Adware.Sa

Druckansicht

Aktualisiert: February 13, 2007 11:40:00 AM
Typ: Adware
Version: n/a
Herausgeber: n/a
Auswirkung des Risikos: Low
Dateinamen: upmod.dll udpmod-1.dll questmod.dll questmod-1.dll tl7000.dll
Betroffene Systeme: Windows

Verhalten


Adware.Sa ist ein Browser Helper Object (BHO), das URLs kontrolliert und möglicherweise Systemdaten hochlädt. Es wählt möglicherweise auch mit hohen Kosten verbundene Nummern über bestehende Modemverbindungen.

Hinweis : Erkennungen vom 01. April 2005 oder früher erkennen möglicherweise diese Werbesoftware als Adware.SurfAssistant.

Symptome


Eine oder mehrere Dateien werden als Adware.Sa erkannt.

Übertragung


Adware.Sa muss manuell installiert werden.

Termine für Antivirus-Schutz

  • Erste Rapid Release-Version October 02, 2014 Änderung 022
  • Latest Rapid Release version April 17, 2018 Änderung 001
  • Erste Daily Certified-Version November 29, 2004
  • Latest Daily Certified version April 17, 2018 Änderung 017
  • Initial Weekly Certified release date December 01, 2004

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Aktualisiert: February 13, 2007 11:40:00 AM
Typ: Adware
Version: n/a
Herausgeber: n/a
Auswirkung des Risikos: Low
Dateinamen: upmod.dll udpmod-1.dll questmod.dll questmod-1.dll tl7000.dll
Betroffene Systeme: Windows


Adware.Sa ist ein BHO, das versucht, eine Verbindung zu einer bestimmten Website herzustellen, wenn eine URL die Endung .com, .co.uk oder .biz aufweist, oder wenn die .txt-Dateien im Internet Explorer angezeigt werden. Es wählt möglicherweise auch mit hohen Kosten verbundene Nummern über bestehende Modemverbindungen.

Bei Ausführung führt Adware.Sa folgende Aktivitäten durch:

  1. Erstellt die Mutex "M99Stub", damit immer nur eine Kopie der Werbesoftware ausgeführt wird.

  2. Versucht, eine Verbindung zu den folgenden Domänen herzustellen:

    • sa-001.com, sa-002.com
    • sa-001.biz, sa-002.biz
    • sa-001.co.uk, sa-003.co.uk
    • dd.tibsystems.com

      Hinweis: Die URL ist unter Umständen je nach System unterschiedlich. Berichten zufolge wird die URL in etwa folgendermaßen angezeigt:
      [AUFGEFÜHRTE DOMÄNE]/sa/?a= [WILLKÜRLICHE CLSID] &b=14&c=0&d=1&e=0&f=0&g=5.1&h=3&i=e0010000&j=<system-time>&k=15

  3. Fügt einige der folgenden Dateien hinzu:

    • %Windir%\questmod.dll
    • %Windir%\questmod-1.dll
    • %Windir%\upmod.dll
    • %Windir%\upmod-1.dll
    • %Windir%\sasent.dll
    • %Windir%\Downloaded Program Files\tl7000.dll

      Hinweis: %Windir% ist eine Variable und bezieht sich auf den Windows-Installationsordner. In der Regel ist dies C:\Windows oder C:\Winnt.

  4. Fügt die folgenden Registrierungsschlüssel hinzu, wenn Adware.Sa registriert wird:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7B55BB05-0B4D-44FD-81A6-B136188F5DEB}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4BCF322B-9621-4e90-9678-F1424EB7584E}
    HKEY_LOCAL_MACHINE\
    SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{860CE847-8298-4114-B142-14043C2942B1}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4BCF322B-9621-4e90-9678-F1424EB7584E}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{D47BD4DE-B880-4610-8A8B-C173DEC4272F}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{85A886B2-29BB-4189-8046-A66733B242E9}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    CLSID\{7B55BB05-0B4D-44FD-81A6-B136188F5DEB}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    Interface\{18E6C36A-C45F-4B60-A1A4-5C0BB16D4CC2}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    TypeLib\{00A322E2-7D50-4DBA-BEA4-5C8078D47269}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    CLSID\{0191ABF4-9421-435E-9FFD-CD827A2A82D8}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    Interface\{8A94C367-815A-4D4F-A6B6-D4EB877A126C}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    TypeLib\{CED445E2-8C78-4F40-87D7-F7FB6F1B6791}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    SBITAX7.SBITAX7Ctrl
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ SBITAX7.SBITAX7Ctrl .1
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    CLSID\{860CE847-8298-4114-B142-14043C2942B1}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    Interface\{3CA4F168-FDC3-425D-8812-BB1379581E85}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    TypeLib\{D6637F05-74ED-4CCF-80AB-20C8EC66877A}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    CLSID\{38D4D5D0-423E-4220-B6F9-30918C2AE4A4}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    TypeLib\{8EA362BD-39CB-40F5-9226-73CD40999095}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    Classes\Interface\{D6188A7D-376C-4970-91AD-675BFCF3762E }

  5. Fügt den Wert

    " {38D4D5D0-423E-4220-B6F9-30918C2AE4A4}" =""

    dem folgenden Registrierungsunterschlüssel hinzu:

    HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

Aktualisiert: February 13, 2007 11:40:00 AM
Typ: Adware
Version: n/a
Herausgeber: n/a
Auswirkung des Risikos: Low
Dateinamen: upmod.dll udpmod-1.dll questmod.dll questmod-1.dll tl7000.dll
Betroffene Systeme: Windows


Die folgenden Anweisungen gelten für alle aktuellen und kürzlich erschienenen Virenschutzprodukte von Symantec, einschließlich der Produktlinien Symantec AntiVirus und Norton AntiVirus.

  1. Deaktivieren Sie die Systemwiederherstellung (Windows Me/XP).
  2. Aktualisieren Sie Ihre Virendefinitionen.
  3. Führen Sie eine vollständige Systemprüfung durch und löschen Sie alle Dateien, die als mit Adware.Sa infiziert erkannt werden.
  4. Entfernen Sie die in die Registrierung geschriebenen Werte.
Detaillierte Informationen zu diesen Verfahren finden Sie in den folgenden Anweisungen.

1. Deaktivieren der Systemwiederherstellung (Windows Me/XP)
Wenn Sie mit Windows Me oder XP arbeiten, empfehlen wir Ihnen, die Option "Systemwiederherstellung" vorübergehend zu deaktivieren. Diese standardmäßig aktivierte Funktion wird in Windows Me und XP verwendet, um auf Ihrem Computer beschädigte Dateien wiederherzustellen. Wenn ein Virus, Wurm oder Trojaner einen Computer infiziert, werden diese in der Systemwiederherstellung möglicherweise mitgesichert.

Windows verhindert standardmäßig, dass die Systemwiederherstellung durch fremde Programme (einschließlich Antivirusprogramme) verändert wird. Daher können Bedrohungen im Systemwiederherstellungsordner nicht durch Antivirusprogramme entfernt werden. Als Ergebnis kann die Systemwiederherstellung eine infizierte Datei auf Ihrem Computer wiederherstellen, nachdem Sie die infizierten Dateien aus allen anderen Bereichen entfernt haben.

Außerdem kann bei einer Virenprüfung eine Bedrohung im Systemwiederherstellungsordner entdeckt werden, selbst wenn Sie die Bedrohung entfernt haben.

Bitte beachten Sie die folgenden Artikel oder Ihre Windows-Dokumentation, um die Systemwiederherstellung zu deaktivieren:
Hinweis:
Wenn Sie das Entfernungsverfahren abgeschlossen haben und die Bedrohung erfolgreich entfernt wurde, sollten Sie die Systemwiederherstellung anhand der Anweisungen in den zuvor genannten Dokumenten wieder aktivieren.


Weitere Informationen und eine Alternative zur Deaktivierung der Systemwiederherstellung in Windows Me finden Sie im Microsoft Knowledge Base-Artikel Antivirenprogramme können infizierte Dateien im Ordner "_Restore" nicht bereinigen (Artikelnummer 263455). Q263455.

2. Aktualisieren der Virendefinitionen
Alle Virendefinitionen werden von Symantec Security Response umfassenden Qualitätsprüfungen unterzogen, bevor sie auf unseren Servern zur Verfügung gestellt werden. Sie können die aktuellsten Virendefinitionen auf zwei Arten erhalten:
  • Das Ausführen von LiveUpdate ist die einfachste Methode, um Virendefinitionen zu beziehen: Diese Virendefinitionen werden einmal wöchentlich auf den LiveUpdate-Servern abgelegt (üblicherweise mittwochs), soweit kein größerer Virusausbruch vorliegt. Um festzustellen, ob über LiveUpdate Definitionen für diese Bedrohung zur Verfügung stehen, klicken Sie auf den Link Virendefinitionen (LiveUpdate).
  • Laden Sie die Virendefinitionen mit dem Intelligent Updater herunter. Die Intelligent Updater-Virendefinitionen werden täglich veröffentlicht. Sie sollten von der Symantec Security Response-Website heruntergeladen und manuell installiert werden. Um festzustellen, ob über den intelligent Updater Definitionen für diese Bedrohung zur Verfügung stehen, klicken Sie auf den Link Virendefinitionen (Intelligent Updater).

    Die Intelligent Updater-Virendefinitionen sind verfügbar: Detaillierte Anweisungen erhalten Sie im Dokument Aktualisieren der Virendefinitionsdateien mit dem Intelligent Updater.

3. Prüfen des Computers und Löschen infizierter Dateien
  1. Starten Sie Ihr Virenschutzprogramm von Symantec und stellen Sie sicher, dass es zur Überprüfung aller Dateien konfiguriert ist.
  2. Führen Sie eine vollständige Systemprüfung durch.
  3. Wenn Dateien als mit Adware.Sa infiziert gemeldet werden, klicken Sie auf Löschen.


    Hinweis:
    Wenn Ihr Virenschutzprodukt von Symantec infizierte Dateien entdeckt und nicht reparieren kann, so wird die Datei möglicherweise von Windows verwendet. Um dieses Problem zu beheben, führen Sie die Prüfung im abgesicherten Modus aus. Anweisungen hierzu finden Sie im Dokument Starten Ihres Computers im abgesicherten Modus. Sobald der Computer im abgesicherten Modus gestartet wurde, führen Sie die Prüfung erneut aus.

    (Nachdem die Dateien gelöscht wurden, können Sie den Computer im abgesicherten Modus lassen und mit Abschnitt 2 fortfahren. Starten Sie den Computer anschließend im normalen Modus neu.)
4. Entfernen der Werte aus der Registrierung

Wichtig: Wir empfehlen Ihnen nachdrücklich, eine Sicherungskopie der Registrierung anzulegen, bevor Sie Änderungen daran vornehmen. Fehler bei der Änderung von Registrierungseinträgen können zu permanentem Datenverlust oder beschädigten Dateien führen. Bearbeiten Sie nur die angegebenen Schlüssel. Bitte beachten Sie das Dokument Erstellen einer Sicherheitskopie der Windows-Registrierung , bevor Sie fortfahren.
  1. Klicken Sie auf Start > Ausführen.
  2. Geben Sie regedit ein.

    Klicken Sie dann auf OK.

  3. Navigieren Sie zu folgenden Registrierungseinträgen und löschen Sie sie, falls vorhanden:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7B55BB05-0B4D-44FD-81A6-B136188F5DEB}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4BCF322B-9621-4e90-9678-F1424EB7584E}
    HKEY_LOCAL_MACHINE\
    SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{860CE847-8298-4114-B142-14043C2942B1}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4BCF322B-9621-4e90-9678-F1424EB7584E}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{D47BD4DE-B880-4610-8A8B-C173DEC4272F}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{85A886B2-29BB-4189-8046-A66733B242E9}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    CLSID\{7B55BB05-0B4D-44FD-81A6-B136188F5DEB}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    Interface\{18E6C36A-C45F-4B60-A1A4-5C0BB16D4CC2}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    TypeLib\{00A322E2-7D50-4DBA-BEA4-5C8078D47269}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    CLSID\{0191ABF4-9421-435E-9FFD-CD827A2A82D8}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    Interface\{8A94C367-815A-4D4F-A6B6-D4EB877A126C}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    TypeLib\{CED445E2-8C78-4F40-87D7-F7FB6F1B6791}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    SBITAX7.SBITAX7Ctrl
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ SBITAX7.SBITAX7Ctrl .1
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    CLSID\{860CE847-8298-4114-B142-14043C2942B1}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    Interface\{3CA4F168-FDC3-425D-8812-BB1379581E85}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    TypeLib\{D6637F05-74ED-4CCF-80AB-20C8EC66877A}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    CLSID\{38D4D5D0-423E-4220-B6F9-30918C2AE4A4}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    TypeLib\{8EA362BD-39CB-40F5-9226-73CD40999095}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
    Classes\Interface\{D6188A7D-376C-4970-91AD-675BFCF3762E }

  4. Navigieren Sie zum Unterschlüssel:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

  5. Im rechten Teilfenster löschen Sie diesen Wert, falls vorhanden:

    "{38D4D5D0-423E-4220-B6F9-30918C2AE4A4}"=""

  6. Schließen Sie den Registrierungseditor.