Adware.Margoc

Druckansicht

Aktualisiert: February 13, 2007 11:37:16 AM
Typ: Adware
Version: n/a
Herausgeber: n/a
Auswirkung des Risikos: High
Dateinamen: restsrv32.sys,restsrv32a.sys,regsvrac32.dll,varies.
Betroffene Systeme: Windows

Verhalten


Adware.Margoc ist ein Werbeprogramm, das Popup-Fenster anzeigt.

Symptome


Ihr Symantec-Programm erkennt diese Bedrohung als Adware.Margoc.

Übertragung


Diese Werbesoftware-Komponente kann manuell installiert werden.

Termine für Antivirus-Schutz

  • Erste Rapid Release-Version October 02, 2014 Änderung 022
  • Latest Rapid Release version October 07, 2017 Änderung 025
  • Erste Daily Certified-Version May 23, 2004
  • Latest Daily Certified version September 08, 2017 Änderung 001
  • Initial Weekly Certified release date May 26, 2004

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Aktualisiert: February 13, 2007 11:37:16 AM
Typ: Adware
Version: n/a
Herausgeber: n/a
Auswirkung des Risikos: High
Dateinamen: restsrv32.sys,restsrv32a.sys,regsvrac32.dll,varies.
Betroffene Systeme: Windows


Bei Ausführung geht Adware.Margoc folgendermaßen vor:

  1. Erstellt einige der folgenden Dateien:

    • %System%\restsrv32.sys
    • %Windir%\restsrv32a.sys
    • %System%\regsvrac32.dll
    • %System%\[willkürliche Zeichen].sys
    • %Windir%\[willkürliche Zeichen].sys
    • %System%\[willkürliche Zeichen].dll
    • %UserProfile%\Lokale Einstellungen\Temp\1fetrov.tmp
    • %UserProfile%\Lokale Einstellungen\Temp\5ov.tmp
    • %UserProfile%\Lokale Einstellungen\Temp\5ovis1.tmp
    • %UserProfile%\Lokale Einstellungen\Temp\5ovis1000.tmp
    • %UserProfile%\Lokale Einstellungen\Temp\ferro.tmp
    • %UserProfile%\Lokale Einstellungen\Temp\ferro21.tmp
    • %UserProfile%\Lokale Einstellungen\Temp\fetrov.tmp
    • %UserProfile%\Lokale Einstellungen\Temp\fewrro21.tmp
    • %UserProfile%\Lokale Einstellungen\Temp\gumlj.tmp
    • %UserProfile%\Lokale Einstellungen\Temp\ironnew.tmp
    • %UserProfile%\Lokale Einstellungen\Temp\margo.tmp
    • %UserProfile%\Lokale Einstellungen\Temp\sres32a.tmp
    • %UserProfile%\Lokale Einstellungen\Temp\sres32b.tmp
    • %UserProfile%\Lokale Einstellungen\Temp\sres32d.tmp
    • %UserProfile%\Lokale Einstellungen\Temp\sres32e.tmp
    • %UserProfile%\Lokale Einstellungen\Temp\svironnew.tmp
    • %UserProfile%\Lokale Einstellungen\Temp\tretr.tmp
    • %UserProfile%\Lokale Einstellungen\Temp\vironnew.tmp
    • %UserProfile%\Lokale Einstellungen\Temp\[willkürliche Zeichen].sys


      Hinweise:
    • %Windir% ist eine Variable. Die Werbesoftware sucht den Windows-Installationsordner (üblicherweise C:\Windows oder C:\Winnt) und kopiert sich dorthin.
    • %System% ist eine Variable. Die Werbesoftware findet den Ordner "System" und kopiert sich dorthin. Standardmäßig ist dies C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) oder C:\Windows\System32 (Windows XP).
    • %UserProfile% ist eine Variable, die sich auf den aktuellen Benutzerprofil-Ordner bezieht. Standardmäßig ist dies C:\Dokumente und Einstellungen\<Aktueller Benutzer> (Windows NT/2000/XP).

  2. Erstellt die Datei %System%\[willkürliche Zeichen].exe.

  3. Fügt den Wert

    "[ willkürliche Zeichen ] .exe" = "%System%\[ willkürliche Zeichen ] .exe"

    den folgenden Registrierungsunterschlüsseln hinzu:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

    Dadurch wird Adware.Margoc beim nächsten Windows-Start ausgeführt.

  4. Fügt möglicherweise die folgenden Registrierungsunterschlüssel hinzu:

    HKEY_CURRENT_USER\Software\[willkürliche Zeichen]
    HKEY_CURRENT_USER\Software\[willkürliche Zeichen]\symbols
    HKEY_CURRENT_USER\Software\margo

  5. Er fügt unter Umständen die Werte

    "fr" = "0"
    "FirstConnected" = "00 00 00 00 00 00 00 00"
    "LastConnected" = "00 00 00 00 00 00 00 00"

    dem folgenden Registrierungsunterschlüssel hinzu:

    HKEY_CURRENT_USER\Software\[willkürliche Zeichen]

  6. Fügt möglicherweise die folgenden Registrierungsunterschlüssel hinzu:

    HKEY_CLASSES_ROOT\CLSID\{D537A3D0-8C07-4D62-953F-162207F5090D}
    HKEY_CLASSES_ROOT\CLSID\{A78860C8-EE1A-46DF-A97F-E3E6D433E80B}
    HKEY_CLASSES_ROOT\CLSID\{63AC6939-D0EE-48C9-8ED7-F236344B263B}
    HKEY_CLASSES_ROOT\CLSID\{81D66134-ADC3-4C6D-B0A9-03D4EE35B849}
    HKEY_CLASSES_ROOT\CLSID\{A3E9059A-4253-4912-9585-878782F24B80}
    HKEY_CLASSES_ROOT\CLSID\{A5A350A7-C939-467A-9342-D2C8439AC411}
    HKEY_CLASSES_ROOT\CLSID\{FA040B34-FBE9-4BEF-9D85-F90BECAACA99}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{D537A3D0-8C07-4D62-953F-162207F5090D}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{A78860C8-EE1A-46DF-A97F-E3E6D433E80B}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{63AC6939-D0EE-48C9-8ED7-F236344B263B}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{81D66134-ADC3-4C6D-B0A9-03D4EE35B849}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{A3E9059A-4253-4912-9585-878782F24B80}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{A5A350A7-C939-467A-9342-D2C8439AC411}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{FA040B34-FBE9-4BEF-9D85-F90BECAACA99}

  7. Registriert eine der folgenden Dateien als Browser Helper Object:

    • %System%\Regsvrac32.dll
    • %System%\[willkürliche Zeichen].dll

  8. Fordert von einer Website Konfigurationsinformationen an.

  9. Zeigt Popup-Werbung an, wenn bestimmte Webseiten angezeigt werden.

    Hinweis: Die Website kann den anzuzeigenden Inhalt der Werbungen und den Zeitpunkt der Anzeige bestimmen. Zum Verfassungszeitpunkt dieses Dokuments werden sie durch Anfragen an die Google-Suchmaschine ausgelöst.


Aktualisiert: February 13, 2007 11:37:16 AM
Typ: Adware
Version: n/a
Herausgeber: n/a
Auswirkung des Risikos: High
Dateinamen: restsrv32.sys,restsrv32a.sys,regsvrac32.dll,varies.
Betroffene Systeme: Windows


Die folgenden Anweisungen gelten für alle Virenschutzprodukte von Symantec, die die Erkennung von Sicherheitsrisiken unterstützen.

  1. Aktualisieren Sie die Definitionen.
  2. Prüfen Sie auf die Dateinamen und notieren Sie sie.
  3. Heben Sie die Registrierung des Browser Helper Objects auf.
  4. Entfernen Sie den in die Registrierung geschriebenen Wert.
  5. Führen Sie eine vollständige Systemprüfung durch und löschen Sie alle Dateien, die als mit Adware.Margoc infiziert erkannt werden.
Detaillierte Informationen zu diesen Verfahren finden Sie in den folgenden Anweisungen.

1. Aktualisieren der Virendefinitionen
Um die neuesten Definitionen zu beziehen, starten Sie Ihr Symantec-Programm und führen Sie LiveUpdate aus.

2. Auf Dateinamen prüfen und sie notieren
  1. Starten Sie Ihr Symantec-Virenschutzprogramm und führen Sie dann eine vollständige Systemprüfung aus.
  2. Wenn irgendwelche Dateien als Adware.Margoc erkannt werden, notieren Sie sich den vollständigen Pfad und den Dateinamen. Versuchen Sie zu diesem Zeitpunkt nicht, die erkannten Dateien zu löschen.
  3. Verlassen Sie das Symantec-Virenschutzprogramm.

3. Aufheben der Registrierung des Browser Helper Objects
In diesem Schritt heben Sie die Registrierung der .dll-Dateien auf, die in Abschnitt 2 erkannt wurden. Die Registrierung von anderen Dateien wie z.B. .exe-Dateien muss nicht aufgehoben werden.
  1. Klicken Sie auf Start > Ausführen.
  2. Geben Sie Folgendes für jede .dll-Datei ein, die in Abschnitt 2 gefunden wurde:

    regsvr32 /u "Pfad\Dateiname.dll"

    Klicken Sie dann auf OK.

  3. Wenn ein Dialogfeld erscheint, das diese Aktion bestätigt, klicken Sie auf OK.
  4. Wenn mehr als eine .dll-Datei in der Prüfung gefunden wurde, wiederholen Sie Schritte a. und b. für jede davon, bis für alle die Registrierung aufgehoben wurde.
  5. Klicken Sie auf OK.

4. Löschen der Schlüssel und Werte aus der Registrierung

WARNUNG: Wir empfehlen Ihnen nachdrücklich, eine Sicherungskopie der Registrierung anzulegen, bevor Sie Änderungen daran vornehmen. Fehler bei der Änderung von Registrierungseinträgen können zu permanentem Datenverlust oder beschädigten Dateien führen. Bearbeiten Sie nur die angegebenen Schlüssel. Bitte beachten Sie das Dokument Erstellen einer Sicherheitskopie der Windows-Registrierung , bevor Sie fortfahren.

  1. Klicken Sie auf Start > Ausführen.
  2. Geben Sie regedit ein.

    Klicken Sie dann auf OK.

  3. Navigieren Sie zu den Unterschlüsseln:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

  4. Im rechten Teilfenster löschen Sie sämtliche Werte, die sich auf Dateien beziehen, die als Spyware.Margoc erkannt werden.

  5. Suchen Sie die folgenden Unterschlüssel und löschen Sie sie:

    HKEY_CURRENT_USER\Software\[willkürliche Zeichen]
    HKEY_CURRENT_USER\Software\[willkürliche Zeichen]\symbols
    HKEY_CURRENT_USER\Software\margo
    HKEY_CLASSES_ROOT\CLSID\{D537A3D0-8C07-4D62-953F-162207F5090D}
    HKEY_CLASSES_ROOT\CLSID\{A78860C8-EE1A-46DF-A97F-E3E6D433E80B}
    HKEY_CLASSES_ROOT\CLSID\{63AC6939-D0EE-48C9-8ED7-F236344B263B}
    HKEY_CLASSES_ROOT\CLSID\{81D66134-ADC3-4C6D-B0A9-03D4EE35B849}
    HKEY_CLASSES_ROOT\CLSID\{A3E9059A-4253-4912-9585-878782F24B80}
    HKEY_CLASSES_ROOT\CLSID\{A5A350A7-C939-467A-9342-D2C8439AC411}
    HKEY_CLASSES_ROOT\CLSID\{FA040B34-FBE9-4BEF-9D85-F90BECAACA99}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{D537A3D0-8C07-4D62-953F-162207F5090D}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{A78860C8-EE1A-46DF-A97F-E3E6D433E80B}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{63AC6939-D0EE-48C9-8ED7-F236344B263B}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{81D66134-ADC3-4C6D-B0A9-03D4EE35B849}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{A3E9059A-4253-4912-9585-878782F24B80}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{A5A350A7-C939-467A-9342-D2C8439AC411}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{FA040B34-FBE9-4BEF-9D85-F90BECAACA99}

  6. Navigieren Sie zum Unterschlüssel:

    HKEY_CURRENT_USER\Software\[willkürliche Zeichen]

  7. Löschen Sie diese Werte im rechten Teilfenster:

    "fr" = "0"
    "FirstConnected" = "00 00 00 00 00 00 00 00"
    "LastConnected" = "00 00 00 00 00 00 00 00"

  8. Schließen Sie den Registrierungseditor.

5. Führen Sie eine vollständige Systemprüfung durch und löschen Sie alle Dateien, die als mit Adware.Margoc infiziert erkannt werden.
  1. Starten Sie Ihr Symantec-Virenschutzprogramm und führen Sie dann eine vollständige Systemprüfung aus.
  2. Wenn Dateien als Adware.Margoc erkannt werden, sehen Sie abhängig von der verwendeten Software-Version möglicherweise eine oder mehrere der folgenden Optionen:

    Hinweis: Dies gilt nur für Versionen von Norton AntiVirus, die die Sicherheitsrisiko-Erkennung unterstützen. Wenn Sie eine Version von Symantec AntiVirus Corporate Edition verwenden, die die Sicherheitsrisiko-Erkennung unterstützt, und die Sicherheitsrisiko-Erkennung ist aktiviert worden, sehen Sie lediglich ein Meldungsfeld, das die Ergebnisse der Prüfung angibt. Wenn Sie Fragen zu dieser Situation haben, kontaktieren Sie Ihren Netzwerkadministrator.
    • Ausschließen (nicht empfohlen): Wenn Sie auf diese Schaltfläche klicken, stellen Sie Ihr Programm so ein, dass das Risiko nicht mehr entdeckt wird. Das heißt, das Virenschutzprogramm behält das Sicherheitsrisiko auf Ihrem Computer und erkennt es nicht mehr, um es von Ihrem Computer zu entfernen.

    • Ignorieren oder Überspringen: Diese Option weist das Prüfprogramm an, das Risiko für nur diese Prüfung zu ignorieren. Sie wird beim nächsten Mal wieder erkannt, wenn Sie eine Prüfung ausführen.

    • Abbrechen: Diese Option ist neu in Norton AntiVirus 2005. Sie wird verwendet, wenn Norton AntiVirus 2005 festgestellt hat, dass es ein Sicherheitsrisiko nicht löschen kann. Diese Option weist das Prüfprogramm an, das Risiko für nur diese Prüfung zu ignorieren, und folglich wird das Risiko das nächste Mal wieder erkannt, wenn Sie eine Prüfung ausführen.

      Das Sicherheitsrisiko wirklich löschen:
      • Klicken Sie auf den Dateinamen des Risikos (unter der Spalte "Dateiname").
      • Geben Sie in das angezeigte Feld für Informationen den vollen Pfad und Dateinamen an.
      • Verwenden Sie dann Windows-Explorer, um die Datei zu finden und zu löschen.

        Wenn Windows berichtet, dass es die Datei nicht löschen kann, weist dies daraufhin, dass die Datei zurzeit verwendet wird. In dieser Situation schließen Sie den Rest der Anweisungen auf dieser Seite ab, starten Sie den Computer im abgesicherten Modus neu und löschen Sie dann die Datei mit Windows-Explorer. Starten Sie den Computer im normalen Modus neu.

    • Löschen: Diese Option versucht, die erkannten Dateien zu löschen. In einigen Fällen kann das Prüfprogramm dies nicht tun.
      • Wenn Sie eine Meldung darüber erhalten, dass der Löschvorgang nicht durchgeführt werden konnte, löschen Sie die Datei manuell.
      • Klicken Sie auf den Dateinamen der Bedrohung, den Sie unter der Spalte "Dateiname" finden.
      • Geben Sie in das angezeigte Feld für Informationen den vollen Pfad und Dateinamen an.
      • Verwenden Sie dann Windows-Explorer, um die Datei zu finden und zu löschen.

        Wenn Windows berichtet, dass es die Datei nicht löschen kann, weist dies daraufhin, dass die Datei zurzeit verwendet wird. In dieser Situation schließen Sie den Rest der Anweisungen auf dieser Seite ab, starten Sie den Computer im abgesicherten Modus neu und löschen Sie dann die Datei mit Windows-Explorer. Starten Sie den Computer im normalen Modus neu.