Adware.BargainBuddy

Druckansicht

Aktualisiert: February 13, 2007 11:32:42 AM
Typ: Adware
Version: 1.0
Herausgeber: exact Advertising
Auswirkung des Risikos: Medium
Dateinamen: Apuc.dll Bargains.exe Autoheal.exe package_MARKETING27.exe
Betroffene Systeme: Windows

Verhalten


Adware.BargainBuddy überwacht die Internetnutzung und zeigt Werbung an.

Symptome


Die Dateien werden als Adware.BargainBuddy erkannt.

Übertragung


Dieses Sicherheitsrisiko kann als Komponente eines anderen Programms installiert werden.

Termine für Antivirus-Schutz

  • Erste Rapid Release-Version October 02, 2014 Änderung 022
  • Latest Rapid Release version May 13, 2018 Änderung 007
  • Erste Daily Certified-Version August 18, 2003 Änderung 002
  • Latest Daily Certified version May 13, 2018 Änderung 022
  • Initial Weekly Certified release date August 18, 2003

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Aktualisiert: February 13, 2007 11:32:42 AM
Typ: Adware
Version: 1.0
Herausgeber: exact Advertising
Auswirkung des Risikos: Medium
Dateinamen: Apuc.dll Bargains.exe Autoheal.exe package_MARKETING27.exe
Betroffene Systeme: Windows


Wenn Adware.BargainBuddy ausgeführt wird, führt das Installationsprogramm die folgenden Aktionen durch:

  1. Erstellt einige Dateien und Unterordner in folgendem Bereich:
    • %ProgramFiles%\Bargain Buddy


      Hinweis: %ProgramFiles% ist eine Variable, die sich auf den Programmdateien-Ordner bezieht. Standardmäßig ist dies C:\Programme.


  2. Erstellt möglicherweise einige oder alle der folgenden Dateien:
    • %System%\angelex.exe
    • %System%\instsrv.exe
    • %System%\msexreg.exe
    • %System%\netut80ex.vxd
    • %System%\bbchk.exe
    • %System%\exclean.exe
    • %System%\exdl.exe
    • %System%\exdl0.exe
    • %System%\exdl1.exe
    • %System%\exul.exe
    • %System%\javexulm.vxd
    • %System%\mqexdlm.srg
    • %System%\msbe.dll
    • %System%\msxct.exe
    • %Windir%\bbchk.exe
    • %Windir%\exclean.exe
    • %Windir%\exdl.exe
    • %Windir%\exul.exe
    • %Windir%\msxct.exe
    • %Windir%\msxct1.ini
    • %Windir%\zeta.exe
    • %Windir%\ahcb.exe
    • %Windir%\Prefetch\gcrc.txt
    • %Windir%\msxct1.ini
    • %System%\vx0.nls
    • %System%\vx0x.nls
    • %System%\vx1.nls
    • %System%\vx1x.nls
    • %System%\vx2.nls
    • %System%\vx2x.nls
    • %System%\vx3.nls
    • %System%\vx3x.nls
    • %System%\javex80.vxd
    • %System%\ide21201.vxd
    • %System%\netut80ex[ZWEI WILLKÜRLICHE ZEICHEN].vxd
    • %System%\psis80ex.ax
    • %System%\mac80ex.idf
    • %System%\trkgif.exe
    • %Windir%\bargain4.exe
    • %Windir%\*MARKETING*.exe
    • %Windir%\Downloaded Program Files\installer_MARKETING1.exe
    • %UserProfile%\Local Settings\Temp\bb.exe


      Hinweise:
    • %System% ist eine Variable und bezieht sich auf den Systemordner. Standardmäßig ist dies C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) oder C:\Windows\System32 (Windows XP).
    • %Windir% ist eine Variable und bezieht sich auf den Windows-Installationsordner. In der Regel ist dies C:\Windows (Windows 95/98/Me/XP) oder C:\Winnt (Windows NT/2000).
    • %ProgramFiles% ist eine Variable, die sich auf den Programmdateien-Ordner bezieht. Standardmäßig ist dies C:\Programme.
    • %UserProfile% ist eine Variable, die sich auf den aktuellen Benutzerprofil-Ordner bezieht. Standardmäßig ist dies C:\Dokumente und Einstellungen\<Aktueller Benutzer> (Windows NT/2000/XP).


  3. Fügt möglicherweise einige der folgenden Werte:

    "Bargains" = "%ProgramFiles%\Bargain Buddy\bin\bargains.exe"
    "msxct"   = "msxct.exe"

    dem folgenden Registrierungsunterschlüssel hinzu:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    Dadurch wird das Risiko ausgeführt, sobald Windows gestartet wird.

  4. Er erstellt die folgenden Registrierungsunterschlüssel:

    HKEY_LOCAL_MACHINE\Software\Bargains
    HKEY_LOCAL_MACHINE\Software\exactUtil
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
    \Uninstall\Bargains
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Uninstall\BargainBuddy
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
    \explorer\Browser Helper Objects\{CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database
    \Distribution Units\{0878B424-1F95-4E26-B5AB-F0D349D89650}
    HKEY_CLASSES_ROOT\CLSID\{CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1}
    HKEY_CLASSES_ROOT\Interface\C6906A23-4717-4E1F-B6FD-F06EBED14177}
    HKEY_CLASSES_ROOT\Interface\{8EEE58D5-130E-4CBD-9C83-35A0564EA119}
    HKEY_CLASSES_ROOT\TypeLib\{4EB7BBE8-2E15-424B-9DDB-2CDB9516A2A3}
    HKEY_LOCAL_MACHINE\Software\Classes\Apuc.UrlCatcher
    HKEY_LOCAL_MACHINE\Software\Classes\Apuc.UrlCatcher.1
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ZESOFT
    HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\_SC_ZESOFT

  5. Überwacht den Internetgebrauch. Es ist berichtet worden, dass die Werbesoftware möglicherweise versucht, Informationen zu einem entfernten Server zu senden.

  6. Lädt Werbungen von der Domäne adp.ikena.com auf TCP-Port 80 herunter und zeigt sie an.


Aktualisiert: February 13, 2007 11:32:42 AM
Typ: Adware
Version: 1.0
Herausgeber: exact Advertising
Auswirkung des Risikos: Medium
Dateinamen: Apuc.dll Bargains.exe Autoheal.exe package_MARKETING27.exe
Betroffene Systeme: Windows


Entfernungsprogramm
Symantec Security Response hat ein Entfernungsprogramm für Adware.BargainBuddy entwickelt. Das Entfernungsprogramm ist die einfachste Möglichkeit, um dieses Risiko zu beseitigen, und sollte daher als Erstes ausprobiert werden.

Das Programm kann hier gefunden werden: http://securityresponse.symantec.com/avcenter/FixBargainbuddy.exe

Die aktuelle Version des Programms ist 1.0.4 und hat eine digitale Unterschrift mit dem Datum 26/08/2005 05:43:26 AM PDT.


Hinweis: Das angezeigte Datum und die Uhrzeit werden Ihrer Zeitzone angepasst, wenn Ihr Computer nicht auf die pazifische Zeitzone eingestellt ist.


Es ist berichtet worden, dass ein mit diesem Sicherheitsrisiko infizierter Computer möglicherweise auch andere Sicherheitsrisiken installiert haben kann. Symantec empfiehlt, dass die folgenden Schritte durchgeführt werden:
  1. Führen Sie das Adware.BargainBuddy-Entfernungsprogramm aus.
  2. Aktualisieren Sie die Definitionen.
  3. Führen Sie eine vollständige Systemprüfung aus, um alle anderen Sicherheitsrisiken auf dem Computer zu erkennen.
  4. Wenn die Prüfung ein weiteres Sicherheitsrisiko erkennt, beachten Sie die Entfernungsprogramme unter http://securityresponse.symantec.com/avcenter/security.risks.tools.list.html.
  5. Wenn es keine Entfernungsprogramme für die Sicherheitsrisiken gibt, die erkannt werden, befolgen Sie die Anweisungen zur manuelle Entfernung, die in der Beschreibung des Risikos aufgeführt werden.


Manuelle Entfernung
Die folgenden Anweisungen gelten für alle Virenschutzprodukte von Symantec, die die Erkennung von Sicherheitsrisiken unterstützen.
  1. Aktualisieren Sie die Definitionen.
  2. Deinstallieren Sie BargainBuddy mit dem Applet "Software" in der Systemsteuerung.
  3. Führen Sie eine vollständige Systemprüfung durch und löschen Sie alle Dateien, die als mit Adware.BargainBuddy infiziert erkannt werden.
  4. Entfernen Sie den in die Registrierung geschriebenen Wert.
Detaillierte Informationen zu diesen Verfahren finden Sie in den folgenden Anweisungen.


1. Aktualisieren der Virendefinitionen
Um die neuesten Definitionen zu beziehen, starten Sie Ihr Symantec-Programm und führen Sie LiveUpdate aus.


2. Deinstallieren des Sicherheitsrisikos
  1. Führen Sie einen der folgenden Schritte durch:
    • Auf der Windows 98-Tasleiste:
      1. Klicken Sie auf Start > Einstellungen > Systemsteuerung.
      2. Doppelklicken Sie im Systemsteuerungsfenster auf Software.

    • Auf der Windows Me-Taskleiste:
      1. Klicken Sie auf Start > Einstellungen > Systemsteuerung.
      2. Doppelklicken Sie im Systemsteuerungsfenster auf Software.
        Wenn Sie das Symbol für "Software" nicht sehen, klicken Sie auf Alle Systemsteuerungsoptionen anzeigen.

    • Auf der Windows 2000-Tasleiste:
      Standardmäßig ist Windows 2000 wie Windows 98 eingerichtet. In diesem Fall befolgen Sie die Anweisungen für Windows 98. Andernfalls klicken Sie auf Start > Einstellungen > Systemsteuerung und klicken Sie dann auf Software.

    • Auf der Windows XP-Taskleiste:
      1. Klicken Sie auf Start > Systemsteuerung.
      2. Doppelklicken Sie im Systemsteuerungsfenster auf Software.

  2. Klicken Sie auf The BullsEye Network.


    Hinweis: Sie müssen möglicherweise die Bildlaufleiste verwenden, um die ganze Liste anzuzeigen.

  3. Klicken Sie auf Hinzufügen/Entfernen, Ändern/Entfernen oder Entfernen (dies variiert je nach Betriebssystem). Folgen Sie den Anweisungen auf dem Bildschirm.


    Hinweis: Nachdem Sie das Applet Software ausgeführt haben, sollten alle Dateien entfernt sein. Sie sollten jedoch eine vollständige Systemprüfung ausführen, um sicherzustellen, dass dies auch wirklich der Fall ist. Jedoch ist es möglich, dass keine Dateien mehr entdeckt werden, nachdem Sie das Risiko über Software deinstalliert haben.


3. Prüfen des Computers und Löschen von infizierten Dateien

Starten Sie Norton AntiVirus und stellen Sie sicher, dass es dazu konfiguriert ist, dass alle Dateien geprüft werden. Weitere Informationen dazu finden Sie im Dokument Norton AntiVirus zum Prüfen aller Dateien einstellen .
  1. Führen Sie eine vollständige Systemprüfung durch.
  2. Wenn Dateien als mit Adware.BargainBuddy infiziert gemeldet werden, klicken Sie auf Löschen. Wenn Norton AntiVirus meldet, dass es die Datei nicht löschen kann, navigieren Sie mit Windows Explorer zum Ordner, der die Datei enthält, und löschen Sie die Datei dann manuell.


    Hinweis: Dies gilt nur für Versionen von Norton AntiVirus, die die Sicherheitsrisiko-Erkennung unterstützen. Wenn Sie eine Version von Symantec AntiVirus Corporate Edition verwenden, die die Sicherheitsrisiko-Erkennung unterstützt, und die Sicherheitsrisiko-Erkennung ist aktiviert worden, sehen Sie lediglich ein Meldungsfeld, das die Ergebnisse der Prüfung angibt. Wenn Sie Fragen zu dieser Situation haben, kontaktieren Sie Ihren Netzwerkadministrator.

    • Ausschließen (nicht empfohlen): Wenn Sie auf diese Schaltfläche klicken, stellen Sie Ihr Programm so ein, dass das Risiko nicht mehr entdeckt wird. Das heißt, das Virenschutzprogramm behält das Sicherheitsrisiko auf Ihrem Computer und erkennt es nicht mehr, um es von Ihrem Computer zu entfernen.

    • Ignorieren oder Überspringen: Diese Option weist das Prüfprogramm an, das Risiko für nur diese Prüfung zu ignorieren. Sie wird beim nächsten Mal wieder erkannt, wenn Sie eine Prüfung ausführen.

    • Abbrechen: Diese Option ist neu in Norton AntiVirus 2005. Sie wird verwendet, wenn Norton AntiVirus 2005 festgestellt hat, dass es ein Sicherheitsrisiko nicht löschen kann. Diese Option weist das Prüfprogramm an, das Risiko für nur diese Prüfung zu ignorieren, und folglich wird das Risiko das nächste Mal wieder erkannt, wenn Sie eine Prüfung ausführen.

      Das Sicherheitsrisiko wirklich löschen:
      • Klicken Sie auf den Dateinamen des Risikos (unter der Spalte "Dateiname").
      • Geben Sie in das angezeigte Feld für Informationen den vollen Pfad und Dateinamen an.
      • Verwenden Sie dann Windows-Explorer, um die Datei zu finden und zu löschen.

        Wenn Windows berichtet, dass es die Datei nicht löschen kann, weist dies daraufhin, dass die Datei zurzeit verwendet wird. In dieser Situation schließen Sie die übrigen Anweisungen auf dieser Seite ab, starten Sie den Computer im abgesicherten Modus neu und löschen Sie dann die Datei mit Windows-Explorer. Starten Sie den Computer im normalen Modus neu.

    • Löschen: Diese Option versucht, die erkannten Dateien zu löschen. In einigen Fällen kann das Prüfprogramm dies nicht tun.
      • Wenn Sie eine Meldung darüber erhalten, dass der Löschvorgang nicht durchgeführt werden konnte, löschen Sie die Datei manuell.
      • Klicken Sie auf den Dateinamen des Risikos, den Sie unter der Spalte "Dateiname" finden.
      • Geben Sie in das angezeigte Feld für Informationen den vollen Pfad und Dateinamen an.
      • Verwenden Sie dann Windows-Explorer, um die Datei zu finden und zu löschen.

  3. Klicken Sie auf Start > Programme > Zubehör > Windows-Explorer

  4. Navigieren Sie zu folgenden Dateien und löschen Sie sie, falls vorhanden:
    • %System%\instsrv.exe
    • %System%\angelex.exe
    • %System%\msexreg.exe
    • %System%\netut80ex.vxd
    • %System%\bbchk.exe
    • %System%\exclean.exe
    • %System%\exdl.exe
    • %System%\exdl0.exe
    • %System%\exdl1.exe
    • %System%\exul1.exe
    • %System%\javexulm.vxd
    • %System%\mqexdlm.srg
    • %System%\msxct.exe
    • %Windir%\bbchk.exe
    • %Windir%\exclean.exe
    • %Windir%\exdl.exe
    • %Windir%\exul.exe
    • %Windir%\msbe.dll
    • %Windir%\msxct.exe
    • %Windir%\msxct1.ini
    • %Windir%\zeta.exe

  5. Navigieren Sie zu folgenden Ordnern und löschen Sie sie, falls vorhanden:
    • %ProgramFiles%\Bargain Buddy

  6. Beenden Sie Windows-Explorer.



Wichtig: Wenn Sie Ihr Virenschutzprodukt von Symantec nicht starten konnten oder das Produkt meldet, dass es eine entdeckte Datei nicht löschen kann, so müssen Sie das Risiko eventuell zuerst stoppen, bevor Sie es entfernen können. Um dieses Problem zu beheben, führen Sie die Prüfung im abgesicherten Modus aus. Anweisungen hierzu finden Sie im Dokument Starten Ihres Computers im abgesicherten Modus . Sobald der Computer im abgesicherten Modus gestartet wurde, führen Sie die Prüfung erneut aus.


Nachdem die Dateien gelöscht sind, starten Sie den Computer im normalen Modus neu und fahren Sie mit dem nächsten Abschnitt fort.

Warnmeldungen können angezeigt werden, wenn der Computer neu gestartet wird, da das Risiko zu dem Zeitpunkt möglicherweise noch nicht völlig entfernt worden ist. Sie können diese Meldungen ignorieren und auf OK klicken. Diese Meldungen erscheinen nicht, wenn der Computer neu gestartet wird, nachdem die Entfernungsanweisungen völlig durchgeführt worden sind. Die Meldungen, die angezeigt werden, können folgendermaßen aussehen:

Titel: [DATEIPFAD]
Nachrichtentext: Windows cannot find [DATEINAME]. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.



4. Entfernen des Werts aus der Registrierung

Wichtig: Wir empfehlen Ihnen nachdrücklich, eine Sicherungskopie der Registrierung anzulegen, bevor Sie Änderungen daran vornehmen. Fehler bei der Änderung von Registrierungseinträgen können zu permanentem Datenverlust oder beschädigten Dateien führen. Bearbeiten Sie nur die angegebenen Schlüssel. Bitte beachten Sie das Dokument Eine Sicherheitskopie der Windows-Registrierung erstellen , bevor Sie fortfahren.

  1. Klicken Sie auf Start > Ausführen.
  2. Geben Sie regedit ein.

    Klicken Sie auf OK.


    Hinweis: Wenn der Registrierungseditor nicht geöffnet werden kann, kann das Risiko die Registrierung geändert haben, um Zugriff auf den Registrierungseditor zu verhindern. Security Response hat ein Programm entwickelt, um dieses Problem zu lösen. Laden Sie dieses Tool herunter und führen Sie es aus, aus und fahren Sie dann mit der Entfernung fort.


  3. Suchen Sie den Schlüssel

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  4. Im rechten Teilfenster löschen Sie diese Werte, falls vorhanden:

    "Bargains" = "%ProgramFiles%\Bargain Buddy\bin\bargains.exe"
    "BullsEye" = "%ProgramFiles%\BullsEye Network\bin\bargains.exe"
    "BullsEye Network" = "%ProgramFiles%\BullsEye Network\bin\bargains.exe"
    "msxct" = "msxct.exe"

  5. Suchen Sie die folgenden Unterschlüssel und löschen Sie sie:

    HKEY_LOCAL_MACHINE\Software\Bargains
    HKEY_LOCAL_MACHINE\Software\CashBack
    HKEY_LOCAL_MACHINE\Software\exactUtil
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\CashBack
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\Bargains
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BargainBuddy
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer
    \Browser Helper Objects\{CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1}
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer
    \Browser Helper Objects\{CE188402-6EE7-4022-8868-AB25173A3E14}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{F4E04583-354E-4076-BE7D-ED6A80FD66DA}
    HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{CE188402-6EE7-4022-8868-AB25173A3E14}
    HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F4E04583-354E-4076-BE7D-ED6A80FD66DA}
    HKEY_LOCAL_MACHINE\Software\Classes\Interface
    \{C6906A23-4717-4E1F-B6FD-F06EBED12468}
    HKEY_LOCAL_MACHINE\Software\Classes\Interface
    \{C6906A23-4717-4E1F-B6FD-F06EBED14177}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
    \{C6906A23-4717-4E1F-B6FD-F06EBED15678}
    HKEY_LOCAL_MACHINE\Software\Classes\Interface
    \{8EEE58D5-130E-4CBD-9C83-35A0564E2468}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
    \{8EEE58D5-130E-4CBD-9C83-35A0564E5678}
    HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{4EB7BBE8-2E15-424B-9DDB-2CDB9516E2A3}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{4EB7BBE8-2E15-424B-9DDB-2CDB9516B2C3}
    HKEY_LOCAL_MACHINE\Software\Classes\Apuc.UrlCatcher
    HKEY_LOCAL_MACHINE\Software\Classes\Apuc.UrlCatcher.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADP.UrlCatcher
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADP.UrlCatcher.1
    HKEY_LOCAL_MACHINE\Software\Classes\CB.UrlCatcher
    HKEY_LOCAL_MACHINE\Software\Classes\CB.UrlCatcher.1
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ZESOFT
    HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\_SC_ZESOFT
    HKEY_LOCAL_MACHINE\SOFTWARE\CashBack
    HKEY_LOCAL_MACHINE\SOFTWARE\NaviSearch
    HKEY_LOCAL_MACHINE\SOFTWARE\eXactUtil

  6. Schließen Sie den Registrierungseditor.