Adware.BargainBuddy

Versão para impressão

Atualizado: February 13, 2007 11:32:40 AM
Tipo: Adware
Versão: 1.0
Autor: exact Advertising
Impacto do risco: Medium
Nomes de arquivos: Apuc.dll Bargains.exe Autoheal.exe package_MARKETING27.exe
Sistemas afetados: Windows

Comportamento


O Adware.BargainBuddy monitora o uso da Internet e exibe anúncios.

Sintomas


Os arquivos são detectados como Adware.BargainBuddy.

Transmissão


Este risco à segurança pode ser instalado como parte de outro programa.

Datas da proteção antivírus

  • Versão inicial do Rapid Release October 02, 2014 revisão 022
  • Última versão do Rapid Release April 20, 2018 revisão 017
  • Versão inicial diária certificada August 18, 2003 revisão 002
  • Última versão diária certificada April 21, 2018 revisão 001
  • Data da versão inicial semanal certificada August 18, 2003

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Atualizado: February 13, 2007 11:32:40 AM
Tipo: Adware
Versão: 1.0
Autor: exact Advertising
Impacto do risco: Medium
Nomes de arquivos: Apuc.dll Bargains.exe Autoheal.exe package_MARKETING27.exe
Sistemas afetados: Windows


Quando o Adware.BargainBuddy é executado, o instalador executa as seguintes ações:

  1. Cria diversos arquivos e subpastas em:

    %ProgramFiles%\Bargain Buddy

    Nota: %ProgramFiles% é uma variável que se refere à pasta de arquivos de programas. Por padrão é C:\Arquivos de programas.

  2. Pode criar alguns ou todos os seguintes arquivos:

    • %System%\angelex.exe
    • %System%\instsrv.exe
    • %System%\msexreg.exe
    • %System%\netut80ex.vxd
    • %System%\bbchk.exe
    • %System%\exclean.exe
    • %System%\exdl.exe
    • %System%\exdl0.exe
    • %System%\exdl1.exe
    • %System%\exul.exe
    • %System%\javexulm.vxd
    • %System%\mqexdlm.srg
    • %System%\msbe.dll
    • %System%\msxct.exe
    • %Windir%\bbchk.exe
    • %Windir%\exclean.exe
    • %Windir%\exdl.exe
    • %Windir%\exul.exe
    • %Windir%\msxct.exe
    • %Windir%\msxct1.ini
    • %Windir%\zeta.exe
    • %Windir%\ahcb.exe
    • %Windir%\Prefetch\gcrc.txt
    • %Windir%\msxct1.ini
    • %System%\vx0.nls
    • %System%\vx0x.nls
    • %System%\vx1.nls
    • %System%\vx1x.nls
    • %System%\vx2.nls
    • %System%\vx2x.nls
    • %System%\vx3.nls
    • %System%\vx3x.nls
    • %System%\javex80.vxd
    • %System%\ide21201.vxd
    • %System%\netut80ex[DOIS CARACTERES VARIÁVEIS].vxd
    • %System%\psis80ex.ax
    • %System%\mac80ex.idf
    • %System%\trkgif.exe
    • %Windir%\bargain4.exe
    • %Windir%\*MARKETING*.exe
    • %Windir%\Downloaded Program Files\installer_MARKETING1.exe
    • %UserProfile%\Local Settings\Temp\bb.exe

      Notas:
    • %System% é uma variável que se refere à pasta System. Por padrão é C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) ou C:\Windows\System32 (Windows XP).
    • %Windir% é uma variável que se refere a uma pasta de instalação do Windows. Por padrão é C:\Windows (Windows 95/98/Me/XP) ou C:\Winnt (Windows NT/2000).
    • %ProgramFiles% é uma variável que se refere à pasta de arquivos de programas. Por padrão é C:\Arquivos de programas.
    • %UserProfile% é uma variável que se refere à pasta de perfil do usuário atual. Por padrão é C:\Documents and Settings\[Nome do Ususário Atual] (Windows NT/2000/XP).

  3. Pode adicionar algum dos seguintes valores:

    "Bargains" = "%ProgramFiles%\Bargain Buddy\bin\bargains.exe"
    "msxct" = "msxct.exe"

    à sub-chave de registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    para que o adware seja executado na inicialização do Windows.

  4. Cria as seguintes sub-chaves de registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Bargains
    HKEY_LOCAL_MACHINE\SOFTWARE\exactUtil
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Bargains
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BargainBuddy
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{0878B424-1F95-4E26-B5AB-F0D349D89650}
    HKEY_CLASSES_ROOT\CLSID\{CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1}
    HKEY_CLASSES_ROOT\Interface\C6906A23-4717-4E1F-B6FD-F06EBED14177}
    HKEY_CLASSES_ROOT\Interface\{8EEE58D5-130E-4CBD-9C83-35A0564EA119}
    HKEY_CLASSES_ROOT\TypeLib\{4EB7BBE8-2E15-424B-9DDB-2CDB9516A2A3}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Apuc.UrlCatcher
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Apuc.UrlCatcher.1
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ZESOFT
    HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\_SC_ZESOFT
    HKEY_LOCAL_MACHINE\SOFTWARE\CashBack
    HKEY_LOCAL_MACHINE\SOFTWARE\NaviSearch
    HKEY_LOCAL_MACHINE\SOFTWARE\eXactUtil

  5. Instala-se como um Browser Helper Object do Internet Explorer.

  6. Monitora a utilização da Internet. Há registros de que este risco tenta enviar informações a um servidor remoto.

  7. Exibe anúncios descarregados pela porta TCP 80, a partir do domínio adp.ikena.com.

Atualizado: February 13, 2007 11:32:40 AM
Tipo: Adware
Versão: 1.0
Autor: exact Advertising
Impacto do risco: Medium
Nomes de arquivos: Apuc.dll Bargains.exe Autoheal.exe package_MARKETING27.exe
Sistemas afetados: Windows


Ferramenta de remoção
O Symantec Security Response desenvolveu uma ferramenta de remoção para o Adware.BargainBuddy. Utilize essa ferramenta primeiro, já que é a maneira mais fácil de se remover este risco à segurança.

A ferramenta pode ser encontrada em: http://securityresponse.symantec.com/avcenter/FixBargainbuddy.exe

A versão atual da ferramenta é 1.0.4 e possui assinatura digital equivalente a 08/26/05 05:43:26 AM PDT.

Nota: a data e a hora exibidas serão ajustadas de acordo como fuso horário local se o computador não estiver definido para o fuso horário do Pacífico.

Há registros de que um computador com este risco à segurança também pode ter outros riscos à segurança instalados. A Symantec recomenda que as seguintes etapas sejam executadas:

  1. Execute a ferramenta de remoção do Adware.BargainBuddy.
  2. Atualize as definições de vírus.
  3. Execute uma verificação completa do sistema para detectar qualquer outro risco à segurança no computador.
  4. Se a verificação detectar qualquer risco à segurança, verifique se existe uma ferramenta de remoção em http://www.symantec.com/region/br/avcenter/tools.list.html
  5. Se não houver ferramentas de remoção para os riscos à segurança detectados, siga as instruções de remoção manual descritas no relatório do risco.

Remoção manual

As instruções a seguir se aplicam a todos os produtos antivírus Symantec que suportam a detecção de riscos à segurança.
  1. Atualize as definições de vírus.
  2. Desinstale o risco à segurança.
  3. Execute uma verificação completa do sistema.
  4. Apague todos os valores adicionados ao registro.
Para mais informações sobre cada uma dessas etapas, consulte as instruções a seguir.

1. Atualizando as definições
Para obter as definições mais recentes, inicie o produto Symantec e execute o LiveUpdate.


2. Desinstalando o adware
  1. Proceda de uma das seguintes maneiras:
    • Na Barra de Tarefas do Windows 98:
      1. Clique Iniciar > Configurações > Painel de Controle.
      2. Na janela do Painel de controle, clique duas vezes em Adicionar ou remover programas.

    • Na Barra de Tarefas do Windows Me:
      1. Clique Iniciar > Configurações > Painel de Controle.
      2. Na janela do Painel de controle, clique duas vezes em Adicionar ou remover programas.
        Se não visualizar o ícone Adicionar ou remover programas, clique em "...exibir todas as opções do Painel de controle".

    • Na Barra de Tarefas do Windows 2000:
      Por padrão, o Windows 2000 está configurado do mesmo modo que o Windows 98. Nesse caso, siga as instruções para o Windows 98. Caso contrário, clique em Configurações > Painel de controle e clique duas vezes em Adicionar ou remover programas.

    • Na Barra de Tarefas do Windows XP:
      1. Clique em Iniciar > Painel de controle.
      2. Na janela do Painel de Controle, clique duas vezes em Adicionar ou remover programas.

  2. Clique em The BullsEye Network


    Nota:
    talvez seja necessário utilizar a barra de rolagem para exibir a lista inteira.

  3. Clique em Adicionar/Remover, Alterar/Remover ou em Remover (os nomes variam dependendo do sistema operacional). Siga as indicações.

    Nota: após executar o utilitário Adicionar ou remover programas, é provável que todos os arquivos tenham sido removidos. Execute uma verificação completa do sistema para se certificar de que esse é o caso. É possível que nenhum arquivo seja detectado após a utilização do recurso Adicionar ou remover programas.

3. Executando a verificação
  1. Inicie o produto anti-vírus Symantec e execute uma verificação completa do sistema.
  2. Se algum arquivo for detectado, dependendo da versão do software que estiver utilizando é possível ver uma ou mais das opções a seguir:

    Nota: isso somente se aplica às versões do Norton AntiVirus que suportam a detecção de riscos à segurança. Se estiver executando uma versão do Symantec AntiVirus Corporate Edition que suporte a detecção de riscos à segurança e essa opção estiver ativada, somente será possível ver uma caixa de mensagem fornecendo os resultados da verificação. Se tiver dúvidas em relação a essa situação, entre em contato com o administrador de rede.
    • Excluir (Não recomendado): se clicar nesse botão, o risco à segurança será definido de forma a não ser mais detectado. Isto é, o programa anti-vírus manterá o risco à segurança no computador e não o detectará futuramente para que seja removido.

    • Ignorar: esta opção ignora o risco à segurança somente na verificação em execução no momento. O risco à segurança será detectado novamente da próxima vez que uma verificação for executada.

    • Cancelar: esta é uma nova opção do Norton AntiVirus 2005 que é utilizada quando o programa determina que não é possível apagar um risco à segurança. Essa opção ignora o risco à segurança somente nessa verificação. Assim, o risco à segurança será detectado novamente da próxima vez que uma verificação for executada.

      Para apagar de fato o risco à segurança:
      • Clique no nome do arquivo (sob a coluna Nome do arquivo).
      • Nas informações do item que são exibidas, anote o caminho completo e o nome do arquivo.
      • Depois, utilize o Windows Explorer para localizar e apagar o arquivo.

        Se o Windows informar que não é possível apagar o arquivo, significa que o mesmo está sendo utilizado. Neste caso, complete o restante das instruções nesta página e, em seguida, reinicie o computador em Modo de Segurança e exclua o arquivo utilizando o Windows Explorer. Reinicie o computador em Modo Normal.

    • Apagar: esta opção tentará apagar os arquivos detectados. Em alguns casos, não será possível fazer isso.
      • Se a seguinte mensagem for exibida: “Falha na exclusão” (ou mensagem semelhante), apague o arquivo manualmente.
      • Sob a coluna Nome do arquivo, clique no nome do arquivo do risco à segurança.
      • Nas informações do item que são exibidas, anote o caminho completo e o nome do arquivo.
      • Depois, utilize o Windows Explorer para localizar e apagar o arquivo.

  3. Clique em Iniciar > Programas > Acessórios > Windows Explorer.

  4. Navegue até os seguintes arquivos e apague-os, se existirem

    • %System%\instsrv.exe
    • %System%\angelex.exe
    • %System%\msexreg.exe
    • %System%\netut80ex.vxd
    • %System%\bbchk.exe
    • %System%\exclean.exe
    • %System%\exdl.exe
    • %System%\exdl0.exe
    • %System%\exdl1.exe
    • %System%\exul1.exe
    • %System%\javexulm.vxd
    • %System%\mqexdlm.srg
    • %System%\msxct.exe
    • %Widir%\bbchk.exe
    • %Widir%\exclean.exe
    • %Widir%\exdl.exe
    • %Widir%\exul.exe
    • %Widir%\msbe.dll
    • %Widir%\msxct.exe
    • %Widir%\msxct1.ini
    • %Widir%\zeta.exe

  5. Navegue até a seguinte pasta e apague-a, se existir:

    %ProgramFiles%\Bargain Buddy

  6. Saia do Windows Explorer.

Importante: se não for possível iniciar o produto antivírus da Symantec ou o relatório do produto informar que não foi possível excluir um arquivo detectado, será necessário interromper a execução do risco para removê-lo. Para fazer isso, execute a verificação em Modo de Segurança. Para mais informações, consulte o documento Iniciando o computador em modo de segurança . Assim que tiver reiniciado em Modo de Segurança, execute a verificação novamente.

Após apagar os arquivos, reinicie o computador em Modo Normal e vá para a próxima seção.

É provável que mensagens de aviso sejam exibidas ao reiniciar o computador, devido ao risco à segurança não ter sido completamente removido até este momento. Ignore essas mensagens e clique em OK. As mensagens não serão exibidas quando o computador for reiniciado após as instruções de remoção terem sido totalmente completadas. As mensagens exibidas podem ser similares às seguintes:

Título: [Caminho do arquivo]
Corpo da mensagem: O Windows não pode localizar o [NOME DO ARQUIVO]. Certifique-se de ter digitado o nome corretamente e tente novamente. Para procurar um arquivo, clique em Iniciar > Pesquisar.

4. Excluindo o valor do registro
Importante: a Symantec recomenda fazer um backup do registro antes de fazer quaisquer alterações. Alterações incorretas no registro podem resultar na perda permanente de dados ou em arquivos corrompidos. Altere somente as sub-chaves especificadas. Consulte o documento Fazendo backup do Registro do Windows.
  1. Clique em Iniciar > Executar.
  2. Digite   regedit
  3. Clique em OK.

    Nota: se não for possível abrir o Editor do registro, o risco pode ter alterado o registro para evitar o acesso ao Editor do Registro. O Security Response criou uma ferramenta para solucionar esse problema. Faça o download e execute essa ferramenta e, em seguida, continue com o processo de remoção.

  4. Navegue até a sub-chave:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  5. No painel direito, apague os valores, se existirem:

    "Bargains" = "%ProgramFiles%\Bargain Buddy\bin\bargains.exe"
    "BullsEye" = "%ProgramFiles%\BullsEye Network\bin\bargains.exe"
    "BullsEye Network" = "%ProgramFiles%\BullsEye Network\bin\bargains.exe"
    "msxct" = "msxct.exe"

  6. Vá até as seguintes sub-chaves e apague-as:

    HKEY_LOCAL_MACHINE\SOFTWARE\Bargains
    HKEY_LOCAL_MACHINE\SOFTWARE\CashBack
    HKEY_LOCAL_MACHINE\SOFTWARE\exactUtil
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CashBack
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Bargains
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BargainBuddy
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer
    \Browser Helper Objects\{CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer
    \Browser Helper Objects\{CE188402-6EE7-4022-8868-AB25173A3E14}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{F4E04583-354E-4076-BE7D-ED6A80FD66DA}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CE188402-6EE7-4022-8868-AB25173A3E14}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F4E04583-354E-4076-BE7D-ED6A80FD66DA}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
    \{C6906A23-4717-4E1F-B6FD-F06EBED12468}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
    \{C6906A23-4717-4E1F-B6FD-F06EBED14177}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
    \{C6906A23-4717-4E1F-B6FD-F06EBED15678}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
    \{8EEE58D5-130E-4CBD-9C83-35A0564E2468}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
    \{8EEE58D5-130E-4CBD-9C83-35A0564E5678}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{4EB7BBE8-2E15-424B-9DDB-2CDB9516E2A3}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{4EB7BBE8-2E15-424B-9DDB-2CDB9516B2C3}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Apuc.UrlCatcher
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Apuc.UrlCatcher.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADP.UrlCatcher
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADP.UrlCatcher.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CB.UrlCatcher
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CB.UrlCatcher.1
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ZESOFT
    HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\_SC_ZESOFT
    HKEY_LOCAL_MACHINE\SOFTWARE\CashBack
    HKEY_LOCAL_MACHINE\SOFTWARE\NaviSearch
    HKEY_LOCAL_MACHINE\SOFTWARE\eXactUtil

  7. Saia do Editor do Registro.