Adware.180Search

Druckansicht

Aktualisiert: February 13, 2007 11:37:19 AM
Typ: Adware
Version: n/a
Herausgeber: 180Solutions
Auswirkung des Risikos: Medium
Dateinamen: Msbb.exe Boomerang.exe 180SAInstaller.dll setup4156.exe sac.exe sau.exe 1802.dll salmbundle
Betroffene Systeme: Windows

Verhalten


Adware.180Search ist ein Werbeprogramm, das den Inhalt von Webbrowser-Fenstern überwacht. Es öffnet die Webseiten von Partner-Websites, wenn es bestimmte Schlüsselwörter in Such- oder Einkaufs-Browser-Fenstern sieht.


Hinweis : Erkennungen vom 10. März 2005 oder früher erkennen möglicherweise diese Werbesoftware als Adware.Ncase.

Symptome


Die Dateien werden als Adware.180Search erkannt.

Übertragung


Adware.180Search kann manuell oder als Teil der Installation für ein anderes Programm installiert werden.

Termine für Antivirus-Schutz

  • Erste Rapid Release-Version October 02, 2014 Änderung 022
  • Latest Rapid Release version November 23, 2018 Änderung 005
  • Erste Daily Certified-Version June 16, 2004 Änderung 003
  • Latest Daily Certified version November 23, 2018 Änderung 008
  • Initial Weekly Certified release date June 16, 2004

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Aktualisiert: February 13, 2007 11:37:19 AM
Typ: Adware
Version: n/a
Herausgeber: 180Solutions
Auswirkung des Risikos: Medium
Dateinamen: Msbb.exe Boomerang.exe 180SAInstaller.dll setup4156.exe sac.exe sau.exe 1802.dll salmbundle
Betroffene Systeme: Windows


Bei Ausführung geht Adware.180Search folgendermaßen vor:

  1. Erstellt möglicherweise den folgenden Ordner:

    %Windir%\FLEOK\


    Hinweis:
    %Windir% ist eine Variable und bezieht sich auf den Windows-Installationsordner. In der Regel ist dies C:\Windows (Windows 95/98/Me/XP) oder C:\Winnt (Windows NT/2000).


  2. Installiert sich in die folgenden Bereiche:

    • %ProgramFiles%\180search Assistant\sain.exe
    • %ProgramFiles%\180search Assistant\hsr.dll
    • %ProgramFiles%\180search Assistant\sau.exe
    • %ProgramFiles%\180search Assistant\sau.log
    • %ProgramFiles%\180search Assistant\sau.dll
    • %ProgramFiles%\180search Assistant\sau_[3 WILLKÜRLICHE BUCHSTABEN].dat
    • %ProgramFiles%\180search Assistant\sauau.dat
    • %ProgramFiles%\180search Assistant\sac.exe
    • %ProgramFiles%\180search Assistant\sauhook.dll
    • %ProgramFiles%\180search Assistant\sachook.dll
    • %ProgramFiles%\180searchassistant\salm.exe
    • %ProgramFiles%\180searchassistant\salmau_update.dat
    • %ProgramFiles%\180searchassistant\salmhook.dll
    • %ProgramFiles%\180searchassistant\salm.dat
    • %ProgramFiles%\180searchassistant\salm_[3 WILLKÜRLICHE BUCHSTABEN].dat
    • %ProgramFiles%\180searchassistant\salm_3 WILLKÜRLICHE BUCHSTABEN]_update.dat
    • %ProgramFiles%\180searchassistant\sac_[3 WILLKÜRLICHE BUCHSTABEN]_update.dat
    • %ProgramFiles%\180searchassistant\sac_[3 WILLKÜRLICHE BUCHSTABEN].dat
    • %ProgramFiles%\180searchassistant\sackyf.dat
    • %ProgramFiles%\180searchassistant\sacau.dat
    • %Windir%\[WILLKÜRLICHER DATEINAME].EXE
    • %Windir%\Downloaded Program Files\ClientAx.dll
    • %Windir%\Downloaded Program Files\ClientAx.inf
    • %Temp%\180sainstallernusalm.exe
    • %UserProfile%\Lokale Einstellungen\Temp\180ax.exe
    • %UserProfile%\Lokale Einstellungen\Temp\180ax.log
    • %Windir%\ClientInstaller.log


      Hinweise:
    • %ProgramFiles% ist eine Variable, die sich auf den Programmdateienordner bezieht. Standardmäßig ist dies C:\Programme.
    • %Windir% ist eine Variable und bezieht sich auf den Windows-Installationsordner. In der Regel ist dies C:\Windows (Windows 95/98/Me/XP) oder C:\Winnt (Windows NT/2000).
    • %Temp% ist eine Variable und bezieht sich auf den temporären Windows-Ordner. In der Regel ist dies C:\Windows\TEMP (Windows 95/98/Me/XP) oder C:\WINNT\Temp (Windows NT/2000).
    • %UserProfile% ist eine Variable, die sich auf den aktuellen Benutzerprofil-Ordner bezieht. Standardmäßig ist dies C:\Dokumente und Einstellungen\<Aktueller Benutzer> (Windows NT/2000/XP).


  3. Kann die folgenden Dateien erstellen:
    • %SystemDrive%\Dokumente und Einstellungen\All Users\Startmenü\Programme\180search Assistant\180search Assistant.com.url
    • %SystemDrive%\Dokumente und Einstellungen\All Users\Startmenü\Programme\180search Assistant\Uninstall 180search Assistant Instructions.lnk


      Hinweis: %SystemDrive% ist eine Variable, die sich auf das Laufwerk bezieht, auf dem Windows installiert ist. Standardmäßig ist dies das Laufwerk C.


  4. Er fügt unter Umständen die Werte

    "MSBB" = "[PFAD ZUR DATEI]"
    "sau" = "%ProgramFiles%\180search assistant\sau.exe"
    "sac" = "%ProgramFiles%\180searchassistant\sac.exe"
    "sain" = "%ProgramFiles%\180search assistant\sain.exe"
    "salm" = "%ProgramFiles%\180searchassistant\salm.exe"
    "180ax" = "%userprofile%\Lokale Einstellungen\temp\180ax.exe"
    "[WILLKÜRLICHER DATEINAME] " = "%Windir%\ [WILLKÜRLICHER DATEINAME].exe"

    dem folgenden Registrierungsunterschlüssel hinzu:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    Dadurch wird das Sicherheitsrisiko ausgeführt, sobald Windows gestartet wird.

  5. Erstellt einige der folgenden Registrierungseinträge:

    HKEY_CLASSES_ROOT\CLSID\{B10031B2-F184-4803-9A88-D239C0641D70}
    HKEY_CLASSES_ROOT\Interface\{A79F8202-E09D-4F0F-AD4D-DCAE1DAC5994}
    HKEY_CLASSES_ROOT\TypeLib\{F2BF4713-E933-4B66-8694-22ED243709C7}
    HKEY_CLASSES_ROOT\180SAInstaller.180SAInstaller
    HKEY_CLASSES_ROOT\180SAInstaller.180SAInstaller.1
    HKEY_LOCAL_MACHINE\SOFTWARE\sau
    HKEY_LOCAL_MACHINE\SOFTWARE\sac
    HKEY_LOCAL_MACHINE\SOFTWARE\sain
    HKEY_LOCAL_MACHINE\SOFTWARE\salm
    HKEY_LOCAL_MACHINE\SOFTWARE\180ax
    HKEY_CURRENT_USER\Software\sau
    HKEY_CURRENT_USER\Software\sac
    HKEY_CURRNET_USER\Software\sain
    HKEY_CURRENT_USER\SOFTWARE\salm
    HKEY_CURRENT_USER\SOFTWARE\180ax
    HKEY_CURRENT_USER\Software\180solutions
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Uninstall\180ax
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Uninstall\nCASE
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Uninstall\msbb
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Uninstall\sac
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Uninstall\sain
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Uninstall\salm
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Uninstall\sau

  6. Er fügt unter Umständen den Wert

    "LoginSessionDisable" = "1"

    dem folgenden Registrierungsschlüssel hinzu:

    HKEY_CURRENT_USER\Software\Microsoft\RAS Autodial\Control

    Dadurch wird verhindert, dass das Risiko das System veranlasst, einen Internetdienstanbieter (ISP) anzuwählen.

  7. Überwacht den Inhalt von Webbrowser-Fenstern. Wenn bestimmte (konfigurierbare) Schlüsselwörter in Web-Suchfenstern oder Einkaufs-Browser-Fenstern entdeckt werden, zeigt die Werbesoftware die Webseite einer Partner-Site an. Die gesammelten Informationen schließen Folgendes ein:
    • In den Webbrowser eingegebene Wörter
    • Die Adresse der Website, in die Wörter eingegeben wurden
    • Betriebssystem-Version (einschließlich Service Pack).
    • Verwendeter Webbrowser (einschließlich der genauen Versionsnummer).
    • Bildschirmbreite und -höhe

  8. Überprüft, ob die gesamte Werbesoftware-Anwendung vorhanden ist. Wenn die Werbesoftware teilweise entfernt wurde, installiert es die fehlenden Komponenten neu.


Aktualisiert: February 13, 2007 11:37:19 AM
Typ: Adware
Version: n/a
Herausgeber: 180Solutions
Auswirkung des Risikos: Medium
Dateinamen: Msbb.exe Boomerang.exe 180SAInstaller.dll setup4156.exe sac.exe sau.exe 1802.dll salmbundle
Betroffene Systeme: Windows



Hinweis: Das Entfernen dieser Werbesoftware-Komponente vom Computer führt wahrscheinlich dazu, dass das Programm, das die Komponente installiert hat, nicht mehr ordnungsgemäß funktioniert. Das Deinstallationsprogramm nennt normalerweise die Programme, die nach der Deinstallation nicht mehr funktionieren werden.



Entfernung mit dem Entfernungsprogramm
Symantec Security Response hat ein Entfernungsprogramm für Adware.180Search entwickelt. Das Entfernungsprogramm ist die einfachste Möglichkeit, um diese Bedrohung zu beseitigen, und sollte daher als Erstes ausprobiert werden.

Das Programm kann hier gefunden werden: http://securityresponse.symantec.com/avcenter/Fix180Sh.exe

Die aktuelle Version des Programms ist 1.0.5 und hat eine digitale Unterschrift mit dem Datum 14/02/2005 3:31PM PST.


Hinweis: Das angezeigte Datum und die Uhrzeit werden Ihrer Zeitzone angepasst, wenn Ihr Computer nicht auf die pazifische Zeitzone eingestellt ist.


Es wurde berichtet, dass auf einem mit Adware.180Search infizierten Computer auch andere Sicherheitsrisiken installiert sein können. Symantec empfiehlt, dass die folgenden Schritte durchgeführt werden:
    1. Wenden Sie das Adware.180Search-Entfernungsprogramm an.
    2. Aktualisieren Sie die Definitionen, indem Sie das Symantec-Programm starten und LiveUpdate ausführen.
    3. Führen Sie eine vollständige Systemprüfung aus, um alle anderen Sicherheitsrisiken auf dem Computer zu erkennen.
    4. Wenn die Prüfung ein weiteres Sicherheitsrisiko erkennt, suchen Sie unter http://securityresponse.symantec.com/avcenter/security.risks.tools.list.html nach Entfernungsprogrammen.
    5. Wenn es keine Entfernungsprogramme für die Sicherheitsrisiken gibt, die erkannt werden, befolgen Sie die Anweisungen zur manuelle Entfernung, die in der Beschreibung der Bedrohung aufgeführt werden.


Manuelle Entfernung
Die folgenden Anweisungen gelten für alle Virenschutzprodukte von Symantec, die die Erkennung von Sicherheitsrisiken unterstützen.
  1. Aktualisieren Sie die Definitionen.
  2. Deinstallieren Sie Adware.180Search mit dem Applet "Software" in der Systemsteuerung.
  3. Führen Sie eine vollständige Systemprüfung durch und löschen Sie alle Dateien, die als Adware.180Search erkannt werden.
  4. Entfernen Sie den in die Registrierung geschriebenen Wert.
Detaillierte Informationen zu diesen Verfahren finden Sie in den folgenden Anweisungen.


1. Aktualisieren der Virendefinitionen
Um die neuesten Definitionen zu beziehen, starten Sie Ihr Symantec-Programm und führen Sie LiveUpdate aus.


2. Deinstallieren der Werbesoftware
Dieses Sicherheitsrisiko schließt ein Deinstallations-Applet ein. Um dieses Sicherheitsrisiko zu deinstallieren, führen Sie die folgenden Anweisungen durch:
  1. Klicken Sie auf Start > Einstellungen > Systemsteuerung oder Start > Systemsteuerung.
  2. Doppelklicken Sie im Systemsteuerungsfenster auf Software.

    Nur Windows Me: Wenn Sie nicht das Symbol Software sehen, klicken Sie auf ....alle Systemsteuerungsoptionen anzeigen.

  3. Klicken Sie auf 180Search Assistant.


    Hinweis: Sie müssen möglicherweise die Bildlaufleiste verwenden, um die ganze Liste anzuzeigen.

  4. Klicken Sie auf Hinzufügen/Entfernen, Ändern/Entfernen oder Entfernen (dies variiert je nach Betriebssystem). Folgen Sie den Anweisungen auf dem Bildschirm.


    Hinweis: Nachdem Sie das Applet Software ausgeführt haben, sollten alle Dateien entfernt sein. Sie sollten jedoch eine vollständige Systemprüfung ausführen, um sicherzustellen, dass dies auch wirklich der Fall ist. Jedoch ist es möglich, dass keine Dateien mehr entdeckt werden, nachdem Sie das Risiko über "Software" deinstalliert haben.


3. Ausführen der Prüfung
  1. Starten Sie Ihr Symantec-Virenschutzprogramm, und führen Sie dann eine vollständige Systemprüfung aus.
  2. Wenn Dateien erkannt werden und abhängig davon, welcher Software-Version Sie benutzen, sehen Sie möglicherweise eine oder mehrere der folgenden Optionen:


    Hinweis: Dieses gilt nur für Versionen von Norton AntiVirus, die die Sicherheitsrisiko-Erkennung unterstützen. Wenn Sie eine Version von Symantec AntiVirus Corporate Edition verwenden, die die Sicherheitsrisiko-Erkennung unterstützt, und die Sicherheitsrisiko-Erkennung ist aktiviert worden, sehen Sie lediglich ein Meldungsfeld, das die Ergebnisse der Prüfung angibt. Wenn Sie Fragen zu dieser Situation haben, kontaktieren Sie Ihren Netzwerkadministrator.

    • Ausschließen (nicht empfohlen): Wenn Sie auf diese Schaltfläche klicken, stellen Sie Ihr Programm so ein, dass das Risiko nicht mehr entdeckt wird. Das heißt, das Virenschutzprogramm behält das Sicherheitsrisiko auf Ihrem Computer und erkennt es nicht mehr, um es von Ihrem Computer zu entfernen.

    • Ignorieren oder Überspringen: Diese Option weist das Prüfprogramm an, das Risiko für nur diese Prüfung zu ignorieren. Sie wird beim nächsten Mal wieder erkannt, wenn Sie eine Prüfung ausführen.

    • Abbrechen: Diese Option ist neu in Norton AntiVirus 2005. Sie wird verwendet, wenn Norton AntiVirus 2005 festgestellt hat, dass es ein Sicherheitsrisiko nicht löschen kann. Diese Option weist das Prüfprogramm an, das Risiko für nur diese Prüfung zu ignorieren, und folglich wird das Risiko das nächste Mal wieder erkannt, wenn Sie eine Prüfung ausführen.

      Das Sicherheitsrisiko wirklich löschen:
      • Klicken Sie auf den Dateinamen des Risikos (unter der Spalte Dateiname).
      • Geben Sie in das angezeigte Feld für Informationen den vollen Pfad und Dateinamen an.
      • Verwenden Sie dann Windows-Explorer, um die Datei zu finden und zu löschen.

    • Löschen: Diese Option versucht, die erkannten Dateien zu löschen. In einigen Fällen kann das Prüfprogramm dies nicht tun.
      • Wenn Sie eine Meldung darüber erhalten, dass der Löschvorgang nicht durchgeführt werden konnte, löschen Sie die Datei manuell.
      • Klicken Sie auf den Dateinamen des Risikos, den Sie unter der Spalte Dateiname finden.
      • Geben Sie in das angezeigte Feld für Informationen den vollen Pfad und Dateinamen an.
      • Verwenden Sie dann Windows-Explorer, um die Datei zu finden und zu löschen.


können oder wenn das Produkt meldet, dass es eine erkannte Datei nicht löschen kann, müssen Sie verhindern, dass das Risiko ausgeführt wird, um es zu entfernen. Um dieses Problem zu beheben, führen Sie die Prüfung im abgesicherten Modus aus. Anweisungen hierzu finden Sie im Dokument Wie wird der Computer im abgesicherten Modus gestartet . Sobald der Computer im abgesicherten Modus gestartet wurde, führen Sie die Prüfung erneut aus.


Nachdem die Dateien gelöscht sind, starten Sie den Computer im normalen Modus neu und fahren Sie mit dem nächsten Abschnitt fort.

Warnmeldungen können angezeigt werden, wenn der Computer neu gestartet wird, da das Risiko zu dem Zeitpunkt möglicherweise noch nicht völlig entfernt worden ist. Sie können diese Meldungen ignorieren und auf OK klicken. Diese Meldungen erscheinen nicht, wenn der Computer neu gestartet wird, nachdem die Entfernungsanweisungen völlig durchgeführt worden sind. Die Meldungen, die angezeigt werden, können folgendermaßen aussehen:

Titel: [DATEIPFAD]
Nachrichtentext: Windows cannot find [DATEINAME]. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.


4. Entfernen eines Werts aus der Registrierung

WARNUNG: Wir empfehlen Ihnen nachdrücklich, eine Sicherungskopie der Registrierung anzulegen, bevor Sie Änderungen daran vornehmen. Fehler bei der Änderung von Registrierungseinträgen können zu permanentem Datenverlust oder beschädigten Dateien führen. Bearbeiten Sie nur die angegebenen Schlüssel. Bitte beachten Sie das Dokument Eine Sicherheitskopie der Windows-Registrierung erstellen , bevor Sie fortfahren.

  1. Klicken Sie auf Start > Ausführen. (Das Dialogfeld Ausführen wird geöffnet.)
  2. Geben Sie regedit ein.

    Klicken Sie dann auf OK. Der Registrierungseditor wird geöffnet.


    Hinweis: Wenn der Registrierungseditor nicht geöffnet werden kann, kann das Risiko die Registrierung geändert haben, um Zugriff auf den Registrierungseditor zu verhindern. Security Response hat ein Programm entwickelt, um dieses Problem zu lösen. Laden Sie dieses Tool herunter und führen Sie es aus, aus und fahren Sie dann mit der Entfernung fort.


  3. Suchen Sie den Schlüssel

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  4. Löschen Sie diese Werte im rechten Teilfenster:

    "MSBB" = "[PFAD ZUR DATEI]"
    "sau" = "%ProgramFiles%\180search assistant\sau.exe"
    "sac" = "%ProgramFiles%\180searchassistant\sac.exe"
    "sain" = "%ProgramFiles%\180search assistant\sain.exe"
    "salm" = "%ProgramFiles%\180searchassistant\salm.exe"
    "180ax" = "%userprofile%\Lokale Einstellungen\temp\180ax.exe"
    "[WILLKÜRLICHER DATEINAME]" = "%Windir%\[WILLKÜRLICHER DATEINAME].exe"

  5. Navigieren Sie zum Unterschlüssel:

    HKEY_CURRENT_USER\Software\Microsoft\RAS Autodial\Control

  6. Richten Sie diesen Wert im rechten Teilfenster ein:

    "LoginSessionDisable" = "0"

  7. Suchen Sie die folgenden Unterschlüssel und löschen Sie sie:

    HKEY_CLASSES_ROOT\CLSID\{B10031B2-F184-4803-9A88-D239C0641D70}
    HKEY_CLASSES_ROOT\Interface\{A79F8202-E09D-4F0F-AD4D-DCAE1DAC5994}
    HKEY_CLASSES_ROOT\TypeLib\{F2BF4713-E933-4B66-8694-22ED243709C7}
    HKEY_CLASSES_ROOT\180SAInstaller.180SAInstaller
    HKEY_CLASSES_ROOT\180SAInstaller.180SAInstaller.1
    HKEY_LOCAL_MACHINE\SOFTWARE\sau
    HKEY_LOCAL_MACHINE\SOFTWARE\sac
    HKEY_LOCAL_MACHINE\SOFTWARE\sain
    HKEY_LOCAL_MACHINE\SOFTWARE\salm
    HKEY_LOCAL_MACHINE\SOFTWARE\180ax
    HKEY_CURRENT_USER\Software\sau
    HKEY_CURRENT_USER\Software\sac
    HKEY_CURRNET_USER\Software\sain
    HKEY_CURRENT_USER\SOFTWARE\salm
    HKEY_CURRENT_USER\SOFTWARE\180ax
    HKEY_CURRENT_USER\Software\180solutions
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\180ax
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nCASE
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\msbb
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\sac
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\sain
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\salm
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\sau

  8. Schließen Sie den Registrierungseditor.