Adware.Medload

Druckansicht

Aktualisiert: February 13, 2007 11:40:17 AM
Typ: Adware
Version: n/a
Herausgeber: trin
Auswirkung des Risikos: Medium
Dateinamen: medload.exe medload3.exe mm63.ocx mm67.ocx mm81.ocx seeve.exe newpop446.exe newpop63.ex
Betroffene Systeme: Windows

Verhalten


Adware.Medload ist eine Werbesoftware-Komponente, die Popup-Werbungen auf dem Computer des Benutzers generiert.

Symptome


Ihr Symantec-Programm erkennt Adware.Medload.

Übertragung


Dieses Sicherheitsrisiko kann als Komponente eines anderen Programms installiert werden.

Termine für Antivirus-Schutz

  • Erste Rapid Release-Version October 02, 2014 Änderung 022
  • Latest Rapid Release version August 06, 2017 Änderung 021
  • Erste Daily Certified-Version December 07, 2004
  • Latest Daily Certified version August 07, 2017 Änderung 001
  • Initial Weekly Certified release date December 08, 2004

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Aktualisiert: February 13, 2007 11:40:17 AM
Typ: Adware
Version: n/a
Herausgeber: trin
Auswirkung des Risikos: Medium
Dateinamen: medload.exe medload3.exe mm63.ocx mm67.ocx mm81.ocx seeve.exe newpop446.exe newpop63.ex
Betroffene Systeme: Windows


Bei Ausführung geht Adware.Medload folgendermaßen vor:

  1. Erstellt die folgenden Dateien:
    • %Windir%\medload.exe
    • %Windir%\Downloaded Program Files\mm63.ocx
    • %Windir%\Downloaded Program Files\m67m.ocx
    • %Windir%\seeve.exe
    • %Windir%\unstall.exe
    • %Windir%\ubber60.ini
    • %Windir%\hisistheurls.exe
    • %Windir%\mm63.ocx
    • %Windir%\tempf.txt
    • %Windir%\affbun.txt
    • %Windir%\thin-143-1-x-x.exe
    • %UserProfile%\Desktop\Cartoons and Animations.url
    • %UserProfile%\Desktop\Celebrity News.url
    • %UserProfile%\Desktop\free games to win real cash.url
    • %UserProfile%\Desktop\Imgiant Instant Messenger.url
    • %UserProfile%\Desktop\Joystick News.url
    • %UserProfile%\Desktop\Screen Savers.url
    • %ProgramFiles%\joystick networks\setup\celebs.ico
    • %ProgramFiles%\joystick networks\setup\gamesjoy.ico
    • %ProgramFiles%\joystick networks\setup\imgiant.ico
    • %ProgramFiles%\joystick networks\setup\joywar.ico
    • %ProgramFiles%\joystick networks\setup\myurlsagain.exe
    • %ProgramFiles%\joystick networks\setup\news.ico
    • %ProgramFiles%\joystick networks\setup\savers.ico
    • %SystemDrive%\asdf.txt


      Hinweis:
      • %Windir% ist eine Variable und bezieht sich auf den Windows-Installationsordner. In der Regel ist dies C:\Windows oder C:\Winnt.
      • %UserProfile% ist eine Variable, die sich auf den aktuellen Benutzerprofil-Ordner bezieht. Standardmäßig ist dies C:\Dokumente und Einstellungen\<Aktueller Benutzer> (Windows NT/2000/XP).
      • %ProgramFiles% ist eine Variable, die sich auf den Programmdateienordner bezieht. Standardmäßig ist dies C:\Programme.
      • %SystemDrive% ist eine Variable, die sich auf das Laufwerk bezieht, auf dem Windows installiert ist. Standardmäßig ist dies das Laufwerk C.


  2. Fügt einige der folgenden Werte:

    "loads.exe" = "%Windir%\medload.exe"
    "sixtysix" = "[Pfad zur ursprünglichen Datei]"
    "popuppers" = "[Pfad zur ursprünglichen Datei]"
    "popuppers64" = "[Pfad zur ursprünglichen Datei]"
    "seeve.exe" = "[Pfad zur ursprünglichen Datei]"

    dem folgenden Registrierungsunterschlüssel hinzu:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    Dadurch wird die Werbesoftware beim Systemstart ausgeführt.

  3. Er fügt den Wert

    "(Default)" = "%Windir%\system32\objsafe.tlb"
    "(Default)" = "%Windir%\Downloaded Program Files\m67m.ocx"

    dem folgenden Registrierungsunterschlüssel hinzu:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs

  4. Fügt den Wert

    "media-motor" = "%Windir%\unstall.exe"

    dem folgenden Registrierungsunterschlüssel hinzu:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall

  5. Fügt die Werte:

    "%ProgramFiles%\joystick networks\setup" = "%ProgramFiles%\joystick networks\setup"
    "%UserProfile%\Desktop" = "%UserProfile%\Desktop"

    dem folgenden Registrierungsunterschlüssel hinzu:

    HKEY_CURRENT_USER\Software\WinRAR SFX

  6. Erstellt einige der folgenden Registrierungsunterschlüssel:

    HKEY_CLASSES_ROOT\CLSID\{7149E79C-DC19-4C5E-A53C-A54DDF75EEE9}
    HKEY_CLASSES_ROOT\CLSID\{E0CE16CB-741C-4B24-8D04-A817856E07F4}
    HKEY_CLASSES_ROOT\Interface\{3E4BCF50-865B-4EF4-A0BC-BF57229EA525}
    HKEY_CLASSES_ROOT\Interface\{5F08A37A-11BB-4FCE-9AE4-21897CABAA7E}
    HKEY_CLASSES_ROOT\Interface\{64A5BD22-8D8A-4193-9CF8-7DB5212ABB17}
    HKEY_CLASSES_ROOT\Interface\{674A6BD5-317A-49CF-9647-1E085E660CE0}
    HKEY_CLASSES_ROOT\Interface\{79D6F884-C4C3-4CC8-9430-D8C17B47FF0E}
    HKEY_CLASSES_ROOT\Interface\{9F61CFDF-5C79-4D35-B4DA-766B28367223}
    HKEY_CLASSES_ROOT\Interface\{AD29366C-63AA-4FF3-944F-91AD7193BCA2}
    HKEY_CLASSES_ROOT\Interface\{E832FFDE-8ED2-47B7-BE50-729A238040A0}
    HKEY_CLASSES_ROOT\Interface\{A9136CFD-FD01-41B8-9969-0B37720ED8AB}
    HKEY_CLASSES_ROOT\Interface\{B2EEDA99-DA99-4D0D-9F7F-143C30521388}
    HKEY_CLASSES_ROOT\TypeLib\{78A163D2-2358-464D-807B-0E2A078C7727}
    HKEY_CLASSES_ROOT\TypeLib\{466C63AC-F26E-49F1-861A-E07DA768A46A}
    HKEY_CLASSES_ROOT\IObjSafety.DemoCtl
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\
    Distribution Units\{7149E79C-DC19-4C5E-A53C-A54DDF75EEE9}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Uninstall\media-motor
    HKEY_LOCAL_MACHINE\SOFTWARE\mm
    HKEY_ALL_USERS%\Software\Microsoft\Windows\CurrentVersion\
    Internet Settings\ZoneMap\Domains\media-motor.net
    HKEY_ALL_USERS%\Software\Microsoft\Windows\CurrentVersion\
    Internet Settings\ZoneMap\Domains\popuppers.com
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    ModuleUsage\C:/WINDOWS/Downloaded Program Files/m67m.ocx
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    ModuleUsage\C:/WINDOWS/system32/objsafe.tlb

  7. Öffnet ein Internet Explorer-Fenster, welches die folgende URL anzeigt, die möglicherweise den Browser zu den Werbungen umleitet:

    [http://]www.popuppers.com/[ENTFERNT]/popsn16.php?firstd=[Parameter]&aff=[Parameter]&c=[Parameter]

  8. Installiert möglicherweise Adware.180Search, Adware.BetterInternet (englischsprachig) und Adware.PopUppers.



Aktualisiert: February 13, 2007 11:40:17 AM
Typ: Adware
Version: n/a
Herausgeber: trin
Auswirkung des Risikos: Medium
Dateinamen: medload.exe medload3.exe mm63.ocx mm67.ocx mm81.ocx seeve.exe newpop446.exe newpop63.ex
Betroffene Systeme: Windows


Die folgenden Anweisungen gelten für alle Virenschutzprodukte von Symantec, die die Erkennung von Sicherheitsrisiken unterstützen.

  1. Aktualisieren Sie die Definitionen.
  2. Führen Sie eine vollständige Systemprüfung durch.
  3. Entfernen Sie die in die Registrierung geschriebenen Werte.
    Detaillierte Informationen zu diesen Verfahren finden Sie in den folgenden Anweisungen.


    1. Die Definitionen aktualisieren
    Um die neuesten Definitionen zu beziehen, starten Sie Ihr Symantec-Programm und führen Sie LiveUpdate aus.


    2. Ausführen der Prüfung
    1. Starten Sie Ihr Symantec-Virenschutzprogramm und führen Sie dann eine vollständige Systemprüfung aus.
    2. Wenn Dateien als infiziert erkannt werden, sehen Sie abhängig von der verwendeten Software-Version möglicherweise eine oder mehrere der folgenden Optionen:


      Hinweis: Dies gilt nur für Versionen von Norton AntiVirus, die die Sicherheitsrisiko-Erkennung unterstützen. Wenn Sie eine Version von Symantec AntiVirus Corporate Edition verwenden, die die Sicherheitsrisiko-Erkennung unterstützt, und die Sicherheitsrisiko-Erkennung ist aktiviert worden, sehen Sie lediglich ein Meldungsfeld, das die Ergebnisse der Prüfung angibt. Wenn Sie Fragen zu dieser Situation haben, kontaktieren Sie Ihren Netzwerkadministrator.

      • Ausschließen (nicht empfohlen): Wenn Sie auf diese Schaltfläche klicken, stellen Sie Ihr Programm so ein, dass das Risiko nicht mehr entdeckt wird. Das heißt, das Virenschutzprogramm behält das Sicherheitsrisiko auf Ihrem Computer und erkennt es nicht mehr, um es von Ihrem Computer zu entfernen.
      • Ignorieren oder Überspringen: Diese Option weist das Prüfprogramm an, das Risiko für nur diese Prüfung zu ignorieren. Sie wird beim nächsten Mal wieder erkannt, wenn Sie eine Prüfung ausführen.
      • Abbrechen: Diese Option ist neu in Norton AntiVirus 2005. Sie wird verwendet, wenn Norton AntiVirus 2005 festgestellt hat, dass es ein Sicherheitsrisiko nicht löschen kann. Diese Option weist das Prüfprogramm an, das Risiko für nur diese Prüfung zu ignorieren, und folglich wird das Risiko das nächste Mal wieder erkannt, wenn Sie eine Prüfung ausführen.

        Das Sicherheitsrisiko wirklich löschen:
        • Klicken Sie auf den Dateinamen des Risikos (unter der Spalte "Dateiname").
        • Geben Sie in das angezeigte Feld für Informationen den vollen Pfad und Dateinamen an.
        • Verwenden Sie dann Windows-Explorer, um die Datei zu finden und zu löschen.

          Wenn Windows berichtet, dass es die Datei nicht löschen kann, weist dies daraufhin, dass die Datei zurzeit verwendet wird. In dieser Situation schließen Sie die übrigen Anweisungen auf dieser Seite ab, starten Sie den Computer im abgesicherten Modus neu und löschen Sie dann die Datei mit Windows-Explorer. Starten Sie den Computer im normalen Modus neu.

      • Löschen: Diese Option versucht, die erkannten Dateien zu löschen. In einigen Fällen kann das Prüfprogramm dies nicht tun.
        • Wenn Sie eine Meldung darüber erhalten, dass der Löschvorgang nicht durchgeführt werden konnte, löschen Sie die Datei manuell.
        • Klicken Sie auf den Dateinamen des Risikos, den Sie unter der Spalte "Dateiname" finden.
        • Geben Sie in das angezeigte Feld für Informationen den vollen Pfad und Dateinamen an.
        • Verwenden Sie dann Windows-Explorer, um die Datei zu finden und zu löschen.

          Wenn Windows berichtet, dass es die Datei nicht löschen kann, weist dies daraufhin, dass die Datei zurzeit verwendet wird. In dieser Situation schließen Sie die übrigen Anweisungen auf dieser Seite ab, starten Sie den Computer im abgesicherten Modus neu und löschen Sie dann die Datei mit Windows-Explorer. Starten Sie den Computer im normalen Modus neu.

    Wichtig: Wenn Sie Ihr Virenschutzprodukt von Symantec nicht starten konnten oder das Produkt meldet, dass es eine entdeckte Datei nicht löschen kann, so müssen Sie das Risiko eventuell zuerst stoppen, bevor Sie es entfernen können. Um dieses Problem zu beheben, führen Sie die Prüfung im abgesicherten Modus aus. Anweisungen hierzu finden Sie im Dokument Starten Ihres Computers im abgesicherten Modus . Sobald der Computer im abgesicherten Modus gestartet wurde, führen Sie die Prüfung erneut aus.


    Nachdem die Dateien gelöscht sind, starten Sie den Computer im normalen Modus neu und fahren Sie mit dem nächsten Abschnitt fort.

    Warnmeldungen können angezeigt werden, wenn der Computer neu gestartet wird, da das Risiko zu dem Zeitpunkt möglicherweise noch nicht völlig entfernt worden ist. Sie können diese Meldungen ignorieren und auf OK klicken. Diese Meldungen erscheinen nicht, wenn der Computer neu gestartet wird, nachdem die Entfernungsanweisungen völlig durchgeführt worden sind. Die Meldungen, die angezeigt werden, können folgendermaßen aussehen:

    Titel: [DATEIPFAD]
    Nachrichtentext: Windows cannot find [DATEINAME]. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.


    3. Entfernen der Werte aus der Registrierung

    Wichtig: Wir empfehlen Ihnen nachdrücklich, eine Sicherungskopie der Registrierung anzulegen, bevor Sie Änderungen daran vornehmen. Fehler bei der Änderung von Registrierungseinträgen können zu permanentem Datenverlust oder beschädigten Dateien führen. Ändern Sie nur die angegebenen Unterschlüssel. Lesen Sie das Dokument Erstellen einer Sicherheitskopie der Windows-Registrierung.

    1. Klicken Sie auf Start > Ausführen.
    2. Geben Sie regedit ein klicken Sie auf OK.
    3. Navigieren Sie zum Unterschlüssel:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    4. Löschen Sie diese Werte im rechten Teilfenster:

      "loads.exe" = "%Windir%\medload.exe"
      "sixtysix" = "[Pfad zur ursprünglichen Datei]"
      "popuppers" = "[Pfad zur ursprünglichen Datei]"
      "popuppers64" = "[Pfad zur ursprünglichen Datei]"
      "seeve.exe" = "[Pfad zur ursprünglichen Datei]"

    5. Navigieren Sie zum Unterschlüssel:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs

    6. Löschen Sie diese Werte im rechten Teilfenster:

      "(Default)" = "%Windir%\system32\objsafe.tlb"
      "(Default)" = "%Windir%\Downloaded Program Files\m67m.ocx"

    7. Navigieren Sie zum Unterschlüssel:

      HKEY_CURRENT_USER\Software\WinRAR SFX\

    8. Löschen Sie diese Werte im rechten Teilfenster:

      "%ProgramFiles%\joystick networks\setup" = "%ProgramFiles%\joystick networks\setup"
      "%UserProfile%\Desktop" = "UserProfile%\Desktop"

    9. Navigieren Sie zum Unterschlüssel:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall

    10. Löschen Sie diese Werte im rechten Teilfenster:

      "media-motor" = "%Windir%\unstall.exe"

    11. Suchen Sie die folgenden Registrierungsschlüssel und löschen Sie sie:

      HKEY_CLASSES_ROOT\CLSID\{7149E79C-DC19-4C5E-A53C-A54DDF75EEE9}
      HKEY_CLASSES_ROOT\CLSID\{E0CE16CB-741C-4B24-8D04-A817856E07F4}
      HKEY_CLASSES_ROOT\Interface\{3E4BCF50-865B-4EF4-A0BC-BF57229EA525}
      HKEY_CLASSES_ROOT\Interface\{5F08A37A-11BB-4FCE-9AE4-21897CABAA7E}
      HKEY_CLASSES_ROOT\Interface\{64A5BD22-8D8A-4193-9CF8-7DB5212ABB17}
      HKEY_CLASSES_ROOT\Interface\{674A6BD5-317A-49CF-9647-1E085E660CE0}
      HKEY_CLASSES_ROOT\Interface\{79D6F884-C4C3-4CC8-9430-D8C17B47FF0E}
      HKEY_CLASSES_ROOT\Interface\{9F61CFDF-5C79-4D35-B4DA-766B28367223}
      HKEY_CLASSES_ROOT\Interface\{AD29366C-63AA-4FF3-944F-91AD7193BCA2}
      HKEY_CLASSES_ROOT\Interface\{E832FFDE-8ED2-47B7-BE50-729A238040A0}
      HKEY_CLASSES_ROOT\Interface\{A9136CFD-FD01-41B8-9969-0B37720ED8AB}
      HKEY_CLASSES_ROOT\Interface\{B2EEDA99-DA99-4D0D-9F7F-143C30521388}
      HKEY_CLASSES_ROOT\TypeLib\{78A163D2-2358-464D-807B-0E2A078C7727}
      HKEY_CLASSES_ROOT\TypeLib\{466C63AC-F26E-49F1-861A-E07DA768A46A}
      HKEY_CLASSES_ROOT\IObjSafety.DemoCtl
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\
      Distribution Units\{7149E79C-DC19-4C5E-A53C-A54DDF75EEE9}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
      Uninstall\media-motor
      HKEY_LOCAL_MACHINE\SOFTWARE\mm
      HKEY_ALL_USERS%\Software\Microsoft\Windows\CurrentVersion\
      Internet Settings\ZoneMap\Domains\media-motor.net
      HKEY_ALL_USERS%\Software\Microsoft\Windows\CurrentVersion\
      Internet Settings\ZoneMap\Domains\popuppers.com
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
      ModuleUsage\C:/WINDOWS/Downloaded Program Files/m67m.ocx
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
      ModuleUsage\C:/WINDOWS/system32/objsafe.tlb

    12. Schließen Sie den Registrierungseditor.