Adware.BBSee

Versione per stampante

Aggiornato: February 13, 2007 11:46:44 AM
Tipo: Adware
Impatto del rischio: High
Sistemi operativi minacciati: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

Comportamento


Adware.BBSee è un programma che visualizza le pubblicità.

Date protezione antivirus

  • Versione iniziale Rapid Release October 02, 2014 revisione 022
  • Ultima versione Rapid Release October 02, 2014 revisione 022
  • Versione iniziale Daily Certified April 11, 2006
  • Ultima versione Daily Certified September 28, 2010 revisione 036
  • Data rilascio Weekly Certified iniziale April 12, 2006

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Aggiornato: February 13, 2007 11:46:44 AM
Tipo: Adware
Impatto del rischio: High
Sistemi operativi minacciati: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP



Quando viene eseguito, Adware.BBSee si comporta nel modo seguente:

  1. Genera le seguenti sottochiavi del registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BBsee
    HKEY_LOCAL_MACHINE\SOFTWARE\BBsee
    HKEY_LOCAL_MACHINE\SOFTWARE\[JAPANESE CHARACTERS]\BBsee

  2. Crea le seguenti sottochiavi del registro che sono associate a componenti non nocivi:

    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance\{238D0F23-5DC9-45A6-9BE2-666160C324DD}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance\{765035B3-5944-4A94-806B-20EE3415F26F}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance\{941A4793-A705-4312-8DFC-C11CA05F397E}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance\{E21BE468-5C18-43EB-B0CC-DB93A847D769}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{238D0F23-5DC9-45A6-9BE2-666160C324DD}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{46433B82-C3BC-4B99-9BEB-BA05A05162BE}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{765035B3-5944-4A94-806B-20EE3415F26F}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{941A4793-A705-4312-8DFC-C11CA05F397E}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D9F6A948-27B4-420E-937E-46CF76F77A47}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E21BE468-5C18-43EB-B0CC-DB93A847D769}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B782B232-1A64-407A-89B7-B42D1FE7E1FA}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{EBE1B235-3AD8-476C-96E6-FB3828843319}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Media Type\Extensions\.ra
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Media Type\Extensions\.ram
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Media Type\Extensions\.rm
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Media Type\Extensions\.rmvb
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Media Type\{e436eb83-524f-11ce-9f53-0020af0ba770}\{57428EC6-C2B2-44A2-AA9C-28F0B6A5C48E}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{FBBD1E55-C497-49EB-AC98-B5F88C4BF01A}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NETVIDEONEWSPLUG.NetVideoNewsPlugCtrl.1
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{DB28B382-9162-41C0-949B-7B00A53BCA72}
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{DB28B382-9162-41C0-949B-7B00A53BCA72}
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\International\CpMRU
    HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Player\Tasks\NowPlaying
    HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Preferences\ProxySettings
    HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Health
    HKEY_CURRENT_USER\Software\NetVideoNews

  3. Aggiunge i valori:

    "RealMediaSplitter.ax" = "1"
    "VNPlug.ocx" = "1"

    nella sottochiave del registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\%ProgramFiles%\BBsee

    Note: These entries are associated with nonmalicious components.

  4. Aggiunge i valori:

    "UniqueID" = "[RANDOM CLSID]"
    "ComputerName" = "COMPUTER NAME"
    "VolumeSerialNumber" = "[VOLUME SERIAL NUMBER]"

    nella sottochiave del registro:

    HKEY_CURRENT_USER\Software\Microsoft\Windows Media\WMSDK\General

    Nota: Queste voci sono associate a componenti non nocivi.

  5. Aggiunge il valore:

    "NetVideoNews" = "%ProgramFiles%\BBsee\BBsee.exe"

    nella sottochiave del registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    in modo da essere eseguito all'avvio di Windows.

  6. Crea i file:

    • %UserProfile\Desktop%\BBsee.lnk
    • %UserProfile%\Application Data\Microsoft\Windows Media\9.0\WMSDKNSD.XML (non-malicious component)
    • %ProgramFiles%\BBsee\Base.b10
    • %ProgramFiles%\BBsee\BBsee.exe
    • %ProgramFiles%\BBsee\Client.xml
    • %ProgramFiles%\BBsee\encrypt.dll (non-malicious component)
    • %ProgramFiles%\BBsee\newsinfo.xml
    • %ProgramFiles%\BBsee\newstype.xml
    • %ProgramFiles%\BBsee\OnlineUpdate.exe
    • %ProgramFiles%\BBsee\RealMediaSplitter.ax (non-malicious component)
    • %ProgramFiles%\BBsee\setup.ico
    • %ProgramFiles%\BBsee\sysconfig.xml
    • %ProgramFiles%\BBsee\UnInstall.exe
    • %ProgramFiles%\BBsee\UnInstallEx.exe
    • %ProgramFiles%\BBsee\UpdateConfig.xml
    • %ProgramFiles%\BBsee\Ver.txt
    • %ProgramFiles%\BBsee\VNPlug.ocx (non-malicious component)
    • %ProgramFiles%\BBsee\vtPatcher.sys (non-malicious component)
    • %UserProfile%\Start Menu\Programs\BBsee\BBsee.lnk

      Note:
    • %UserProfile% è una variabile che si riferisce all'attuale cartella di profilo dell'utente. Per impostazione predefinita, questa è C:\Documents and Settings\[UTENTE CORRENTE] (Windows NT/2000/XP).
    • %ProgramFiles% è una variabile che si riferisce alla cartella dei file di programma. Per impostazione predefinita, questa è C:\Programmi.

  7. Creare le seguenti cartelle che vengono utilizzate per memorizzare dati scaricati o di configurazione:

    • %ProgramFiles%\BBsee\data
    • %ProgramFiles%\BBsee\skins
    • %ProgramFiles%\BBsee\video

  8. Quando Adware.BBSee si installa, viene eseguito in background e mostra un'icona "B" nella barra delle applicazioni. L'interfaccia dell'applicazione può essere visualizzata facendo clic sull'icona. Nell'applicazione sono visualizzate le notizie e gli annunci pubblicitari. Periodicamente vengono visualizzati messaggi pubblicitari anche quando l'interfaccia dell'applicazione non è visibile. Le pubblicità e le notizie vengono scaricate periodicamente. L'applicazione può produrre continuamente messaggi di errore, rendendo il computer inutilizzabile.

Aggiornato: February 13, 2007 11:46:44 AM
Tipo: Adware
Impatto del rischio: High
Sistemi operativi minacciati: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP



Le istruzioni seguenti riguardano tutti i prodotti antivirus Symantec che rilevano i rischi per la sicurezza.

  1. Aggiornare le definizioni.
  2. Eseguire una scansione completa del sistema.
  3. Eliminare tutti i valori aggiunti al registro.
Proseguire nella lettura per ottenere istruzioni dettagliate su come procedere.

1. Aggiornare le definizioni
Per ottenere le definizioni più recenti avviare il programma Symantec ed eseguire LiveUpdate.


2. Eseguire la scansione
  1. Avviare il programma antivirus Symantec ed eseguire una scansione completa del sistema.
  2. Se vengono rilevati dei file e a seconda della versione di software utilizzata, è possibile visualizzare una o più delle opzioni seguenti:

    Nota: Ciò è valido solo per le versioni di Norton AntiVirus che rilevano i rischi per la sicurezza. Se si esegue una versione di Symantec AntiVirus Corporate Edition che rileva i rischi per la sicurezza e questa rilevazione è stata abilitata, verrà visualizzata una finestra con i risultati della scansione. In caso di domande contattare l'amministratore di rete.
    • Escludi (non consigliato): Facendo clic su questo pulsante la minaccia viene configurata in modo da non essere più rilevabile. Ciò significa che il programma antivirus non rileverà il rischio per la sicurezza presente nel computer né lo rimuoverà.

    • Ignora o Salta: Scegliendo questa opzione il programma di scansione ignora la minaccia solo per la scansione corrente. Questa sarà rilevata la prossima volta che si esegue una scansione.

    • Annulla: Si tratta di una nuova opzione di Norton AntiVirus 2005. Viene utilizzata quando Norton AntiVirus 2005 non è in grado di eliminare un rischio per la sicurezza. Con l'opzione Annulla, il programma di scansione ignora la minaccia solo per la scansione corrente ma questa sarà rilevata alla prossima scansione.

      Per eliminare effettivamente il rischio per la sicurezza:
      • Fare clic su nome del file (sotto la colonna del nome file).
      • Nella casella Informazioni elemento visualizzata, scrivere il pecorso e il nome completo del file.
      • Utilizzare quindi Esplora risorse per individuare ed eliminare il file.

    • Elimina: Questa opzione tenterà di eliminare i file rilevati. In alcuni casi, il programma di scansione non sarà in grado di farlo.
      • Se viene visualizzato il messaggio, "Eliminazione non riuscita" (o un messaggio simile), eliminare il file manualmente.
      • Fare clic sul nome del rischio che si trova sotto la colonna Nome file.
      • Nella casella Informazioni elemento visualizzata, scrivere il pecorso e il nome completo del file.
      • Utilizzare quindi Esplora risorse per individuare ed eliminare il file.

Importante: Se non è possibile avviare il prodotto antivirus Symantec o se il prodotto segnala che non è possibile eliminare un dato file, può essere necessario arrestare l'esecuzione del rischio prima di eliminarlo. A questo scopo, eseguire la scansione in Modalità provvisoria. Per istruzioni, leggere il documento, "Come avviare il computer in Modalità provvisoria ." Una volta eseguito il riavvio in modalità provvisoria, eseguire di nuovo la scansione.

Dopo aver eliminato tutti i file, riavviare il computer in modalità normale e proseguire con la sezione successiva.

Possono essere visualizzati dei messaggi di avviso al riavvio del computer, poichè il rischio non è ancora stato rimosso completamente. Ignorare questi messaggi e fare clic su OK. Questi messaggi non compariranno quando il computer è riavviato dopo che le istruzioni di rimozione sono state completate. I messaggi visualizzati possono essere simili a quanto segue:

Titolo: [PERCORSO DEL FILE]
Corpo del messaggio: Windows cannot find [NOME FILE]. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.

3. Rimuovere i valori dal Registro di sistema
Importante: Prima di modificare il registro di sistema si raccomanda vivamente di eseguirne una copia di backup. Modifiche errate al Registro di sistema possono provocare perdite di dati e danni irreversibili ai file. Modificare unicamente le sottochiavi specificate. Leggere il documento, Come eseguire il backup del registro di sistema di Windows ".
  1. Fare clic su Start > Esegui.
  2. Digitare  regedit

    Fare clic su OK.

    Nota:Se non si riesce ad aprire l'editor del registro è possibile che la minaccia lo abbia modificato impedendo l'accesso. Security Response ha sviluppato uno strumento per risolvere questo problema. Scaricare ed eseguire questo strumento, quindi proseguire con la procedura di rimozione.

  3. Andare alle seguenti sottochiavi del registro ed eliminarle:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BBsee
    HKEY_LOCAL_MACHINE\SOFTWARE\BBsee
    HKEY_LOCAL_MACHINE\SOFTWARE\[JAPANESE CHARACTERS]\BBsee
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance\{238D0F23-5DC9-45A6-9BE2-666160C324DD}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance\{765035B3-5944-4A94-806B-20EE3415F26F}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance\{941A4793-A705-4312-8DFC-C11CA05F397E}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance\{E21BE468-5C18-43EB-B0CC-DB93A847D769}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{238D0F23-5DC9-45A6-9BE2-666160C324DD}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{46433B82-C3BC-4B99-9BEB-BA05A05162BE}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{765035B3-5944-4A94-806B-20EE3415F26F}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{941A4793-A705-4312-8DFC-C11CA05F397E}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D9F6A948-27B4-420E-937E-46CF76F77A47}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E21BE468-5C18-43EB-B0CC-DB93A847D769}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B782B232-1A64-407A-89B7-B42D1FE7E1FA}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{EBE1B235-3AD8-476C-96E6-FB3828843319}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Media Type\Extensions\.ra
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Media Type\Extensions\.ram
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Media Type\Extensions\.rm
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Media Type\Extensions\.rmvb
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Media Type\{e436eb83-524f-11ce-9f53-0020af0ba770}\{57428EC6-C2B2-44A2-AA9C-28F0B6A5C48E}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{FBBD1E55-C497-49EB-AC98-B5F88C4BF01A}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NETVIDEONEWSPLUG.NetVideoNewsPlugCtrl.1
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{DB28B382-9162-41C0-949B-7B00A53BCA72}
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{DB28B382-9162-41C0-949B-7B00A53BCA72}
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\International\CpMRU
    HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Player\Tasks\NowPlaying
    HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Preferences\ProxySettings
    HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Health
    HKEY_CURRENT_USER\Software\NetVideoNews

  4. Andare alla sottochiave:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\%PROGRAMFILES%\BBsee

  5. Eliminare i seguenti valori nel riquadro a destra:

    "RealMediaSplitter.ax" = "1"
    "VNPlug.ocx" = "1"

  6. Andare alla sottochiave:

    HKEY_CURRENT_USER\Software\Microsoft\Windows Media\WMSDK\General

  7. Eliminare i seguenti valori nel riquadro a destra:

    "UniqueID" = "[RANDOM CLSID]"
    "ComputerName" = "COMPUTER NAME"
    "VolumeSerialNumber" = "[VOLUME SERIAL NUMBER]"

  8. Andare alla sottochiave:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  9. Eliminare il seguente valore nel riquadro di destra:

    "NetVideoNews" = "%ProgramFiles%\BBsee\BBsee.exe"

  10. Uscire dall'Editor del Registro di sistema.