Adware.180Search

Versione per stampante

Aggiornato: February 13, 2007 11:37:11 AM
Tipo: Adware
Versione: n/a
Editore: 180Solutions
Impatto del rischio: Medium
Nomi file: Msbb.exe Boomerang.exe 180SAInstaller.dll setup4156.exe sac.exe sau.exe 1802.dll salmbundle
Sistemi operativi minacciati: Windows

Comportamento


Adware.180Search è un programma adware che controlla il contenuto delle finestre del browser Web. Apre le pagine di siti Web associati quando vede determinate parole chiave nelle finestre del browser di ricerca o per gli acquisti.

Nota : Le rilevazioni datate 10 marzo 2005 o anteriori possono rilevare questo adware come Adware.Ncase.

Sintomi


I file sono rilevati come Adware.180Search.

Trasmissione


Adware.180Search può essere installato manualmente o come componente dell'installazione di un altro programma.

Date protezione antivirus

  • Versione iniziale Rapid Release October 02, 2014 revisione 022
  • Ultima versione Rapid Release April 04, 2018 revisione 016
  • Versione iniziale Daily Certified June 16, 2004 revisione 003
  • Ultima versione Daily Certified April 04, 2018 revisione 023
  • Data rilascio Weekly Certified iniziale June 16, 2004

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Aggiornato: February 13, 2007 11:37:11 AM
Tipo: Adware
Versione: n/a
Editore: 180Solutions
Impatto del rischio: Medium
Nomi file: Msbb.exe Boomerang.exe 180SAInstaller.dll setup4156.exe sac.exe sau.exe 1802.dll salmbundle
Sistemi operativi minacciati: Windows


Quando Adware.180Search viene eseguito si comporta nel modo seguente:

  1. Si installa nelle seguenti posizioni:

    • %Program Files%\180search Assistant\sain.exe
    • %Program Files%\180search Assistant\hsr.dll
    • %Program Files%\180search Assistant\sau.exe
    • %Program Files%\180search Assistant\sau.log
    • %Program Files%\180search Assistant\sau.dll
    • %Program Files%\180search Assistant\sau_[3 LETTERE CASUALI].dat
    • %Program Files%\180search Assistant\sauau.dat
    • %Program Files%\180search Assistant\sac.exe
    • %Program Files%\180search Assistant\sauhook.dll
    • %Program Files%\180search Assistant\sachook.dll
    • %Program Files%\180searchassistant\salm.exe
    • %Program Files%\180searchassistant\salmau_update.dat
    • %Program Files%\180searchassistant\salmhook.dll
    • %Program Files%\180searchassistant\salm.dat
    • %Program Files%\180searchassistant\salm_[3 RANDOM LETTERS].dat
    • %Program Files%\180searchassistant\salm_3 RANDOM LETTERS]_update.dat
    • %Program Files%\180searchassistant\sac_[3 RANDOM LETTERS]_update.dat
    • %Program Files%\180searchassistant\sac_[3 RANDOM LETTERS].dat
    • %Program Files%\180searchassistant\sackyf.dat
    • %Program Files%\180searchassistant\sacau.dat
    • %Windir%\[NOME FILE CASUALE].exe
    • %Windir%\Downloaded Program Files\ClientAx.dll
    • %Windir%\Downloaded Program Files\ClientAx.inf
    • %Temp%\180sainstallernusalm.exe
    • %UserProfile%\Local Settings\Temp\180ax.exe
    • %UserProfile%\Local Settings\Temp\180ax.log
    • %Windir%\ClientInstaller.log

      Note:
    • %ProgramFiles% è una variabile che si riferisce alla cartella dei file di programma. Per impostazione predefinita, questa è C:\Programmi.
    • %Windir% è una variabile che fa riferimento alla cartella di installazione di Windows. Per impostazione predefinita, la cartella è C:\Windows (Windows 95/98/Me/XP)o C:\Winnt (Windows NT/2000).
    • %Temp% è una variabile che fa riferimento alla cartella temporanea di Windows. Per impostazione predefinita, la cartella è C:\Windows\TEMP (Windows 95/98/Me/XP)o C:\Winnt\TEMP (Windows NT/2000).
    • %UserProfile% è una variabile che si riferisce all'attuale cartella di profilo dell'utente. Per impostazione predefinita, questa è C:\Documents and Settings\<Utente corrente> (Windows NT/2000/XP).

  2. Può generare i file seguenti:
    • %SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\180search Assistant\180search Assistant.com.url
    • %SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\180search Assistant\Uninstall 180search Assistant Instructions.lnk

      Nota: %SystemDrive% è una variabile che si riferisce all'unità su cui Windows è installato. Per impostazione predefinita, questa è l'unità C.

  3. Aggiunge i valori:

    "MSBB" = "[PERCORSO AL FILE]"
    "sau" = "%ProgramFiles%\180search assistant\sau.exe"
    "sac" = "%ProgramFiles%\180searchassistant\sac.exe"
    "sain" = "%ProgramFiles%\180search assistant\sain.exe"
    "salm" = "%ProgramFiles%\180searchassistant\salm.exe"
    "180ax" = "%userprofile%\local settings\temp\180ax.exe"
    " [NOME FILE CAUSALE] " = "%Windir%\ [NOME FILE CAUSALE] .exe"

    alla sottochiave del registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    in modo che il rischio venga eseguito ad ogni avvio di Windows.

  4. Genera alcune delle seguenti voci di registro:

    HKEY_CLASSES_ROOT\CLSID\{0AC49246-419B-4EE0-8917-8818DAAD6A4E}
    HKEY_CLASSES_ROOT\CLSID\{21B4ACC4-8874-4AEC-AEAC-F567A249B4D4}
    HKEY_CLASSES_ROOT\CLSID\{99410CDE-6F16-42ce-9D49-3807F78F0287}
    HKEY_CLASSES_ROOT\CLSID\{B10031B2-F184-4803-9A88-D239C0641D70}
    HKEY_CLASSES_ROOT\Interface\{2B0ECEAC-F597-4858-A542-D966B49055B9}
    HKEY_CLASSES_ROOT\ Interface\{7B178417-3CDA-444F-94FF-312C0A3A78A8}
    HKEY_CLASSES_ROOT\Interface\{A79F8202-E09D-4F0F-AD4D-DCAE1DAC5994}
    HKEY_CLASSES_ROOT\Interface\{DDEA2E1D-8555-45E5-AF09-EC9AA4EA27AD}
    HKEY_CLASSES_ROOT\Interface\{F1F1E775-1B21-454D-8D38-7C16519969E5}
    HKEY_CLASSES_ROOT\TypeLib\{5B6689B5-C2D4-4DC7-BFD1-24AC17E5FCDA}
    HKEY_CLASSES_ROOT\ TypeLib\{68BF4626-D66B-4383-A6AF-62E57E9B6CD4}
    HKEY_CLASSES_ROOT\TypeLib\{F2BF4713-E933-4B66-8694-22ED243709C7}
    HKEY_CLASSES_ROOT\ncmyb.SABHO
    HKEY_CLASSES_ROOT\ncmyb.SABHO.1
    HKEY_CLASSES_ROOT\ClientAX.ClientInstaller
    HKEY_CLASSES_ROOT\ClientAX.ClientInstaller.1
    HKEY_CLASSES_ROOT\ClientAX.RequiredComponent
    HKEY_CLASSES_ROOT\ClientAX.RequiredComponent.1
    HKEY_CLASSES_ROOT\180SAInstaller.180SAInstaller
    HKEY_CLASSES_ROOT\180SAInstaller.180SAInstaller.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\sau
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{99410CDE-6F16-42ce-9D49-3807F78F0287}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{21B4ACC4-8874-4AEC-AEAC-F567A249B4D4}
    HKEY_LOCAL_MACHINE\SOFTWARE\sau
    HKEY_LOCAL_MACHINE\SOFTWARE\sac
    HKEY_LOCAL_MACHINE\SOFTWARE\sain
    HKEY_LOCAL_MACHINE\SOFTWARE\salm
    HKEY_LOCAL_MACHINE\SOFTWARE\180ax
    HKEY_CURRENT_USER\Software\sau
    HKEY_CURRENT_USER\Software\sac
    HKEY_CURRNET_USER\Software\sain
    HKEY_CURRENT_USER\SOFTWARE\salm
    HKEY_CURRENT_USER\SOFTWARE\180ax
    HKEY_CURRENT_USER\Software\180solutions
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\180ax
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nCASE
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\msbb
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\sac
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\sain
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\salm

  5. Può aggiungere il valore:

    "LoginSessionDisable" = "1"

    alla chiave del Registro di sistema:

    HKEY_CURRENT_USER\Software\Microsoft\RAS Autodial\Control

    per impedire al rischio di indurre il sistema a collegarsi a un ISP.

  6. Controlla il contenuto delle finestre del browser Web. Quando determinate parole chiavi (configurabili) sono rilevate nelle finestre Web di ricerca o per gli acquisti, l' adware visualizza la pagina Web di un sito associato. Le informazioni raccolte includono:

    • Parole digitate nel browser Web.
    • L'indirizzo del sito Web nel quale le parole sono state digitate.
    • Versione del sistema operativo (compreso il service pack).
    • Browser Web utilizzato (compreso il numero esatto della versione).
    • Larghezza ed altezza dello schermo.

  7. Controlla l'esistenza dell'intera applicazione adware. Se l'adware viene parzialmente eliminato, reinstallerà i componenti mancanti.


Aggiornato: February 13, 2007 11:37:11 AM
Tipo: Adware
Versione: n/a
Editore: 180Solutions
Impatto del rischio: Medium
Nomi file: Msbb.exe Boomerang.exe 180SAInstaller.dll setup4156.exe sac.exe sau.exe 1802.dll salmbundle
Sistemi operativi minacciati: Windows


Nota: Eliminando questo componente dell'adware dal sistema probabilmente causerà il malfunzionamento del programma che lo ha installato. Il programma di disinstallazione identifica generalmente i programmi che non funzioneranno dopo la disinstallazione.

Rimozione utilizzando lo strumento di rimozione di Adware.180Search
Symantec Security Response ha sviluppato uno strumento di rimozione per Adware.180Search. Si consiglia di utilizzare in primo luogo tale strumento poiché si tratta della soluzione più semplice per eliminare la minaccia.

Lo strumento può essere trovato qui: http://securityresponse.symantec.com/avcenter/Fix180Sh.exe

L'attuale versione dello strumento è la 1.0.6 ed avrà come data della firma digitale 02/14/2005 3:31PM PST.

Nota:
La data e l'ora visualizzati saranno regolati secondo il fuso orario locale, se il computer non è impostato sul fuso orario del Pacifico.

È stato segnalato che un computer con Adware.180Search, può avere installati anche altri rischi per la sicurezza. Symantec consiglia di attenersi ai passaggi seguenti:

    1. Applicare lo strumento di rimozione di Adware.180Search.
    2. Aggiornare le definizioni avviando il programma Symantec ed eseguendo LiveUpdate.
    3. Eseguire una scansione completa del sistema per rilevare tutti gli altri rischi per la sicurezza presenti sul computer.
    4. Se la scansione rileva altri rischi per la sicurezza, cercare gli strumenti di rimozione all'indirizzo http://securityresponse.symantec.com/avcenter/security.risks.tools.list.html.
    5. Se non ci sono strumenti di rimozione per i rischi per la sicurezza rilevati, seguire le istruzioni di rimozione manuale elencate nell'articolo sulla minaccia.


Rimozione manuale
Le istruzioni seguenti riguardano tutti i prodotti antivirus Symantec che rilevano i rischi per la sicurezza.
  1. Aggiornare le definizioni.
  2. Disinstallare Adware.180Search utilizzando l'utilità Installazione applicazioni.
  3. Operare una scansione completa del sistema ed eliminare tutti i file rilevati come Adware.180Search.
  4. Eliminare il valore aggiunto dal worm al Registro di sistema.
  5. Eliminare altri file utilizzati da questo Adware
Proseguire nella lettura per ottenere istruzioni dettagliate su come procedere.

1. Aggiornare le definizioni
Per ottenere le definizioni più recenti avviare il programma Symantec ed eseguire LiveUpdate.

2. Per disinstallare l'Adware
  1. Effettuare una delle seguenti operazioni:
    • Sulla barra delle applicazioni di Windows 98:
      1. Clic Start > impostazioni > pannello del controllo.
      2. Nella finestra del pannello del controllo, fare doppio-clic su Installazione applicazioni.

    • Sulla barra delle applicazioni di Windows Me:
      1. Clic Start > impostazioni > pannello del controllo.
      2. Nella finestra del pannello del controllo, fare doppio-clic su Installazione applicazioni.
        Se l'icona Installazione applicazioni non viene visualizzata fare clic su "...visualizza tutte le opzioni del pannello del controllo."

    • Sulla barra delle applicazioni di Windows 2000:
      Per impostazione predefinita, Windows 2000 è configurato come Windows 98, perciò è sufficiente seguire le istruzioni di Windows 98. Oppure fare clic su Start, andare Impostazioni > Pannello di controllo, quindi fare clic su Installazione applicazioni.

    • Sulla barra delle applicazioni di Windows XP:
      1. Fare clic su Start > Pannello di controllo.
      2. Nella finestra del pannello del controllo, fare doppio-clic su Installazione applicazioni.

  2. Fare clic su 180Search Assistant.

    Nota:
    può essere necessario utilizzare la barra di scorrimento per vedere l'intera lista.
  3. Fare clic su Aggiungi/Rimuovi, Cambia/Rimuovi, o Rimuovi (cambia a seconda del sistema operativo). Seguire le istruzioni.


3. Eseguire la scansione
  1. Avviare il programma antivirus Symantec ed eseguire una scansione completa del sistema.
  2. Se vengono rilevati dei file e a seconda della versione di software utilizzata, è possibile visualizzare una o più delle opzioni seguenti:

    Nota: Ciò è valido solo per le versioni di Norton AntiVirus che rilevano i rischi per la sicurezza. Se si esegue una versione di Symantec AntiVirus Corporate Edition che rileva i rischi per la sicurezza e questa rilevazione è stata abilitata, verrà visualizzata una finestra con i risultati della scansione. In caso di domande contattare l'amministratore di rete.
    • Escludi (non consigliato): Facendo clic su questo pulsante la minaccia viene configurata in modo da non essere più rilevabile. Ciò significa che il programma antivirus non rileverà il rischio per la sicurezza presente nel computer né lo rimuoverà.

    • Ignora o Salta: Scegliendo questa opzione il programma di scansione ignora la minaccia solo per la scansione corrente. Questa sarà rilevata la prossima volta che si esegue una scansione.

    • Annulla: Si tratta di una nuova opzione di Norton AntiVirus 2005. Viene utilizzata quando Norton AntiVirus 2005 non è in grado di eliminare un rischio per la sicurezza. Con l'opzione Annulla, il programma di scansione ignora la minaccia solo per la scansione corrente ma questa sarà rilevata alla prossima scansione.

      Per eliminare effettivamente il rischio per la sicurezza:
      • Fare clic su nome del file (sotto la colonna del nome file).
      • Nella casella Informazioni elemento visualizzata, scrivere il pecorso e il nome completo del file.
      • Utilizzare quindi Esplora risorse per individuare ed eliminare il file.

        Se Windows segnala che non è possibile eliminare il file significa che questo è in uso. In questo caso completare le rimanenti istruzioni della pagina, riavviare il computer in modalità provvisoria, quindi eliminare il file mediante Esplora risorse. Riavviare il computer in Modalità normale.

    • Elimina: Questa opzione tenterà di eliminare i file rilevati. In alcuni casi, il programma di scansione non sarà in grado di farlo.
      • Se viene visualizzato il messaggio, "Eliminazione non riuscita" (o un messaggio simile), eliminare il file manualmente.
      • Fare clic sul nome del rischio che si trova sotto la colonna Nome file.
      • Nella casella Informazioni elemento visualizzata, scrivere il pecorso e il nome completo del file.
      • Utilizzare quindi Esplora risorse per individuare ed eliminare il file.

        Se Windows segnala che non è possibile eliminare il file significa che questo è in uso. In questo caso completare le rimanenti istruzioni della pagina, riavviare il computer in modalità provvisoria, quindi eliminare il file mediante Esplora risorse. Riavviare il computer in Modalità normale.
  3. Utilizzando Esplora risorse, andare alla cartella %ProgramFiles%\180search Assistant ed eliminarla.
Importante: Se non è possibile avviare il prodotto antivirus Symantec o se il prodotto segnala che non è possibile eliminare un dato file, può essere necessario arrestare l'esecuzione del rischio prima di eliminarlo. A questo scopo, eseguire la scansione in Modalità provvisoria. Per istruzioni, leggere il documento, Come avviare il computer in Modalità provvisoria . Una volta eseguito il riavvio in modalità provvisoria, eseguire di nuovo la scansione.

Dopo aver eliminato tutti i file, riavviare il computer in modalità normale e proseguire con la sezione successiva.

Possono essere visualizzati dei messaggi di avviso al riavvio del computer, poichè il rischio non è ancora stato rimosso completamente. Ignorare questi messaggi e fare clic su OK. Questi messaggi non compariranno quando il computer è ricavviato dopo che le istruzioni di rimozione sono state completate. I messaggi visualizzati possono essere simili a quanto segue:

Titolo: [PERCORSO DEL FILE]
Corpo del messaggio: Windows cannot find [NOME FILE]. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.

4. Rimuovere i valori dal Registro di sistema
ATTENZIONE: Prima di modificare il registro di sistema si raccomanda vivamente di eseguirne una copia di backup. Modifiche errate al Registro di sistema possono provocare perdite di dati e danni irreversibili ai file. Modificare unicamente le chiavi specificate. Leggere il documento, " Come eseguire il backup del registro di sistema di Windows ", per istruzioni.

Nota:
Viene effettuata questa operazione per verificare che tutte le chiavi siano eliminate. Potrebbero non essere presenti se sono già state eliminate dal programma di disinstallazione.
  1. Fare clic su Start > Esegui. Viene visualizzata la finestra di dialogo Esegui.
  2. Digitare  regedit

    Fare clic su OK. (Si apre l'Editor del Registro di sistema).

  3. Individuare la chiave:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  4. Eliminare i seguenti valori nel riquadro a destra:

    "MSBB" = "[PERCORSO AL FILE]"
    "sau" = "%ProgramFiles%\180search assistant\sau.exe"
    "sac" = "%ProgramFiles%\180searchassistant\sac.exe"
    "sain" = "%ProgramFiles%\180search assistant\sain.exe"
    "salm" = "%ProgramFiles%\180searchassistant\salm.exe"
    "180ax" = "%userprofile%\local settings\temp\180ax.exe"
    "[NOME DEL FILE CASUALE]" = "%Windir%\[NOME DEL FILE CASUALE] .exe"

  5. Andare alla sottochiave del registro:

    HKEY_CURRENT_USER\Software\Microsoft\RAS Autodial\Control

  6. Impostare il seguente valore nel riquadro di destra:

    "LoginSessionDisable" = "0"

  7. Andare alle seguenti sottochiavi ed eliminarle:

    HKEY_CLASSES_ROOT\CLSID\{0AC49246-419B-4EE0-8917-8818DAAD6A4E}
    HKEY_CLASSES_ROOT\CLSID\{21B4ACC4-8874-4AEC-AEAC-F567A249B4D4}
    HKEY_CLASSES_ROOT\CLSID\{99410CDE-6F16-42ce-9D49-3807F78F0287}
    HKEY_CLASSES_ROOT\CLSID\{B10031B2-F184-4803-9A88-D239C0641D70}
    HKEY_CLASSES_ROOT\Interface\{2B0ECEAC-F597-4858-A542-D966B49055B9}
    HKEY_CLASSES_ROOT\Interface\{7B178417-3CDA-444F-94FF-312C0A3A78A8}
    HKEY_CLASSES_ROOT\Interface\{A79F8202-E09D-4F0F-AD4D-DCAE1DAC5994}
    HKEY_CLASSES_ROOT\Interface\{DDEA2E1D-8555-45E5-AF09-EC9AA4EA27AD}
    HKEY_CLASSES_ROOT\Interface\{F1F1E775-1B21-454D-8D38-7C16519969E5}
    HKEY_CLASSES_ROOT\TypeLib\{5B6689B5-C2D4-4DC7-BFD1-24AC17E5FCDA}
    HKEY_CLASSES_ROOT\TypeLib\{68BF4626-D66B-4383-A6AF-62E57E9B6CD4}
    HKEY_CLASSES_ROOT\TypeLib\{F2BF4713-E933-4B66-8694-22ED243709C7}
    HKEY_CLASSES_ROOT\ncmyb.SABHO
    HKEY_CLASSES_ROOT\ncmyb.SABHO.1
    HKEY_CLASSES_ROOT\ClientAX.ClientInstaller
    HKEY_CLASSES_ROOT\ClientAX.ClientInstaller.1
    HKEY_CLASSES_ROOT\ClientAX.RequiredComponent
    HKEY_CLASSES_ROOT\ClientAX.RequiredComponent.1
    HKEY_CLASSES_ROOT\180SAInstaller.180SAInstaller
    HKEY_CLASSES_ROOT\180SAInstaller.180SAInstaller.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\sau
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{99410CDE-6F16-42ce-9D49-3807F78F0287}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{21B4ACC4-8874-4AEC-AEAC-F567A249B4D4}
    HKEY_LOCAL_MACHINE\SOFTWARE\sau
    HKEY_LOCAL_MACHINE\SOFTWARE\sac
    HKEY_LOCAL_MACHINE\SOFTWARE\sain
    HKEY_LOCAL_MACHINE\SOFTWARE\salm
    HKEY_LOCAL_MACHINE\SOFTWARE\180ax
    HKEY_CURRENT_USER\Software\sau
    HKEY_CURRENT_USER\Software\sac
    HKEY_CURRNET_USER\Software\sain
    HKEY_CURRENT_USER\SOFTWARE\salm
    HKEY_CURRENT_USER\SOFTWARE\180ax
    HKEY_CURRENT_USER\Software\180solutions
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\180ax
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nCASE
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\msbb
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\sac
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\sain
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\salm

  8. Uscire dall'Editor del Registro di sistema.