->
oder:
Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der
Editor -->
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#13

Zitat

sooo hab mich sehr gefreut über ihre antwort aber das gehttt nicht ich war auf der seite http://www.free-av.de/ aber da da gibt es keinen installlationsscann oh mein gottt einmal drück ich da drauf einma hier draufff abeerrrrrrr erst hab ich etwas runtergeladen das war aber nicht das richtigeee es tutu mir leiddd das regt mich aber auch voll auf warum kapier ich es nichttt

Zuerst muss man das Tool laden (auf Download rechts klicken), dann klickt man auf die geladene Datei und es beginnt automatisch ein Installationsscann (wenn was gefragt wird--> immer mit ja bestaetigen)

Dann kann man das Tool konfigurieren und noch einmal so einstellen, dass alle Partionen gescannt werden und unter "Report" das Ergebnis vom Scan abkopieren
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Hallo Sabina!

Habe gerade mein System neu aufgspielt (nach vorheriger Formatierung nmeiner Platten ) und meiner Ansicht nach so (halbwegs) sicher aufgebaut, wie das für einen Normaluser mit etwas mehr Pc-Kenntnissen möglich ist.
Umfasst auch Popup-Killer. Wie bitte sehr schafft es "errorguard" beim laufenden Firefox 1.04 saemtliche Popup-killer zu umgehen?
Haben sich evtl. beim Patchen nach der Neuinstallation meines systems entsprechende Programme von errorguard auf meines festplatte festgebissen, die das ermöglichen?

Meine Anti-spyware hat nichts entdeckt!

MFG

feless

#15 Hallo@feless

Gute Frage, aber leider habe ich keine Antwort darauf, denn auch ich surfe nur mit dem Firefox und die Warnungen, die ich hier veroeffentlicht habe, stammen von mir.

Eine Moeglichkeit waere, den Nachrichten-Dienst zu deaktivieren, doch weiss ich nicht, ob dann Ruhe herrscht
__________
MfG Sabina

rund um die PC-Sicherheit