Adware.180Search
Letztes Update vom: 18. April 2005 12:21:38 PM
Typ: Adware
Name: 180Search Assistant
Version: n/a
Publisher: 180Solutions
Infizierte Systeme: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Risiko: Hoch
Verhaltensweise:
Adware.180Search ist ein Adware Programm, das den Inhalt des Internet Browser Fensters steuert.
Es öffnet Partner Webseiten, wenn es bestimmte Schlüssel in Such- oder Einkaufsseiten entdeckt.
Hinweis: Funde die vor dem 10. März 2005 datiert sind, behandeln diese Adware als Adware.Ncase.
Symptome
Die Files werden als Adware.180Search bezeichnet.
Übertragung
Adware.180Search kann manuell oder als Teil anderer Software installiert werden.
Technische Details
File Namen:
Msbb.exe
Boomerang.exe
ClientAX.dll
180SAInstaller.dll
setup4156.exe
Wenn das Programm Adware.180Search ausgeführt wird, passiert folgendes:
1. Es installiert sich an folgenden Stellen:
%Program Files%\180search Assistant\sau.exe
%Program Files%\180search Assistant\sau.log
%Program Files%\180search Assistant\sau.dll
%Program Files%\180search Assistant\sac.exe
%Program Files%\180search Assistant\sachook.dll
%Windir%\{random file name}.exe
Beachte:
%ProgramFiles% ist eine Variable des jeweiligen Program File-Ordners. Normalerweise ist dies C:\Program Files.
%Windir% ist eine Variable des Windows Installations Ordners. Normalerweise ist dies C:\Windows (Windows 95/98/Me/XP) oder C:\Winnt (Windows NT/2000).
2. Fügt folgende Values (Werte) zu:
"MSBB" = "[Pfad zum Adware file]"
"sau" = "%ProgramFiles%\180search assistant\sau.exe"
zum Registry key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run
damit die Adware jederzeit mitstartet, wenn Windows gestartet wird.
3. Erstellt folgende Registry Einträge:
HKEY_CLASSES_ROOT\CLSID\{99410CDE-6F16-42ce-9D49-3807F78F0287}
HKEY_CLASSES_ROOT\CLSID\{B10031B2-F184-4803-9A88-D239C0641D70}
HKEY_CLASSES_ROOT\Interface\{2B0ECEAC-F597-4858-A542-D966B49055B9}
HKEY_CLASSES_ROOT\Interface\{DDEA2E1D-8555-45E5-AF09-EC9AA4EA27AD}
HKEY_CLASSES_ROOT\Interface\{A79F8202-E09D-4F0F-AD4D-DCAE1DAC5994}
HKEY_CLASSES_ROOT\TypeLib\{5B6689B5-C2D4-4DC7-BFD1-24AC17E5FCDA}
HKEY_CLASSES_ROOT\TypeLib\{F2BF4713-E933-4B66-8694-22ED243709C7}
HKEY_CLASSES_ROOT\ClientAX.ClientInstaller
HKEY_CLASSES_ROOT\ClientAX.ClientInstaller.1
HKEY_CLASSES_ROOT\180SAInstaller.180SAInstaller
HKEY_CLASSES_ROOT\180SAInstaller.180SAInstaller.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Uninstall\sau
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{99410CDE-6F16-42ce-9D49-3807F78F0287}
HKEY_LOCAL_MACHINE\SOFTWARE\sau
HKEY_CURRENT_USER\Software\sau
HKEY_CURRENT_USER\Software\180solutions
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Uninstall\nCASE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Uninstall\msbb
4. Steuert den Inhalt des Internet Browser Fensters.
Wenn bestimmte konfigurierbare Schlüsselworte im Internet Such- oder Einkaufs Fenster des Internet Browsers entdeckt werden, führt diese Adware zu einer ihrer Partnerseiten.
5. Steuert das Vorhandensein der restlichen Adware.
Diese Komponente kann jene Adware reparieren, die zum Teil entfernt worden ist.
Hinweise zur Entfernung
Beachte: diese Adware vom System zu entfernen bedeutet, dass das Programm, das sie installiert hat, nicht mehr funktioniert. Der Uninstaller setzt das Mutterprogramm ausser Kraft, so dass es nach der Deinstallation nicht mehr funktionieren wird.
Entfernung mit dem Adware.180Search Removal Tool
Symantec Security Response hat ein Removal Tool gegen Adware.180Search entwickelt. Verwende zuerst dieses Removal Tool, da es die einfachste Möglichkeit ist, diese Seuche zu beenden.
Das Removal Tool ist hier zu finden: http://securityresponse.symantec.com...r/Fix180Sh.exe
Die aktuelle Version dieses Tools ist 1.0.5. Sie wird einen digitalen Signature Zeitstempel versehen.
Es wird berichtet, dass ein System, das mit Adware.180Search infiziert ist, weitere Security Risiken trägt.
Symantec empfiehlt folgende Schritte auszuführen:
1. Wende das Adware.180Search Removal Tool an.
2. Update dein AntiViren-Progamm
3. Lass einen Full System Scan laufen, um weitere Risiken vom System zu entfernen.
4. Wenn der Scan weitere Sicherheitsrisiken aufzeigt, folge der Anleitung zur manuellen Entfernung.
Manuelle Entfernung
Um diese Adware zu deinstallieren, führe folgendes aus
1. In der Windows Taskbar:
1. Klicke Start > Einstellungen > Systemsteuerung.
2. In der Systemsteuerung, Doppelklick auf Add/Remove Programme.
2. Klicke auf den 180Search Assistant.
Beachte: du musst möglicherweise den Scrollbalken betätigen, um das Programm zu finden.
3. Klicke auf Add/Remove, Change/Remove, oder Remove. Folge den Anweisungen.
3. Scanne nach diesen Files und lösche sie.
1. Lass dein AntiVirus-Programm laufen und mache einen Full System Scan.
2. Jeder File, der als Adware.180Search entdeckt wird, muss gelöscht werden.
4. (Es wird empfohlen, ein BackUp der Registry anzulegen, bevor sie editiert wird.
VORSICHT: dieses BackUp ist verseucht!)
Beachte: dies wird gemacht, um sicher zu gehen, dass alle Schlüsselworte und -werte vom System entfernt werden.
Wenn der Uninstaller sie mitentfernt hat, kann es sein, dass sie nicht mehr zu finden sind.
1. Klicke START > ausführen.
2. Schreib REGEDIT
Klicke OK. (Der Registry Editor öffnet sich.)
3. Navigiere zu dem Schlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run
4. Auf der rechten Seite, lösche den Value (Wert):
"MSBB" = "[Path to adware file]"
"sau" = "%ProgramFiles%\180search assistant\sau.exe"
5. Navigiere zu und lösche folgende subkeys:
HKEY_CLASSES_ROOT\CLSID\{99410CDE-6F16-42ce-9D49-3807F78F0287}
HKEY_CLASSES_ROOT\CLSID\{B10031B2-F184-4803-9A88-D239C0641D70}
HKEY_CLASSES_ROOT\Interface\{2B0ECEAC-F597-4858-A542-D966B49055B9}
HKEY_CLASSES_ROOT\Interface\{DDEA2E1D-8555-45E5-AF09-EC9AA4EA27AD}
HKEY_CLASSES_ROOT\Interface\{A79F8202-E09D-4F0F-AD4D-DCAE1DAC5994}
HKEY_CLASSES_ROOT\TypeLib\{5B6689B5-C2D4-4DC7-BFD1-24AC17E5FCDA}
HKEY_CLASSES_ROOT\TypeLib\{F2BF4713-E933-4B66-8694-22ED243709C7}
HKEY_CLASSES_ROOT\ClientAX.ClientInstaller
HKEY_CLASSES_ROOT\ClientAX.ClientInstaller.1
HKEY_CLASSES_ROOT\180SAInstaller.180SAInstaller
HKEY_CLASSES_ROOT\180SAInstaller.180SAInstaller.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Uninstall\sau
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{99410CDE-6F16-42ce-9D49-3807F78F0287}
HKEY_LOCAL_MACHINE\SOFTWARE\sau
HKEY_CURRENT_USER\Software\sau
HKEY_CURRENT_USER\Software\180solutions
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Uninstall\nCASE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Uninstall\msbb
6. Schliesse den Registry Editor.
5. Um weitere Files dieser Adware zu löschen, verwende den Windows Explorer und lösche den Ordner %ProgramFiles%\180search Assistant
Adware.180Search - Symantec Security Response
aus dem Englischen ins Deutsche übertragen von/translated from English into German by Ruby
