Adware.DelFin

Druckansicht

Aktualisiert: February 13, 2007 11:36:55 AM
Typ: Adware
Version: n/a
Herausgeber: PromulGate
Auswirkung des Risikos: High
Dateinamen: adl_mteststub.exe
Betroffene Systeme: Windows

Verhalten


Adware.DelFin ist ein Programm, das Werbesoftware herunterlädt. Es stellt sich als Medienspieler dar.

Hinweis: Definitionen vor dem 30. März 2005 erkennen möglicherweise dieses Sicherheitsrisiko als Adware.Delfin.B.

Symptome


Ihr Symantec-Programm erkennt Adware.DelFin.

Übertragung


Kann mit anderen Anwendungen wie Kazaa gebündelt sein.

Termine für Antivirus-Schutz

  • Erste Rapid Release-Version October 02, 2014 Änderung 022
  • Latest Rapid Release version April 05, 2018 Änderung 017
  • Erste Daily Certified-Version March 31, 2004
  • Latest Daily Certified version April 05, 2018 Änderung 023
  • Initial Weekly Certified release date March 31, 2004

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Aktualisiert: February 13, 2007 11:36:55 AM
Typ: Adware
Version: n/a
Herausgeber: PromulGate
Auswirkung des Risikos: High
Dateinamen: adl_mteststub.exe
Betroffene Systeme: Windows


Wenn Adware.DelFin installiert wird, führt es folgende Aktionen aus:

  1. Lädt Werbesoftware auf den Computer herunter.

  2. Erstellt die folgenden Ordner:

    • %UserProfile%\Anwendungsdaten\nsv\cache
    • %UserProfile%\Anwendungsdaten\\picsvr
    • %UserProfile%\Anwendungsdaten\\tatss
    • %UserProfile%\Anwendungsdaten\\Dpi
    • %UserProfile%\Anwendungsdaten\\pcsvc
    • %UserProfile%\Anwendungsdaten\\vmss
    • %UserProfile%\Anwendungsdaten\\wsxs
    • %UserProfile%\Anwendungsdaten\\wsxs\Adverts
    • %System%\nsvsvc
    • %System%\wsxsvc
    • %System%\vmss
    • %GemeinsameProgramme%\dpi
    • %Programme%\DelFin
    • %Programme%\DelFin\PromulGate\Adverts
    • %Programme%\DelFin\PromulGate
    • %UserProfile%\Startmenü\Programme\DelFin Media Viewer
    • %UserProfile%\Lokale Einstellungen\Temp\vmstmp
    • %SystemDrive%\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\vmstmp
    • %UserProfile%\Startmenü\Programme\DelFin Media Viewer
    • %Windir%\system32\pgtools
    • %Windir%\system32\pcs

      Hinweise:
    • %UserProfile% ist eine Variable, die sich auf den aktuellen Benutzerprofil-Ordner bezieht. Standardmäßig ist dies C:\Dokumente und Einstellungen\<Aktueller Benutzer> (Windows NT/2000/XP).
    • %Programme% ist eine Variable, die sich auf den Programmdateienordner bezieht. Standardmäßig ist dies C:\Programme.
    • %GemeinsameProgramme% ist eine Variable, die sich auf den Ordner "Gemeinsame Dateien" bezieht. Standardmäßig ist dies C:\Programme\Gemeinsame Dateien.
    • %SystemDrive% ist eine Variable, die sich auf das Laufwerk bezieht, auf dem Windows installiert ist. Standardmäßig ist dies das Laufwerk C.
    • %Windir% ist eine Variable und bezieht sich auf den Windows-Installationsordner. In der Regel ist dies C:\Windows (Windows 95/98/Me/XP) oder C:\Winnt (Windows NT/2000).
    • %System% ist eine Variable und bezieht sich auf den Systemordner. Standardmäßig ist dies C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) oder C:\Windows\System32 (Windows XP).

  3. Er erstellt die folgenden Dateien:

    • %Programme%\DelFin\PromulGate\delfinAF.edx
    • %Programme%\DelFin\PromulGate\delfinAD.ebd
    • %Programme%\DelFin\PromulGate\delfinBD.edx
    • %Programme%\DelFin\PromulGate\delfinCO.edx
    • %Programme%\DelFin\PromulGate\delfinDL.edx
    • %Programme%\DelFin\PromulGate\delfinED.edx
    • %Programme%\DelFin\PromulGate\delfinID.edx
    • %Programme%\DelFin\PromulGate\delfinLD.edx
    • %Programme%\DelFin\PromulGate\delfinLO.edx
    • %Programme%\DelFin\PromulGate\Description.txt
    • %Programme%\DelFin\PromulGate\License.txt
    • %Programme%\DelFin\PromulGate\PgMonitr.exe
    • %Programme%\DelFin\PromulGate\PgSDK.dll
    • %Programme%\DelFin\PromulGate\preference.dat
    • %Programme%\DelFin\PromulGate\uninstall.log
    • %Programme%\DelFin\PromulGate\user.html
    • %Programme%\DelFin\PromulGate\PgMonitr.exe
    • %GemeinsameProgramme%\dpi\Dpi.exe
    • %UserProfile%\Local Settings\Temp\uppicsvr.exe
    • %SystemDrive%\Documents and Settings\Administrator\Local Settings\Temp\vmstmp\vmstmp.exe
    • %System%\picsvr\picsvr.exe
    • %System%\nsvsvc\nsvs.dll
    • %System%\vmss\vmss.exe
    • %System%\wsxsvc\wsx.dll
    • %System%\wsxsvc\wsx.ocx
    • %System%\wsxsvc\wsxsvc.exe
    • %System%\nsvsvc\nsvsvc.exe
    • %Windir%\Temp\uppicsvr.exe
    • %Windir%\SYSTEM32\pgtools\init.dll
    • %Windir%\SYSTEM32\pgtools\tatss.dll
    • %Windir%\SYSTEM32\pgtools\tatss.exe
    • C:\keys.ini

  4. Er fügt unter Umständen die Werte

    "Dpi"
    "Tat"
    "Pcsv"
    "Nsv"
    "pgstub.exe"
    "picsvr"
    "Promulgate"
    "vmss"
    "Dvx"
    "vcmpin"

    dem folgenden Registrierungsunterschlüssel hinzu:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    Dadurch wird die Werbesoftware ausgeführt, sobald Windows gestartet wird.

  5. Erstellt auch die folgenden Registrierungseinträge:

    HKEY_CLASSES_ROOT\Interface\{41700749-A109-4254-AF13-BE54011E8783}
    HKEY_CLASSES_ROOT\CLSID\{D0070620-1E72-42E7-A14C-3A255AD31839}
    HKEY_CLASSES_ROOT\TypeLib\{2A7DB8D1-43BE-4AD3-A81E-9BB8C9D00073} HKEY_CLASSES_ROOT\Interface\{2BB15D36-43BE-4743-A3A0-3308F4B1A610} HKEY_CLASSES_ROOT\CLSID\{A8BD9566-9895-4FA3-918D-A51D4CD15865} HKEY_CLASSES_ROOT\VCCPGDATAACCESS.PgDataAccessCtrl.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DelFin Media Viewer
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PgTools
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PGate
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DisplayUtility
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DMVLite
    HKEY_LOCAL_MACHINE\SOFTWARE\Dvx
    HKEY_LOCAL_MACHINE\SOFTWARE\Tat
    HKEY_LOCAL_MACHINE\SOFTWARE\Pcsv
    HKEY_LOCAL_MACHINE\SOFTWARE\Mvu
    HKEY_LOCAL_MACHINE\SOFTWARE\picsvr
    HKEY_LOCAL_MACHINE\SOFTWARE\DelFin
    HKEY_LOCAL_MACHINE\SOFTWARE\skin
    HKEY_LOCAL_MACHINE\Software\Dpi
    HKEY_LOCAL_MACHINE\SOFTWARE\vmss
    HKEY_ALL_USERS\Software\Dvx  
    HKEY_ALL_USERS\Software\Tat
    HKEY_ALL_USERS\Software\Pcsv
    HKEY_ALL_USERS\SOFTWARE\Mvu
    HKEY_ALL_USERS\SOFTWARE\picsvr
    HKEY_ALL_USERS\Software\skin
    HKEY_ALL_USERS\Software\DelFin
    HKEY_CURRENT_USER\Software\DelFin

Aktualisiert: February 13, 2007 11:36:55 AM
Typ: Adware
Version: n/a
Herausgeber: PromulGate
Auswirkung des Risikos: High
Dateinamen: adl_mteststub.exe
Betroffene Systeme: Windows


Die folgenden Anweisungen gelten für alle Virenschutzprodukte von Symantec, die die Erkennung von Sicherheitsrisiken unterstützen.

  1. Aktualisieren Sie die Definitionen.
  2. Deinstallieren Sie Adware.DelFin mit dem Applet "Software" in der Systemsteuerung.
  3. Führen Sie eine vollständige Systemprüfung durch und löschen Sie alle Dateien, die als mit Adware.DelFin infiziert erkannt werden.
  4. Entfernen Sie den in die Registrierung geschriebenen Wert.
Detaillierte Informationen zu diesen Verfahren finden Sie in den folgenden Anweisungen.

1. Aktualisieren der Virendefinitionen
Um die neuesten Definitionen zu beziehen, starten Sie Ihr Symantec-Programm und führen Sie LiveUpdate aus.

2. Deinstallieren der Werbesoftware
  1. Führen Sie einen der folgenden Schritte durch:
    • Auf der Windows 98-Tasleiste:
      1. Klicken Sie auf Start > Einstellungen > Systemsteuerung
      2. Doppelklicken Sie im Systemsteuerungsfenster auf Software.

    • Auf der Windows Me-Taskleiste:
      1. Klicken Sie auf Start > Einstellungen > Systemsteuerung
      2. Doppelklicken Sie im Systemsteuerungsfenster auf Software.
        Wenn Sie das Symbol für "Software" nicht sehen, klicken Sie auf Alle Systemsteuerungsoptionen anzeigen.

    • Auf der Windows 2000-Tasleiste:
      Standardmäßig ist Windows 2000 genauso wie Windows 98 eingerichtet, also befolgen Sie die Anweisungen für Windows 98. Andernfalls klicken Sie auf Start > Einstellungen > Systemsteuerung und klicken Sie dann auf Software.

    • Auf der Windows XP-Taskleiste:
      1. Klicken Sie auf Start > Systemsteuerung.
      2. Doppelklicken Sie im Systemsteuerungsfenster auf Software.

  2. Klicken Sie auf DelfinMedia Viewer.

    Hinweis: Sie müssen möglicherweise die Bildlaufleiste verwenden, um die ganze Liste anzuzeigen.
  3. Klicken Sie auf Hinzufügen/Entfernen, Ändern/Entfernen oder Entfernen (dies variiert je nach Betriebssystem). Folgen Sie den Anweisungen auf dem Bildschirm.

3. Ausführen der Prüfung
  1. Starten Sie Ihr Symantec-Virenschutzprogramm und führen Sie dann eine vollständige Systemprüfung aus.
  2. Wenn Dateien erkannt werden und abhängig davon, welcher Software-Version Sie benutzen, sehen Sie möglicherweise eine oder mehrere der folgenden Optionen:

    Hinweis: Dies gilt nur für Versionen von Norton AntiVirus, die die Sicherheitsrisiko-Erkennung unterstützen. Wenn Sie eine Version von Symantec AntiVirus Corporate Edition verwenden, die die Sicherheitsrisiko-Erkennung unterstützt, und die Sicherheitsrisiko-Erkennung ist aktiviert worden, sehen Sie lediglich ein Meldungsfeld, das die Ergebnisse der Prüfung angibt. Wenn Sie Fragen zu dieser Situation haben, kontaktieren Sie Ihren Netzwerkadministrator.
    • Ausschließen (nicht empfohlen): Wenn Sie auf diese Schaltfläche klicken, stellen Sie Ihr Programm so ein, dass das Risiko nicht mehr entdeckt wird. Das heißt, das Virenschutzprogramm behält das Sicherheitsrisiko auf Ihrem Computer und erkennt es nicht mehr, um es von Ihrem Computer zu entfernen.

    • Ignorieren oder Überspringen: Diese Option weist das Prüfprogramm an, das Risiko für nur diese Prüfung zu ignorieren. Sie wird beim nächsten Mal wieder erkannt, wenn Sie eine Prüfung ausführen.

    • Abbrechen: Diese Option ist neu in Norton AntiVirus 2005. Sie wird verwendet, wenn Norton AntiVirus 2005 festgestellt hat, dass es ein Sicherheitsrisiko nicht löschen kann. Diese Option weist das Prüfprogramm an, das Risiko für nur diese Prüfung zu ignorieren, und folglich wird das Risiko das nächste Mal wieder erkannt, wenn Sie eine Prüfung ausführen.

      Das Sicherheitsrisiko wirklich löschen:
      • Klicken Sie auf den Dateinamen des Risikos (unter der Spalte "Dateiname").
      • Geben Sie in das angezeigte Feld für Informationen den vollen Pfad und Dateinamen an.
      • Verwenden Sie dann Windows-Explorer, um die Datei zu finden und zu löschen.

        Wenn Windows berichtet, dass es die Datei nicht löschen kann, weist dies daraufhin, dass die Datei zurzeit verwendet wird. In dieser Situation schließen Sie den Rest der Anweisungen auf dieser Seite ab, starten Sie den Computer im abgesicherten Modus neu und löschen Sie dann die Datei mit Windows-Explorer. Starten Sie den Computer im normalen Modus neu.

    • Löschen: Diese Option versucht, die erkannten Dateien zu löschen. In einigen Fällen kann das Prüfprogramm dies nicht tun.
      • Wenn Sie eine Meldung darüber erhalten, dass der Löschvorgang nicht durchgeführt werden konnte, löschen Sie die Datei manuell.
      • Klicken Sie auf den Dateinamen des Risikos, den Sie unter der Spalte "Dateiname" finden.
      • Geben Sie in das angezeigte Feld für Informationen den vollen Pfad und Dateinamen an.
      • Verwenden Sie dann Windows-Explorer, um die Datei zu finden und zu löschen.

        Wenn Windows berichtet, dass es die Datei nicht löschen kann, weist dies daraufhin, dass die Datei zurzeit verwendet wird. In dieser Situation schließen Sie den Rest der Anweisungen auf dieser Seite ab, starten Sie den Computer im abgesicherten Modus neu und löschen Sie dann die Datei mit Windows-Explorer. Starten Sie den Computer im normalen Modus neu.
Wichtig: Wenn Ihr Virenschutzprodukt von Symantec Dateien entdeckt und nicht löschen kann, so wird die Datei möglicherweise von Windows verwendet. Um dieses Problem zu beheben, führen Sie die Prüfung im abgesicherten Modus aus. Anweisungen hierzu finden Sie im Dokument Starten Ihres Computers im abgesicherten Modus . Sobald der Computer im abgesicherten Modus gestartet wurde, führen Sie die Prüfung erneut aus.

Nachdem die Dateien gelöscht sind, starten Sie den Computer im normalen Modus neu und fahren Sie mit dem nächsten Abschnitt fort.

Warnmeldungen können angezeigt werden, wenn der Computer neu gestartet wird, da das Risiko zu dem Zeitpunkt möglicherweise noch nicht völlig entfernt worden ist. Sie können diese Meldungen ignorieren und auf OK klicken. Diese Meldungen erscheinen nicht, wenn der Computer neu gestartet wird, nachdem die Entfernungsanweisungen völlig durchgeführt worden sind. Die Meldungen, die angezeigt werden, können folgendermaßen aussehen:

Titel: [Dateipfad]
Nachrichtentext: Windows cannot find [Dateiname]. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.

Hinweis: Wenn Sie das Applet "Software" wie im vorherigen Abschnitt beschrieben ausgeführt haben, sind alle Dateien möglicherweise entfernt worden, und folglich werden keine von ihnen mehr erkannt.

c. Sie sollten möglicherweise die Verzeichnisse %Programme%\Delfin and %ProgramFiles%\Common Files\DPI entfernen.


4. Entfernen der Werte aus der Registrierung
WARNUNG: Wir empfehlen Ihnen nachdrücklich, eine Sicherungskopie der Registrierung anzulegen, bevor Sie Änderungen daran vornehmen. Fehler bei der Änderung von Registrierungseinträgen können zu permanentem Datenverlust oder beschädigten Dateien führen. Bearbeiten Sie nur die angegebenen Schlüssel. Bitte beachten Sie das Dokument Erstellen einer Sicherheitskopie der Windows-Registrierung , bevor Sie fortfahren.

Hinweis:
Dies ist notwendig, um sicherzustellen, dass alle Schlüssel entfernt werden. Möglicherweise sind die Schlüssel nicht vorhanden, wenn Sie vom Deinstallationsprogramm entfernt wurden.
  1. Klicken Sie auf Start und anschließend auf Ausführen. (Das Dialogfeld Ausführen wird geöffnet.)
  2. Geben Sie regedit ein.

    Klicken Sie auf OK. Der Registrierungseditor wird geöffnet.

  3. Navigieren Sie zum Unterschlüssel:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  4. Im rechten Teilfenster löschen Sie diese Werte, falls vorhanden:

    "Dpi"
    "Tat"
    "Pcsv"
    "Nsv"
    "pgstub.exe"
    "picsvr"
    "Promulgate"
    "vmss"
    "Dvx"
    "vcmpin"

  5. Suchen Sie die folgenden Unterschlüssel und löschen Sie sie:

    HKEY_CLASSES_ROOT\Interface\{41700749-A109-4254-AF13-BE54011E8783}
    HKEY_CLASSES_ROOT\CLSID\{D0070620-1E72-42E7-A14C-3A255AD31839}
    HKEY_CLASSES_ROOT\TypeLib\{2A7DB8D1-43BE-4AD3-A81E-9BB8C9D00073}
    HKEY_CLASSES_ROOT\Interface\{2BB15D36-43BE-4743-A3A0-3308F4B1A610}
    HKEY_CLASSES_ROOT\CLSID\{A8BD9566-9895-4FA3-918D-A51D4CD15865}
    HKEY_CLASSES_ROOT\VCCPGDATAACCESS.PgDataAccessCtrl.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DelFin Media Viewer
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PgTools
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PGate
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DisplayUtility
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DMVLite
    HKEY_LOCAL_MACHINE\SOFTWARE\Dvx
    HKEY_LOCAL_MACHINE\SOFTWARE\Dpi
    HKEY_LOCAL_MACHINE\SOFTWARE\Tat
    HKEY_LOCAL_MACHINE\SOFTWARE\Pcsv
    HKEY_LOCAL_MACHINE\SOFTWARE\vmss
    HKEY_LOCAL_MACHINE\SOFTWARE\Mvu
    HKEY_LOCAL_MACHINE\SOFTWARE\picsvr
    HKEY_LOCAL_MACHINE\SOFTWARE\DelFin
    HKEY_ALL_USERS\Software\Tat
    HKEY_ALL_USERS\Software\Pcsv
    HKEY_ALL_USERS\SOFTWARE\Mvu
    HKEY_ALL_USERS\SOFTWARE\picsvr
    HKEY_ALL_USERS\Software\DelFin
    HKEY_ALL_USERS\Software\Dvx  
    HKEY_CURRENT_USER\Software\DelFin


f. Schließen Sie den Registrierungseditor.