Adware.Mirar

Druckansicht

Aktualisiert: February 13, 2007 11:38:48 AM
Typ: Adware
Version: n/a
Herausgeber: n/a
Auswirkung des Risikos: Low
Dateinamen: MirarSetup.exe,WinDmy.dll,NN_Bar21.dll,installer.cab,WinNB[xx].dll ([xx] = Version Number)
Betroffene Systeme: Windows

Verhalten


Adware.Mirar versucht, Webseiten zu finden, die mit der Webseite zusammenhängen, die zurzeit angezeigt wird. Es zeigt außerdem Werbungen an, die anhand der URLs und Suchbegriffe, die beim Surfen im Internet verwendet werden, ausgewählt werden. Es versucht auch, die Mirar-Werkzeugleiste von einer bestimmten Website herunterzuladen und zu installieren. Diese Werkzeugleiste wird auch als Adware.Mirar erkannt.

Symptome


Die Dateien werden als Adware.Mirar erkannt.

Übertragung


Adware.Mirar muss manuell installiert werden.

Termine für Antivirus-Schutz

  • Erste Rapid Release-Version October 02, 2014 Änderung 022
  • Latest Rapid Release version September 22, 2017 Änderung 023
  • Erste Daily Certified-Version September 18, 2004 Änderung 019
  • Latest Daily Certified version August 13, 2017 Änderung 001
  • Initial Weekly Certified release date September 22, 2004

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Aktualisiert: February 13, 2007 11:38:48 AM
Typ: Adware
Version: n/a
Herausgeber: n/a
Auswirkung des Risikos: Low
Dateinamen: MirarSetup.exe,WinDmy.dll,NN_Bar21.dll,installer.cab,WinNB[xx].dll ([xx] = Version Number)
Betroffene Systeme: Windows


Wenn Adware.Mirar installiert wird, führt es folgende Aktionen aus:

  1. Erstellt die folgenden Dateien:

    • %System%\WinDmy.dll
    • %System%\Winnb56.dll
    • %System%\WinNB57.dll
    • %WinDir%\Downloaded Program Files\MirarSetup.exe
    • %UserProfile%\Lokale Einstellungen\Temp\875455-NOSB.exe
    • %UserProfile%\Lokale Einstellungen\Temp\mit3.tmp
    • %UserProfile%\Lokale Einstellungen\Temp\mit3.tmp.cab

      Hinweise:
      • %System% ist eine Variable und bezieht sich auf den Systemordner. Standardmäßig ist dies C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) oder C:\Windows\System32 (Windows XP).
      • %Temp% ist eine Variable und bezieht sich auf den temporären Windows-Ordner. In der Regel ist dies C:\Windows\TEMP (Windows 95/98/Me/XP) oder C:\WINNT\Temp (Windows NT/2000).
      • %Windir% ist eine Variable und bezieht sich auf den Windows-Installationsordner. In der Regel ist dies C:\Windows oder C:\Winnt.

  2. Erstellt den Registrierungsunterschlüssel:

    HKEY_LOCAL_MACHINE\SOFTWARE\RelatedPageInstall

    und fügt Unterschlüssel und Werte zum Unterschlüssel hinzu, um Markierungen zu setzen und Konfigurationen vorzunehmen.

  3. Fügt den Wert

    " ToolbarInstall" = "MirarSetup.exe "

    dem folgenden Registrierungsschlüssel hinzu:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    Dadurch wird die Werbesoftware ausgeführt, sobald Sie Windows starten.

    Hinweis: Der Wert, der dem "Run"-Schlüssel hinzugefügt wird, zeigt möglicherweise auf den Bereich, von dem aus die Werbesoftware ausgeführt wurde.

  4. Fügt den Wert

    "{9A9C9B68-F908-4AAB-8D0C-10EA8997F37E}" = ""

    den folgenden Registrierungsschlüsseln hinzu:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
    HKEY_CURRENT_USER \Software\Microsoft\Internet Explorer\Toolbar\WebBrowser

  5. Fügt die Werte:

    "C:\WINDOWS\Downloaded Program Files\MirarSetup.exe" = ""
    "C:\WINDOWS\System32\WinDmy.dll" = ""

    den folgenden Registrierungsschlüsseln hinzu:

    HKEY_LOCAL_MACHINE%\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs
  6. Versucht, die Mirar-Werkzeugleiste herunterzuladen und zu installieren.

    Abhängig von der Version der Werkzeugleiste, die installiert wird, wird eine Endbenutzer-Lizenzvereinbarung angezeigt, die die Funktionalität der Werkzeugleiste beschreibt.

  7. Erstellt die folgenden Registrierungsschlüssel:

    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8A0DCBDA-6E20-489C-9041-C1E8A0352E75}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9A9C9B68-F908-4AAB-8D0C-10EA8997F37E}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9A9C9B69-F908-4AAB-8D0C-10EA8997F37E}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{179E4B4A-76C3-4F65-BCED-C9FA1A28D2EF}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{1037B06C-84B7-4240-8D80-485810A0497D}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{224302B0-94E9-45C2-9E5B-BA989EE556E1}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{54B287F9-FD90-4457-B65E-CB91560C021D}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6E4C7AFC-9915-4036-B7F9-8B3F1710788F}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{566DEDE9-9ED8-45DA-9BE6-9B2EEAB17F49}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F8310E7D-4C4D-46A4-A068-B5BB99411CC7}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NN_Bar_Dummy.NN_BarDummy
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NN_Bar_Dummy.NN_BarDummy.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NN_Bar.NN_Bar_Helper
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NN_Bar.NN_Bar_Helper.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ NN_Bar.NN_WebBand
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ NN_Bar.NN_WebBand.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9A9C9B69-F908-4AAB-8D0C-10EA8997F37E}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {4035DE1B-D54A-411E-9EE7-923295D2E86E}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {753B9349-7E46-4E5C-A27F-A60A6BF1EAB5}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\net-nucleus.com
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{8A0DCBDA-6E20-489C-9041-C1E8A0352E75}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/MirarSetup.exe
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/System32/WinDmy.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8A0DCBDA-6E20-489C-9041-C1E8A0352E75}

    Damit wird die Mirar-Werkzeugleiste installiert.

    Hinweis:  Es ist bekannt, dass höherere Varianten der Werkzeugleiste zwei willkürliche Einträge im Unterschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID erstellen.


Aktualisiert: February 13, 2007 11:38:48 AM
Typ: Adware
Version: n/a
Herausgeber: n/a
Auswirkung des Risikos: Low
Dateinamen: MirarSetup.exe,WinDmy.dll,NN_Bar21.dll,installer.cab,WinNB[xx].dll ([xx] = Version Number)
Betroffene Systeme: Windows


Die folgenden Anweisungen gelten für alle Virenschutzprodukte von Symantec, die die Erkennung von Sicherheitsrisiken unterstützen.

  1. Aktualisieren Sie die Definitionen.
  2. Schließen Sie alle geöffneten Internet Explorer-Fenster.
  3. Führen Sie eine vollständige Systemprüfung durch.
  4. Entfernen Sie die in die Registrierung geschriebenen Werte.
Detaillierte Informationen zu diesen Verfahren finden Sie in den folgenden Anweisungen.

1. Aktualisieren der Virendefinitionen
Um die neuesten Definitionen zu beziehen, starten Sie Ihr Symantec-Programm und führen Sie LiveUpdate aus.


2. Schließen aller geöffneten Internet Explorer-Fenster
Weil Adware.Mirar als Microsoft Internet Explorer-Plugin funktioniert, ist es notwendig, alle geöffneten Internet Explorer-Fenster zu schließen, um es zu entfernen. Wenn Sie diese Virusbeschreibung im Internet Explorer lesen, drucken Sie diese Virusbeschreibung mit unserer druckerfreundlichen Option oben auf der Seite aus, oder notieren Sie sich die folgenden Anweisungen, und schließen Sie dann alle Internet Explorer-Fenster


3. Ausführen der Prüfung
  1. Starten Sie Ihr Symantec-Virenschutzprogramm und führen Sie dann eine vollständige Systemprüfung aus.
  2. Wenn Dateien als Adware.Mirar erkannt werden, sehen Sie abhängig von der verwendeten Software-Version möglicherweise eine oder mehrere der folgenden Optionen:

    Hinweis: Dieses gilt nur für Versionen von Norton AntiVirus, die die Sicherheitsrisiko-Erkennung unterstützen. Wenn Sie eine Version von Symantec AntiVirus Corporate Edition verwenden, die die Sicherheitsrisiko-Erkennung unterstützt, und die Sicherheitsrisiko-Erkennung ist aktiviert worden, sehen Sie lediglich ein Meldungsfeld, das die Ergebnisse der Prüfung angibt. Wenn Sie Fragen zu dieser Situation haben, kontaktieren Sie Ihren Netzwerkadministrator.
    • Ausschließen (nicht empfohlen): Wenn Sie auf diese Schaltfläche klicken, stellen Sie Ihr Programm so ein, dass die Bedrohung nicht mehr entdeckt wird. Das heißt, das Virenschutzprogramm behält das Sicherheitsrisiko auf Ihrem Computer und erkennt es nicht mehr, um es von Ihrem Computer zu entfernen.

    • Ignorieren oder Überspringen: Diese Option weist das Prüfprogramm an, die Bedrohung für nur diese Prüfung zu ignorieren. Sie wird beim nächsten Mal wieder erkannt, wenn Sie eine Prüfung ausführen.

    • Abbrechen: Diese Option ist neu in Norton AntiVirus 2005. Sie wird verwendet, wenn Norton AntiVirus 2005 festgestellt hat, dass es ein Sicherheitsrisiko nicht löschen kann. Diese Option weist das Prüfprogramm an, die Bedrohung für nur diese Prüfung zu ignorieren, und folglich wird die Bedrohung das nächste Mal wieder erkannt, wenn Sie eine Prüfung ausführen.

      Das Sicherheitsrisiko wirklich löschen:
      • Klicken Sie auf den Dateinamen des Risikos (unter der Spalte "Dateiname").
      • Geben Sie in das angezeigte Feld für Informationen den vollen Pfad und Dateinamen an.
      • Verwenden Sie dann Windows-Explorer, um die Datei zu finden und zu löschen.

        Wenn Windows berichtet, dass es die Datei nicht löschen kann, weist dies daraufhin, dass die Datei zurzeit verwendet wird. In dieser Situation schließen Sie den Rest der Anweisungen auf dieser Seite ab, starten Sie den Computer im abgesicherten Modus neu und löschen Sie dann die Datei mit Windows-Explorer.

    • Löschen: Diese Option versucht, die erkannten Dateien zu löschen. In einigen Fällen kann das Prüfprogramm dies nicht tun.
      • Wenn Sie eine Meldung darüber erhalten, dass der Löschvorgang nicht durchgeführt werden konnte, löschen Sie die Datei manuell.
      • Klicken Sie auf den Dateinamen der Bedrohung, den Sie unter der Spalte "Dateiname" finden.
      • Geben Sie in das angezeigte Feld für Informationen den vollen Pfad und Dateinamen an.
      • Verwenden Sie dann Windows-Explorer, um die Datei zu finden und zu löschen.

        Wenn Windows berichtet, dass es die Datei nicht löschen kann, weist dies daraufhin, dass die Datei zurzeit verwendet wird. In dieser Situation schließen Sie den Rest der Anweisungen auf dieser Seite ab, starten Sie den Computer im abgesicherten Modus neu und löschen Sie dann die Datei mit Windows-Explorer.

4. Entfernen der Werte aus der Registrierung
Wichtig: Wir empfehlen Ihnen nachdrücklich, eine Sicherungskopie der Registrierung anzulegen, bevor Sie Änderungen daran vornehmen. Fehler bei der Änderung von Registrierungseinträgen können zu permanentem Datenverlust oder beschädigten Dateien führen. Ändern Sie nur die angegebenen Unterschlüssel. Bitte beachten Sie das Dokument Erstellen einer Sicherheitskopie der Windows-Registrierung , bevor Sie fortfahren.

  1. Klicken Sie auf Start > Ausführen.
  2. Geben Sie regedit ein.

    Klicken Sie dann auf OK.

  3. Suchen Sie den Schlüssel

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

  4. Löschen Sie diesen Wert im rechten Teilfenster:

    "ToolbarInstall" = "MirarSetup.exe"

  5. Suchen Sie die Schlüssel

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser

  6. Löschen Sie diesen Wert im rechten Teilfenster:

    "{9A9C9B68-F908-4AAB-8D0C-10EA8997F37E}" = ""

  7. Suchen Sie den Schlüssel

    HKEY_LOCAL_MACHINE%\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs

  8. Löschen Sie diese Werte im rechten Teilfenster:

    "C:\WINDOWS\Downloaded Program Files\MirarSetup.exe" = ""
    "C:\WINDOWS\System32\WinDmy.dll" = ""

  9. Suchen Sie die folgenden Registrierungsschlüssel und löschen Sie sie:

    HKEY_LOCAL_MACHINE\SOFTWARE\RelatedPageInstall
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8A0DCBDA-6E20-489C-9041-C1E8A0352E75}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9A9C9B68-F908-4AAB-8D0C-10EA8997F37E}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9A9C9B69-F908-4AAB-8D0C-10EA8997F37E}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{179E4B4A-76C3-4F65-BCED-C9FA1A28D2EF}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{1037B06C-84B7-4240-8D80-485810A0497D}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{224302B0-94E9-45C2-9E5B-BA989EE556E1}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{54B287F9-FD90-4457-B65E-CB91560C021D}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6E4C7AFC-9915-4036-B7F9-8B3F1710788F}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{566DEDE9-9ED8-45DA-9BE6-9B2EEAB17F49}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F8310E7D-4C4D-46A4-A068-B5BB99411CC7}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NN_Bar_Dummy.NN_BarDummy
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NN_Bar_Dummy.NN_BarDummy.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NN_Bar.NN_Bar_Helper
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NN_Bar.NN_Bar_Helper.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NN_Bar.NN_WebBand
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NN_Bar.NN_WebBand.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9A9C9B69-F908-4AAB-8D0C-10EA8997F37E}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4035DE1B-D54A-411E-9EE7-923295D2E86E}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{753B9349-7E46-4E5C-A27F-A60A6BF1EAB5}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\net-nucleus.com
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{8A0DCBDA-6E20-489C-9041-C1E8A0352E75}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/MirarSetup.exe
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/System32/WinDmy.dll
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8A0DCBDA-6E20-489C-9041-C1E8A0352E75}

  10. Schließen Sie den Registrierungseditor.