Adware.BetterInternet

Druckansicht

Aktualisiert: February 13, 2007 11:47:43 AM
Typ: Adware
Version: n/a
Herausgeber: stop-popup-ads-now.com
Auswirkung des Risikos: High
Dateinamen: Varies: Bi.dll and Biprep.exe Belt.exe Belt.ini Belt.inf Buddy.exe ceres.dll Susp.exe Sus
Betroffene Systeme: Windows

Verhalten


Adware.BetterInternet ist ein Browser Helper Object, das Werbungen anzeigt und Dateien herunterlädt und installiert.


Hinweis: Virendefinitionen mit einem Erstellungsdatum vor dem 8. Februar 2005 können diese Werbesoftware (Adware) als Adware.Binet erkennen.

Symptome


Die Dateien werden als Adware.BetterInternet erkannt.

Übertragung


Dieses Werbeprogramm muss manuell installiert werden.

Termine für Antivirus-Schutz

  • Erste Rapid Release-Version October 02, 2014 Änderung 022
  • Latest Rapid Release version April 17, 2018 Änderung 009
  • Erste Daily Certified-Version November 10, 2003 Änderung 003
  • Latest Daily Certified version April 17, 2018 Änderung 034
  • Initial Weekly Certified release date November 12, 2003

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Aktualisiert: February 13, 2007 11:47:43 AM
Typ: Adware
Version: n/a
Herausgeber: stop-popup-ads-now.com
Auswirkung des Risikos: High
Dateinamen: Varies: Bi.dll and Biprep.exe Belt.exe Belt.ini Belt.inf Buddy.exe ceres.dll Susp.exe Sus
Betroffene Systeme: Windows


Abhängig von der Version der Werbesoftware führt Adware.BetterInternet bei Ausführung einige der folgenden Aktionen durch:

  1. Erstellt einige der folgenden Dateien:

    • %CurrentFolder%\Belt.ini
    • %CurrentFolder%\Belt.inf
    • %CurrentFolder%\Susp.ini
    • %CurrentFolder%\Susp.in
    • %CurrentFolder%\BTGrab.inf
    • %Temp%\bho_prob.exe
    • %Temp%\bik.inf
    • %Temp%\bi.dll
    • %Temp%\bik.cab
    • %Temp%\biprep.exe
    • %Temp%\dummy.htm
    • %Temp%\morphrec.exe
    • %Temp%\thnall1s.exe
    • %Temp%\DrTemp\ceres.cab
    • %Temp%\DrTemp\ceres.dll
    • %Temp%\DrTemp\ceres.inf
    • %Temp%\DrTemp\thnall1b.exe
    • %Temp%\DrTemp\thnall1p.exe
    • %Temp%\DrTemp\thnall2r.exe
    • %Temp%\DrTemp\polall1b.exe
    • %Temp%\THI[????].tmp\adrmimg.cab
    • %Temp%\THI[????].tmp\imGiant.cab
    • %Temp%\THI[????].tmp\adrmimg.inf
    • %Temp%\THI[????].tmp\imgiant.inf
    • %Temp%\THI[????].tmp\IMGUninst.exe
    • %Temp%\THI[????].tmp\imGiant.dll
    • %System%\ezxiiyv.exe
    • %System%\bdle4012.exe
    • %System%\bik.exe
    • %System%\imgiant.dll
    • %System%\ln_reco.exe
    • %System%\laziqn.exe
    • %System%\nnmzoq.exe
    • %System%\randreco.exe
    • %System%\susp_reco.exe
    • %System%stmtreco.exe
    • %System%\xxvyaj.exe
    • %System%\wbtvsffd.exe
    • %Windir%\banner.dll
    • %Windir%\Bi.dll
    • %Windir%\Biprep.exe
    • %Windir%\BTGrab.dll
    • %Windir%\Buddy.exe
    • %Windir%\ceres.dll
    • %Windir%\dlmax.dll
    • %Windir%\farmmext.exe
    • %Windir%\imgiant.dll
    • %Windir%\morphacl.dll
    • %Windir%\Mxtarget.dll
    • %Windir%\Pynix.dll
    • %Windir%\speer2.dll
    • %Windir%\speeryox.dll
    • %Windir%\VoiceIP.dll
    • %Windir%\zserv.dll
    • %Windir%\BBIIEHPL.ini
    • %Windir%\BIILJLLM.ini
    • %Windir%\BICJNF.ini
    • %Windir%\CCEJHONM.ini
    • %Windir%\FCIJLFMN.ini
    • %Windir%\FFGDEGOJ.ini
    • %Windir%\IDDJHJM.ini
    • %Windir%\morphstb.ini
    • %Windir%\abiuninst.htm
    • %Windir%\IMGUninst.exe
    • %Windir%\DrUninst.exe
    • %Windir%\inf\adrmcer.inf
    • %Windir%\inf\adrmimg.inf
    • %Windir%\inf\bik.inf
    • %Windir%\inf\ceres.inf
    • %Windir%\inf\farmmext.inf
    • %Windir%\farmmext.ini
    • %Windir%\inf\imgiant.inf
    • %Windir%\inf\morphstb.inf
    • %Windir%\inf\payload.inf
    • %Windir%\inf\payload2.inf
    • %Windir%\inf\Pynix.inf
    • %Windir%\inf\Pynix.pnf
    • %Windir%\inf\sprnopol.inf
    • %Windir%\inf\topmins2.inf
    • %Windir%\Wininit.ini
    • %Windir%\inf\zserv.inf
    • %Windir%\LastGood\BICJNF.ini
    • %Windir%\LastGood\INF\adrmimg.inf
    • %Windir%\LastGood\INF\adrmimg.PNF
    • %Windir%\LastGood\INF\bik.inf
    • %Windir%\LastGood\INF\bik.pnf
    • %Windir%\LastGood\INF\ceres.inf
    • %Windir%\LastGood\INF\ceres.pnf
    • %Windir%\LastGood\farmmext.ini
    • %Windir%\LastGood\INF\farmmext.inf
    • %Windir%\LastGood\INF\farmmext.pnf
    • %Windir%\LastGood\INF\imgiant.inf
    • %Windir%\LastGood\INF\imgiant.PNF
    • %Windir%\LastGood\INF\morphstb.PNF
    • %Windir%\LastGood\INF\morphstb.inf
    • %Windir%\LastGood\INF\payload.PNF
    • %Windir%\LastGood\INF\payload.inf
    • %Windir%\LastGood\INF\Pynix.inf
    • %Windir%\LastGood\INF\Pynix.PNF
    • %Windir%\LastGood\INF\zserv.inf
    • %Windir%\LastGood\INF\zserv.pnf
    • %Windir%\LastGood\DrUninst.exe
    • %Windir%\Downloaded Program Files\thin.inf
    • %Windir%\LastGood\Downloaded Program Files\thin.inf
    • XXVYAJ.exe


      Hinweise:
    • %GemeinsameProgramme% ist eine Variable, die sich auf den Ordner "Gemeinsame Dateien" bezieht. Standardmäßig ist dies C:\Programme\Gemeinsame Dateien.
    • %System% ist eine Variable und bezieht sich auf den Systemordner. Standardmäßig ist dies C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) oder C:\Windows\System32 (Windows XP).
    • %Windir% ist eine Variable und bezieht sich auf den Windows-Installationsordner. In der Regel ist dies C:\Windows (Windows 95/98/Me/XP) oder C:\Winnt (Windows NT/2000).
    • %Temp% ist eine Variable und bezieht sich auf den temporären Windows-Ordner. In der Regel ist dies C:\Windows\TEMP (Windows 95/98/Me/XP) oder C:\WINNT\Temp (Windows NT/2000).
    • [????] ist eine Variable, die sich auf eine willkürliche Zeichenfolge bezieht, die Teil des Ordnernamens bildet.


  2. Versucht, einige der folgenden Registrierungsschlüssel zu erstellen:


    HKEY_CLASSES_ROOT \ CLSID\{00000000-59D4-4008-9058-080011001200}
    HKEY_CLASSES_ROOT\CLSID\{00000000-C1EC-0345-6EC2-4D0300000000}
    HKEY_CLASSES_ROOT\CLSID\{00000000-DD60-0064-6EC2-6E0100000000}
    HKEY_CLASSES_ROOT\CLSID\{00000000-F09C-02B4-6EC2-AD0300000000}
    HKEY_CLASSES_ROOT\CLSID\{00000026-8735-428D-B81F-DD098223B25F}
    HKEY_CLASSES_ROOT\CLSID\{00000035-92F8-407F-98A5-7D8ADA59B6BB}
    HKEY_CLASSES_ROOT\CLSID\{00000049-8F91-4D9C-9573-F016E7626484}
    HKEY_CLASSES_ROOT\CLSID\{0000005D-C175-4405-BAC5-1F3B2BAF67C6}
    HKEY_CLASSES_ROOT\CLSID\{00000062-2E5F-4AF7-986E-5B64E0951A96}
    HKEY_CLASSES_ROOT\CLSID\{00000097-7C67-4BA6-8B42-05128941688A}
    HKEY_CLASSES_ROOT\CLSID\{00000250-0320-4DD4-BE4F-7566D2314352}
    HKEY_CLASSES_ROOT\CLSID\{000006B1-19B5-414A-849F-2A3C64AE6939}
    HKEY_CLASSES_ROOT\CLSID\{000020DD-C72E-4113-AF77-DD56626C6C42}
    HKEY_CLASSES_ROOT\CLSID\{0000607D-D204-42C7-8E46-216055BF9918}
    HKEY_CLASSES_ROOT\CLSID\{002EB272-2590-4693-B166-FBD5D9B6FEA6}
    HKEY_CLASSES_ROOT\CLSID\{00320615-B6C2-40A6-8F99-F1C52D674FAD}
    HKEY_CLASSES_ROOT\CLSID\{36A59337-6EEF-40AE-94B1-ED443A0C4740}
    HKEY_CLASSES_ROOT\CLSID\{D5E06663-DE78-4A48-BB81-7C9AFF2E49E4}
    HKEY_CLASSES_ROOT\Interface\{237CB7A2-E26E-443B-B16E-5DA66584B05B}
    HKEY_CLASSES_ROOT\Interface\{C45C774D-5ECC-4D9E-94E1-AC57189C4435}
    HKEY_CLASSES_ROOT\Interface\{BB0D5ADC-028D-4185-9288-722DDCE2C757}
    HKEY_CLASSES_ROOT\Interface\{C08175C6-B2B2-47FC-AF1A-32F77A6CB673}
    HKEY_CLASSES_ROOT\Interface\{59EBB576-CEB0-42FA-9917-DA6254A275AD}
    HKEY_CLASSES_ROOT\Interface\{4534CD6B-59D6-43FD-864B-06A0D843444A}
    HKEY_CLASSES_ROOT\Interface\{94984402-B480-45C7-AD2D-84E5EB52CFCD}
    HKEY_CLASSES_ROOT\Interface\{72322CE2-D1C1-423E-9748-FF7E7F1E47C3}
    HKEY_CLASSES_ROOT\Interface\{19C8E563-D989-47CE-BED8-EA72B5EB62D6}
    HKEY_CLASSES_ROOT\Interface\{A93B84C6-5278-473A-8027-F6304A291A7A}
    HKEY_CLASSES_ROOT\Interface\{50F646B1-1C3E-4B01-B818-437E1276E5BE}
    HKEY_CLASSES_ROOT\TypeLib\{09049E4F-8D9E-4C8A-A952-5BAF1A115C59}
    HKEY_CLASSES_ROOT\TypeLib\230C3786-1C2C-45BD-9D2D-9D277FCE6289 }
    HKEY_CLASSES_ROOT\TypeLib\{2390AAA5-E65C-4404-BD3B-3A9EAC22C0A5}
    HKEY_CLASSES_ROOT\TypeLib\{53F066F0-A4C0-4F46-83EB-2DFD03F938CF}
    HKEY_CLASSES_ROOT\TypeLib\{690BCCB4-6B83-4203-AE77-038C116594EC}
    HKEY_CLASSES_ROOT\TypeLib\{7EFE1256-AB56-44B3-A63A-EB1A2208A490}
    HKEY_CLASSES_ROOT\TypeLib\{8E0D8965-B97B-468D-8306-A05929E439C1}
    HKEY_CLASSES_ROOT\TypeLib\{92DAF5C1-2135-4E0C-B7A0-259ABFCD3904}
    HKEY_CLASSES_ROOT\TypeLib\{BBE6D461-41FC-4100-A629-B9D2162BEFAA}
    HKEY_CLASSES_ROOT\TypeLib\{C0168E40-6211-4113-9202-B9B852CB12FC}
    HKEY_CLASSES_ROOT\TypeLib\{EE6AE627-8F18-4986-BEAD-52073EDFC776}
    HKEY_CLASSES_ROOT\AppID\{4D980B0A-C3EF-4965-A58F-7F64F3B42E79}
    HKEY_CLASSES_ROOT\AppID\XParam.DLL
    HKEY_CLASSES_ROOT\BiDll.BiDllObj
    HKEY_CLASSES_ROOT\BiDll.BiDllObj.1
    HKEY_CLASSES_ROOT\BTGrabDll.BTGrabDllObj
    HKEY_CLASSES_ROOT\BTGrabDll.BTGrabDllObj.1
    HKEY_CLASSES_ROOT\CeresDll.CeresDllObj
    HKEY_CLASSES_ROOT\CeresDll.CeresDllObj.1
    HKEY_CLASSES_ROOT\DLMaxDll.DLMaxDllObj
    HKEY_CLASSES_ROOT\DLMaxDll.DLMaxDllObj.1
    HKEY_CLASSES_ROOT\imGiantDll.imGiantDllObj
    HKEY_CLASSES_ROOT\imGiantDll.imGiantDllObj.1
    HKEY_CLASSES_ROOT\morphaclDll.morphaclDllObj
    HKEY_CLASSES_ROOT\morphaclDll.morphaclDllObj.1
    HKEY_CLASSES_ROOT\MultiMPPDll.MultiMPPDllObj
    HKEY_CLASSES_ROOT\MultiMPPDll.MultiMPPDllObj.1
    HKEY_CLASSES_ROOT\MxTarget.MxTargetDllObj.1
    HKEY_CLASSES_ROOT\PynixDll.PynixDllObj
    HKEY_CLASSES_ROOT\PynixDll.PynixDllObj.1
    HKEY_CLASSES_ROOT\sPeerDll.sPeerDllObj
    HKEY_CLASSES_ROOT\sPeerDll.sPeerDllObj.1
    HKEY_CLASSES_ROOT\sPeer2Dll.sPeer2DllObj
    HKEY_CLASSES_ROOT\sPeer2Dll.sPeer2DllObj.1
    HKEY_CLASSES_ROOT\TwaintecDll.TwaintecDllObj
    HKEY_CLASSES_ROOT\TwaintecDll.TwaintecDllObj.1
    HKEY_CLASSES_ROOT\VoiceIPDll.VoiceIPDllObj.1
    HKEY_CLASSES_ROOT\VX2.VX20BJ
    HKEY_CLASSES_ROOT\XParam.XParamObj
    HKEY_CLASSES_ROOT\XParam.XParamObj.1
    HKEY_CLASSES_ROOT\ZServDll.ZServDllObj
    HKEY_CLASSES_ROOT\ZServDll.ZServDllObj.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{00000000-59D4-4008-9058-080011001200}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{00000000-C1EC-0345-6EC2-4D0300000000}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{00000000-DD60-0064-6EC2-6E0100000000}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{00000000-F09C-02B4-6EC2-AD0300000000}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{00000026-8735-428D-B81F-DD098223B25F}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{00000035-92F8-407F-98A5-7D8ADA59B6BB}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{00000049-8F91-4D9C-9573-F016E7626484}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{0000005D-C175-4405-BAC5-1F3B2BAF67C6}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{00000062-2E5F-4AF7-986E-5B64E0951A96}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{00000097-7C67-4BA6-8B42-05128941688A}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{00000250-0320-4DD4-BE4F-7566D2314352}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{000006B1-19B5-414A-849F-2A3C64AE6939}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{000020DD-C72E-4113-AF77-DD56626C6C42}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{0000607D-D204-42C7-8E46-216055BF9918}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{002EB272-2590-4693-B166-FBD5D9B6FEA6}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{00320615-B6C2-40A6-8F99-F1C52D674FAD}
    HKEY_CURRENT_USER\Software\AHExe
    HKEY_CURRENT_USER\Software\BTGrab
    HKEY_CURRENT_USER\Software\ceres
    HKEY_CURRENT_USER\Software\DLMax
    HKEY_CURRENT_USER\Software\BTGrab
    HKEY_CURRENT_USER\Software\Ceres
    HKEY_CURRENT_USER\Software\imGiant
    HKEY_CURRENT_USER\Software\morphacl
    HKEY_CURRENT_USER\Software\MultiMPP
    HKEY_CURRENT_USER\Software\MxTarget
    HKEY_CURRENT_USER\Software\sPeer
    HKEY_CURRENT_USER\Software\sPeer2
    HKEY_CURRENT_USER\Software\morphacl
    HKEY_CURRENT_USER\Software\VoiceIP
    HKEY_CURRENT_USER\Software\pynix
    HKEY_CURRENT_USER\Software\VoiceIP
    HKEY_CURRENT_USER\Software\ZServ
    HKEY_CURRENT_USER\Software\AHExe
    HKEY_LOCAL_MACHINE\SOFTWARE\Vendor\xml
    HKEY_LOCAL_MACHINE\Software\Dbi
    HKEY_LOCAL_MACHINE\Software\twaintec
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ceres
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\speer2
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\speer
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\Dbi
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\abi-1
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\IMGiant

  3. Fügt den Wert

    "BLLid20fslnst" = "{688DE333-FB9A-4E16-B6B7-D81D266E0009}"

    dem folgenden Registrierungsunterschlüssel hinzu:

    HKEY_LOCAL_MACHINE\Software\DBi

  4. Fügt einige der Werte:

    "INF/ceres.inf" = "0x00000001"
    "INF/ceres.pnf" = "0x00000001"
    "INF/adrmimg.inf" = "0x00000001"
    "INF/adrmimg.PNF" = "0x00000001"
    "INF/farmmext.inf" = "0x00000001"
    "INF/farmmext.pnf" = "0x00000001"
    "INF/imgiant.inf" = "0x00000001"
    "INF/imgiant.PNF" = "0x00000001"
    "INF/payload.inf" = "0x00000001"
    "INF/payload.pnf" = "0x00000001"
    "INF/Pynix.PNF = "0x00000001"
    "INF/Pynix.inf = "0x00000001"
    "INF/morphstb.PNF" = "0x00000001"
    "INF/morphstb.inf" = "0x00000001"
    "INF/zserv.inf" = "0x00000001"
    "INF/zserv.pnf" = "0x00000001"

    dem folgenden Registrierungsunterschlüssel hinzu:

    HKEY_LOCAL_MACHINE\SYSTEM\LastKnownGoodRecovery\LastGood

  5. Fügt den Wert

    "[Dateiname der Werbesoftware]" = "[Datei-Pfad zur Werbesoftware]"

    dem folgenden Registrierungsunterschlüssel hinzu:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    Dadurch wird das Sicherheitsrisiko ausgeführt, sobald Windows gestartet wird.

  6. Versucht, eine Verbindung zu einer der folgenden Domänen herzustellen, um nach aktualisierten Versionen der Werbesoftware zu suchen:

    • abetterinternet.com
    • stop-popup-ads-now.com

  7. Versucht, einige der folgenden Aktionen durchzuführen:

    • Werbungen anzeigen
    • Links zu und Werbungen für verwandte Websites anzeigen; dies basiert auf den auf dem infizierten Computer besuchten Websites.
    • Die durch den infizierten Computer besuchten Websites protokollieren
    • Bestimmte URLs auf (oder über) die von der Bedrohung verwendete Webseite umleiten, einschließlich der standardmäßigen 404-Fehlerseite von Webbrowsern.
    • Die Werbesoftware automatisch aktualisieren und hinzugefügte Merkmale oder Funktionen installieren. Diese Aktion wird ohne Eingaben von oder Interaktion mit dem Benutzer durchgeführt.
    • Desktop-Symbole, Installationsdateien und Software anderer Hersteller installieren.

Einige Proben, die Security Response von Belt.exe erhalten hat, können nicht erfolgreich installiert werden, da das CAB-Paket, das heruntergeladen werden soll, nicht mehr verfügbar ist. In dieser Situation sowie dann, wenn keine Internetverbindung verfügbar ist, fügt die Werbesoftware den Registrierungsschlüssel hinzu, der in Schritt 4 angegeben ist, und beendet sich.


Hinweis: Virendefinitionen mit einem Erstellungsdatum vor dem 19. November 2003 können dieses Risiko als Adware.Ipinsight oder Download.Trojan erkennen.



Aktualisiert: February 13, 2007 11:47:43 AM
Typ: Adware
Version: n/a
Herausgeber: stop-popup-ads-now.com
Auswirkung des Risikos: High
Dateinamen: Varies: Bi.dll and Biprep.exe Belt.exe Belt.ini Belt.inf Buddy.exe ceres.dll Susp.exe Sus
Betroffene Systeme: Windows


Entfernung mit dem Adware.BetterInternet-Entfernungsprogramm
Symantec Security Response hat ein Entfernungsprogramm für Adware.BetterInternet entwickelt. Benutzen Sie dieses Entfernungsprogramm zuerst, da es die einfachste Weise ist, diese Bedrohung zu entfernen.

Das Programm kann hier gefunden werden: http://securityresponse.symantec.com/avcenter/FixBinet.exe

Die aktuelle Version des Programms ist 1.1.3 und hat eine digitale Unterschrift mit dem Datum 09/06/2005 15:06 PST


Hinweis: Das angezeigte Datum und die Uhrzeit werden Ihrer Zeitzone angepasst, wenn Ihr Computer nicht auf die pazifische Zeitzone eingestellt ist.


Es wurde berichtet, dass auf einem mit Adware.BetterInternet infizierten Computer auch andere Sicherheitsrisiken installiert sein können. Symantec empfiehlt, dass die folgenden Schritte durchgeführt werden:
Wenden Sie das Adware.BetterInternet-Entfernungsprogramm an.
Aktualisieren Sie die Definitionen, indem Sie das Symantec-Programm starten und LiveUpdate ausführen.
Führen Sie eine vollständige Systemprüfung aus, um alle anderen Sicherheitsrisiken auf dem Computer zu erkennen.
Wenn die Prüfung ein weiteres Sicherheitsrisiko erkennt, beachten Sie die Entfernungsprogramme unter http://securityresponse.symantec.com/avcenter/security.risks.tools.list.html .
Wenn es keine Entfernungsprogramme für die Sicherheitsrisiken gibt, die erkannt werden, befolgen Sie die Anweisungen zur manuelle Entfernung, die in der Beschreibung der Bedrohung aufgeführt werden.


Manuelle Entfernung
Hinweis: Das Entfernen dieser Werbesoftware-Komponente vom Computer führt wahrscheinlich dazu, dass das Programm, das die Komponente installiert hat, nicht mehr ordnungsgemäß funktioniert. Das Deinstallationsprogramm nennt normalerweise die Programme, die nach der Deinstallation nicht mehr funktionieren werden.

Aktualisieren Sie die Definitionen.
Führen Sie eine vollständige Systemprüfung durch und löschen Sie alle Dateien, die als mit Adware.BetterInternet infiziert erkannt werden.
Entfernen Sie die in die Registrierung geschriebenen Schlüssel.
Löschen Sie Belt.ini und Belt.inf, wenn sie gefunden werden.
Löschen Sie die erkannten .cab-Dateien, wenn notwendig.

Detaillierte Informationen zu diesen Verfahren finden Sie in den folgenden Anweisungen.

1. Aktualisieren der Virendefinitionen
Um die neuesten Definitionen zu beziehen, starten Sie Ihr Symantec-Programm und führen Sie LiveUpdate aus.


2. Prüfen des Computers und Löschen infizierter Dateien

3. Entfernen der Schlüssel aus der Registrierung

Wichtig: Wir empfehlen Ihnen nachdrücklich, eine Sicherungskopie der Registrierung anzulegen, bevor Sie Änderungen daran vornehmen. Fehler bei der Änderung von Registrierungseinträgen können zu permanentem Datenverlust oder beschädigten Dateien führen. Bearbeiten Sie nur die angegebenen Schlüssel. Bitte beachten Sie das Dokument Erstellen einer Sicherheitskopie der Windows-Registrierung , bevor Sie fortfahren.

    1. Klicken Sie auf der Windows-Taskleiste auf Start > Ausführen.
    2. Geben Sie im Dialogfeld Ausführen den Befehl regedit ein und klicken Sie dann auf OK.
    3. Wechseln Sie im Registrierungseditor zu folgenden Schlüsseln und löschen Sie sie:

      HKEY_CLASSES_ROOT\CLSID\{00000000-59D4-4008-9058-080011001200}
      HKEY_CLASSES_ROOT\CLSID\{00000000-C1EC-0345-6EC2-4D0300000000}
      HKEY_CLASSES_ROOT\CLSID\{00000000-DD60-0064-6EC2-6E0100000000}
      HKEY_CLASSES_ROOT\CLSID\{00000000-F09C-02B4-6EC2-AD0300000000}
      HKEY_CLASSES_ROOT\CLSID\{00000026-8735-428D-B81F-DD098223B25F}
      HKEY_CLASSES_ROOT\CLSID\{00000035-92F8-407F-98A5-7D8ADA59B6BB}
      HKEY_CLASSES_ROOT\CLSID\{00000049-8F91-4D9C-9573-F016E7626484}
      HKEY_CLASSES_ROOT\CLSID\{0000005D-C175-4405-BAC5-1F3B2BAF67C6}
      HKEY_CLASSES_ROOT\CLSID\{00000062-2E5F-4AF7-986E-5B64E0951A96}
      HKEY_CLASSES_ROOT\CLSID\{00000097-7C67-4BA6-8B42-05128941688A}
      HKEY_CLASSES_ROOT\CLSID\{00000250-0320-4DD4-BE4F-7566D2314352}
      HKEY_CLASSES_ROOT\CLSID\{000006B1-19B5-414A-849F-2A3C64AE6939}
      HKEY_CLASSES_ROOT\CLSID\{000020DD-C72E-4113-AF77-DD56626C6C42}
      HKEY_CLASSES_ROOT\CLSID\{0000607D-D204-42C7-8E46-216055BF9918}
      HKEY_CLASSES_ROOT\CLSID\{002EB272-2590-4693-B166-FBD5D9B6FEA6}
      HKEY_CLASSES_ROOT\CLSID\{00320615-B6C2-40A6-8F99-F1C52D674FAD}
      HKEY_CLASSES_ROOT\CLSID\{36A59337-6EEF-40AE-94B1-ED443A0C4740}
      HKEY_CLASSES_ROOT\CLSID\{D5E06663-DE78-4A48-BB81-7C9AFF2E49E4}
      HKEY_CLASSES_ROOT\Interface\{237CB7A2-E26E-443B-B16E-5DA66584B05B}
      HKEY_CLASSES_ROOT\Interface\{C45C774D-5ECC-4D9E-94E1-AC57189C4435}
      HKEY_CLASSES_ROOT\Interface\{BB0D5ADC-028D-4185-9288-722DDCE2C757}
      HKEY_CLASSES_ROOT\Interface\{C08175C6-B2B2-47FC-AF1A-32F77A6CB673}
      HKEY_CLASSES_ROOT\Interface\{59EBB576-CEB0-42FA-9917-DA6254A275AD}
      HKEY_CLASSES_ROOT\Interface\{4534CD6B-59D6-43FD-864B-06A0D843444A}
      HKEY_CLASSES_ROOT\Interface\{94984402-B480-45C7-AD2D-84E5EB52CFCD}
      HKEY_CLASSES_ROOT\Interface\{72322CE2-D1C1-423E-9748-FF7E7F1E47C3}
      HKEY_CLASSES_ROOT\Interface\{19C8E563-D989-47CE-BED8-EA72B5EB62D6}
      HKEY_CLASSES_ROOT\Interface\{A93B84C6-5278-473A-8027-F6304A291A7A}
      HKEY_CLASSES_ROOT\Interface\{50F646B1-1C3E-4B01-B818-437E1276E5BE}
      HKEY_CLASSES_ROOT\TypeLib\{09049E4F-8D9E-4C8A-A952-5BAF1A115C59}
      HKEY_CLASSES_ROOT\TypeLib\230C3786-1C2C-45BD-9D2D-9D277FCE6289 }
      HKEY_CLASSES_ROOT\TypeLib\{2390AAA5-E65C-4404-BD3B-3A9EAC22C0A5}
      HKEY_CLASSES_ROOT\TypeLib\{53F066F0-A4C0-4F46-83EB-2DFD03F938CF}
      HKEY_CLASSES_ROOT\TypeLib\{690BCCB4-6B83-4203-AE77-038C116594EC}
      HKEY_CLASSES_ROOT\TypeLib\{7EFE1256-AB56-44B3-A63A-EB1A2208A490}
      HKEY_CLASSES_ROOT\TypeLib\{8E0D8965-B97B-468D-8306-A05929E439C1}
      HKEY_CLASSES_ROOT\TypeLib\{92DAF5C1-2135-4E0C-B7A0-259ABFCD3904}
      HKEY_CLASSES_ROOT\TypeLib\{BBE6D461-41FC-4100-A629-B9D2162BEFAA}
      HKEY_CLASSES_ROOT\TypeLib\{C0168E40-6211-4113-9202-B9B852CB12FC}
      HKEY_CLASSES_ROOT\TypeLib\{EE6AE627-8F18-4986-BEAD-52073EDFC776}
      HKEY_CLASSES_ROOT\AppID\{4D980B0A-C3EF-4965-A58F-7F64F3B42E79}
      HKEY_CLASSES_ROOT\AppID\XParam.DLL
      HKEY_CLASSES_ROOT\BiDll.BiDllObj
      HKEY_CLASSES_ROOT\BiDll.BiDllObj.1
      HKEY_CLASSES_ROOT\BTGrabDll.BTGrabDllObj
      HKEY_CLASSES_ROOT\BTGrabDll.BTGrabDllObj.1
      HKEY_CLASSES_ROOT\CeresDll.CeresDllObj
      HKEY_CLASSES_ROOT\CeresDll.CeresDllObj.1
      HKEY_CLASSES_ROOT\DLMaxDll.DLMaxDllObj
      HKEY_CLASSES_ROOT\DLMaxDll.DLMaxDllObj.1
      HKEY_CLASSES_ROOT\imGiantDll.imGiantDllObj
      HKEY_CLASSES_ROOT\imGiantDll.imGiantDllObj.1
      HKEY_CLASSES_ROOT\morphaclDll.morphaclDllObj
      HKEY_CLASSES_ROOT\morphaclDll.morphaclDllObj.1
      HKEY_CLASSES_ROOT\MultiMPPDll.MultiMPPDllObj
      HKEY_CLASSES_ROOT\MultiMPPDll.MultiMPPDllObj.1
      HKEY_CLASSES_ROOT\MxTarget.MxTargetDllObj.1
      HKEY_CLASSES_ROOT\PynixDll.PynixDllObj
      HKEY_CLASSES_ROOT\PynixDll.PynixDllObj.1
      HKEY_CLASSES_ROOT\sPeerDll.sPeerDllObj
      HKEY_CLASSES_ROOT\sPeerDll.sPeerDllObj.1
      HKEY_CLASSES_ROOT\sPeer2Dll.sPeer2DllObj
      HKEY_CLASSES_ROOT\sPeer2Dll.sPeer2DllObj.1
      HKEY_CLASSES_ROOT\TwaintecDll.TwaintecDllObj
      HKEY_CLASSES_ROOT\TwaintecDll.TwaintecDllObj.1
      HKEY_CLASSES_ROOT\VoiceIPDll.VoiceIPDllObj.1
      HKEY_CLASSES_ROOT\VX2.VX20BJ
      HKEY_CLASSES_ROOT\XParam.XParamObj
      HKEY_CLASSES_ROOT\XParam.XParamObj.1
      HKEY_CLASSES_ROOT\ZServDll.ZServDllObj
      HKEY_CLASSES_ROOT\ZServDll.ZServDllObj.1
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
      \Browser Helper Objects\{00000000-59D4-4008-9058-080011001200}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
      \Browser Helper Objects\{00000000-C1EC-0345-6EC2-4D0300000000}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
      \Browser Helper Objects\{00000000-DD60-0064-6EC2-6E0100000000}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
      \Browser Helper Objects\{00000000-F09C-02B4-6EC2-AD0300000000}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
      \Browser Helper Objects\{00000026-8735-428D-B81F-DD098223B25F}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
      \Browser Helper Objects\{00000035-92F8-407F-98A5-7D8ADA59B6BB}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
      \Browser Helper Objects\{00000049-8F91-4D9C-9573-F016E7626484}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
      \Browser Helper Objects\{0000005D-C175-4405-BAC5-1F3B2BAF67C6}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
      \Browser Helper Objects\{00000062-2E5F-4AF7-986E-5B64E0951A96}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
      \Browser Helper Objects\{00000097-7C67-4BA6-8B42-05128941688A}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
      \Browser Helper Objects\{00000250-0320-4DD4-BE4F-7566D2314352}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
      \Browser Helper Objects\{000006B1-19B5-414A-849F-2A3C64AE6939}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
      \Browser Helper Objects\{000020DD-C72E-4113-AF77-DD56626C6C42}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
      \Browser Helper Objects\{0000607D-D204-42C7-8E46-216055BF9918}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
      \Browser Helper Objects\{002EB272-2590-4693-B166-FBD5D9B6FEA6}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
      \Browser Helper Objects\{00320615-B6C2-40A6-8F99-F1C52D674FAD}
      HKEY_CURRENT_USER\Software\AHExe
      HKEY_CURRENT_USER\Software\BTGrab
      HKEY_CURRENT_USER\Software\ceres
      HKEY_CURRENT_USER\Software\DLMax
      HKEY_CURRENT_USER\Software\BTGrab
      HKEY_CURRENT_USER\Software\Ceres
      HKEY_CURRENT_USER\Software\imGiant
      HKEY_CURRENT_USER\Software\morphacl
      HKEY_CURRENT_USER\Software\MultiMPP
      HKEY_CURRENT_USER\Software\MxTarget
      HKEY_CURRENT_USER\Software\sPeer
      HKEY_CURRENT_USER\Software\sPeer2
      HKEY_CURRENT_USER\Software\morphacl
      HKEY_CURRENT_USER\Software\VoiceIP
      HKEY_CURRENT_USER\Software\pynix
      HKEY_CURRENT_USER\Software\VoiceIP
      HKEY_CURRENT_USER\Software\ZServ
      HKEY_CURRENT_USER\Software\AHExe
      HKEY_LOCAL_MACHINE\SOFTWARE\Vendor\xml
      HKEY_LOCAL_MACHINE\Software\Dbi
      HKEY_LOCAL_MACHINE\Software\twaintec
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ceres
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\speer2
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\speer
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\Dbi
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\abi-1
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\IMGiant

    4. Navigieren Sie zum Registrierungsschlüssel:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    5. Löschen Sie diesen Wert im rechten Teilfenster:

      "[Dateiname der Werbesoftware] = [Datei-Pfad zur Werbesoftware]"

    6. Navigieren Sie zum Registrierungsschlüssel:

      HKEY_LOCAL_MACHINE\Software\DBi

    7. Löschen Sie diesen Wert im rechten Teilfenster:

      "BLLid20fslnst" = "{688DE333-FB9A-4E16-B6B7-D81D266E0009}"

    8. Navigieren Sie zum Registrierungsschlüssel:

      HKEY_LOCAL_MACHINE\SYSTEM\LastKnownGoodRecovery\LastGood

    9. Löschen Sie diese Werte im rechten Teilfenster:

      "INF/ceres.inf" = "0x00000001"
      "INF/ceres.pnf" = "0x00000001"
      "INF/adrmimg.inf" = "0x00000001"
      "INF/adrmimg.PNF" = "0x00000001"
      "INF/farmmext.inf" = "0x00000001"
      "INF/farmmext.pnf" = "0x00000001"
      "INF/imgiant.inf" = "0x00000001"
      "INF/imgiant.PNF" = "0x00000001"
      "INF/payload.inf" = "0x00000001"
      "INF/payload.pnf" = "0x00000001"
      "INF/Pynix.PNF = "0x00000001"
      "INF/Pynix.inf = "0x00000001"
      "INF/morphstb.PNF" = "0x00000001"
      "INF/morphstb.inf" = "0x00000001"
      "INF/zserv.inf" = "0x00000001"
      "INF/zserv.pnf" = "0x00000001"

    10. Schließen Sie den Registrierungseditor.

4. Löschen der .ini- und .inf-Dateien
Durchsuchen Sie den Computer nach den Dateien Belt.ini/Susp.ini/FFGDEGOJ.ini und Belt.inf/Susp.inf/BTGrab.inf und löschen Sie sie, wenn sie gefunden werden.

Befolgen Sie die Anweisungen für Ihr Betriebssystem:
    • Windows 95/98/Me/NT/2000
      1. Klicken Sie in der Taskleiste von Windows auf Start > Suchen > Dateien/Ordner bzw. Nach Dateien oder Ordnern.
      2. Vergewissern Sie sich, dass im Feld Suchen in das Laufwerk C: eingestellt ist. Aktivieren Sie die Option Untergeordnete Ordner einbeziehen bzw. Unterordner durchsuchen (ggf. müssen Sie dafür zuerst auf Erweiterte Optionen klicken).
      3. Geben Sie in das Feld "Nach folgenden Dateien oder Ordnern suchen" die folgenden Dateinamen ein:

        FFGDEGOJ.ini Belt.ini Belt.inf
        oder
        Susp.ini Susp.inf BTGrab.inf
        oder
        adrmsper.inf sprnopol.inf
        oder
        adrmimg.inf imgiant.inf IDDJHJM.ini
      4. Klicken Sie auf Starten oder Jetzt suchen.
      5. Löschen Sie die angezeigten Dateien.

    • Windows XP
      1. Klicken Sie in der Taskleiste von Windows auf Start > Suchen.
      2. Klicken Sie auf Dateien und Ordnern.
      3. Fügen Sie in das Feld Alle oder Teile des Dateinamens die folgenden Dateinamen ein:

        FFGDEGOJ.ini Belt.ini Belt.inf
        oder
        Susp.ini Susp.inf BTGrab.inf
        oder
        adrmsper.inf sprnopol.inf
        oder
        adrmimg.inf imgiant.inf IDDJHJM.ini
      4. Stellen Sie sicher, dass die Option Suchen in auf Lokale Festplatten oder auf C: eingestellt ist.
      5. Klicken Sie auf Weitere Optionen.
      6. Aktivieren Sie die Option Systemordner durchsuchen.
      7. Aktivieren Sie die Option Unterordner durchsuchen.
      8. Klicken Sie auf Suchen.
      9. Löschen Sie die angezeigten Dateien.


5. Löschen der entdeckten .cab-Dateien
Wenn diese Bedrohung in einer .cab-Datei erkannt wurde, die sich im Windows-Temp-Ordner befindet, meldet Ihr Symantec-Virenschutzprogramm möglicherweise, dass es die Datei nicht löschen kann. Wenn dies passiert, löschen Sie die Datei manuell.
    1. Klicken Sie auf der Windows-Taskleiste auf Start > Ausführen.
    2. Geben Sie Folgendes ein und klicken Sie dann auf OK.

      %temp%

    3. Klicken Sie auf das Menü Bearbeiten und dann auf Alles markieren.
    4. Drücken Sie die Taste Entf und klicken Sie zur Bestätigung auf Ja. Wenn Sie eine Meldung sehen, dass Windows die Dateien nicht löschen konnte, starten Sie den Computer neu und wiederholen Sie die Schritte 1 bis 3. Wenn Sie die Meldung dann noch immer sehen, wählen Sie die Dateien aus, die die .cab Erweiterungen haben, und löschen Sie sie.