Adware.ZangoSearch

Versão para impressão

Atualizado: February 13, 2007 11:42:01 AM
Tipo: Adware
Versão: 6.8.196.0/6.9.95.0
Autor: 180solutions inc
Impacto do risco: Low
Nomes de arquivos: InstallerShell.exe JadeShadowInstall.exe JadeShadowSetup.exe ZangoInstaller.exe ZangoJadeShado
Sistemas afetados: Windows

Comportamento


O Adware.ZangoSearch é um programa adware que monitora o conteúdo das janelas do navegador da Internet. Ele abre as páginas da web, de websites afiliados, ao detectar certas palavras-chave nas janelas de pesquisa ou compras do navegador.

Sintomas


O produto Symantec detecta os arquivos como Adware.ZangoSearch.

Transmissão


Esse programa pode ser instalado manualmente ou como parte de outros aplicativos Zango.

Datas da proteção antivírus

  • Versão inicial do Rapid Release October 02, 2014 revisão 022
  • Última versão do Rapid Release May 26, 2018 revisão 049
  • Versão inicial diária certificada May 04, 2005
  • Última versão diária certificada May 27, 2018 revisão 003
  • Data da versão inicial semanal certificada May 04, 2005

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Atualizado: February 13, 2007 11:42:01 AM
Tipo: Adware
Versão: 6.8.196.0/6.9.95.0
Autor: 180solutions inc
Impacto do risco: Low
Nomes de arquivos: InstallerShell.exe JadeShadowInstall.exe JadeShadowSetup.exe ZangoInstaller.exe ZangoJadeShado
Sistemas afetados: Windows


Quando o Adware.ZangoSearch é ativado, ele executa as seguintes ações:

  1. Cria alguns dos seguintes arquivos:

    • %ProgramFiles%\ZangoClient\zanu.exe
    • %ProgramFiles%\ZangoClient\zanuau.dat
    • %ProgramFiles%\ZangoClient\zanuhook.dll
    • %ProgramFiles%\ZangoClient\zanu_gdf.dat
    • %ProgramFiles%\ZangoClient\zanu_kyf.dat
    • %ProgramFiles%\Zango Applications\Zango TV Times\CryptoAPI.dll
    • %ProgramFiles%\Zango Applications\Zango TV Times\Display
    • %ProgramFiles%\Zango Applications\Zango TV Times\INSTALL.LOG
    • %ProgramFiles%\Zango Applications\Zango TV Times\Loading
    • %ProgramFiles%\Zango Applications\Zango TV Times\log.txt
    • %ProgramFiles%\Zango Applications\Zango TV Times\TvSkin.dll
    • %ProgramFiles%\Zango Applications\Zango TV Times\TVTimesInstall.exe
    • %ProgramFiles%\Zango Applications\Zango TV Times\TVTimesInstaller.exe
    • %ProgramFiles%\Zango Applications\Zango TV Times\UNWISE.EXE
    • %ProgramFiles%\Zango Applications\Zango TV Times\Version
    • %ProgramFiles%\Zango Applications\Zango TV Times\Welcome
    • %ProgramFiles%\Zango Applications\Zango TV Times\ZangoInstaller.exe
    • %ProgramFiles%\Zango Applications\Zango TV Times\ZangoTVTimes.exe
    • %ProgramFiles%\Zango Games\Jade Shadow\INSTALL.LOG
    • %ProgramFiles%\Zango Games\Jade Shadow\jade.exe
    • %ProgramFiles%\Zango Games\Jade Shadow\jade.ico
    • %ProgramFiles%\Zango Games\Jade Shadow\jade0.apk
    • %ProgramFiles%\Zango Games\Jade Shadow\JadeShadowInstall.exe
    • %ProgramFiles%\Zango Games\Jade Shadow\JadeShadowInstaller.exe
    • %ProgramFiles%\Zango Games\Jade Shadow\JadeShadowSetup.exe
    • %ProgramFiles%\Zango Games\Jade Shadow\JSReadME.htm
    • %ProgramFiles%\Zango Games\Jade Shadow\UNWISE.EXE
    • %ProgramFiles%\Zango Games\Jade Shadow\ZangoInstaller.exe
    • %Windir%\Downloaded Program Files\ClientAX.dll
    • %Windir%\Downloaded Program Files\clientax.inf
    • %UserProfile%\Menu Iniciar\Programas\Zango\Uninstall Zango.lnk
    • %UserProfile%\Menu Iniciar\Programas\Zango\Zango.com.url
    • %UserProfile%\Menu Iniciar\Programas\Zango Games\Jade Shadow\Jade Shadow Readme.lnk
    • %UserProfile%\Menu Iniciar\Programas\Zango Games\Jade Shadow\Jade Shadow.lnk
    • %UserProfile%\Application Data\Zango TvTimes\My Preference\Startup.xml
    • %UserProfile%\Application Data\Zango TvTimes\My Preference\TVTimesNotify.xml
    • %UserProfile%\Application Data\Zango TvTimes\My Preference\TVTimesPreference
    • %UserProfile%\Application Data\Zango TvTimes\Others\Default
    • %UserProfile%\Application Data\Zango TvTimes\Others\ErrorXml
    • %UserProfile%\Application Data\Zango TvTimes\Others\ErrorXmlBackUp
    • %UserProfile%\Application Data\Zango TvTimes\Others\General
    • %UserProfile%\Desktop\Jade Shadow.lnk
    • %UserProfile%\Desktop\ZangoTVTimes.lnk
    • %ProgramFiles%\Zango\Uninstall Zango Instructions.lnk
    • %ProgramFiles%\Zango\Zango.com.url
    • %ProgramFiles%\Zango Applications\Zango TV Times\ZangoTVTimes.lnk


      Notas:
    • %Windir% é uma variável que se refere à pasta de instalação do Windows. Por padrão, é C:\Windows ou C:\Winnt.
    • %UserProfile% é uma variável que se refere à pasta de perfil do usuário atual. Por padrão, é C:\Documents and Settings\<Nome do Usuário Atual> (no Windows NT/2000/XP).
    • %ProgramFiles% é uma variável que se refere à pasta Arquivos de programas. Por padrão, é C:\Arquivos de programas.

  2. Adiciona os valores:

    "zanu" = "%ProgramFiles%\ZangoClient\zanu.exe"
    "Zango TvTimes" = "C:\PROGRA~1\ZANGOA~1\ZANGOT~1\ZANGOT~1.EXE" :auto"

    à subchave de registro:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    para que o adware seja executado sempre que o Windows for iniciado.

  3. Cria a seguinte subchave de registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Explorer\Browser Helper Objects\{21B4ACC4-8874-4AEC-AEAC-F567A249B4D4}

    para que o adware seja executado sempre que o Internet Explorer for iniciado.

  4. Cria as seguintes subchaves de registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
    \{0AC49246-419B-4EE0-8917-8818DAAD6A4E}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
    \{21B4ACC4-8874-4AEC-AEAC-F567A249B4D4}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
    \{99410CDE-6F16-42ce-9D49-3807F78F0287}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
    \{2B0ECEAC-F597-4858-A542-D966B49055B9}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
    \{7B178417-3CDA-444F-94FF-312C0A3A78A8}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
    \{DDEA2E1D-8555-45E5-AF09-EC9AA4EA27AD}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
    \{F1F1E775-1B21-454D-8D38-7C16519969E5}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib
    \{5B6689B5-C2D4-4DC7-BFD1-24AC17E5FCDA}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib
    \{68BF4626-D66B-4383-A6AF-62E57E9B6CD4}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib
    \{E5B57AB3-15F8-43A2-ABAC-3E58A9C25818}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.ClientInstaller
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.ClientInstaller.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.RequiredComponent
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.RequiredComponent.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ncmyb.SABHO
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ncmyb.SABHO.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
    \CurrentVersion\Uninstall\Jade Shadow
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
    \CurrentVersion\Uninstall\Zango TV Times
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
    \CurrentVersion\Uninstall\zanu
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{99410CDE-6F16-42ce-9D49-3807F78F0287}
    HKEY_LOCAL_MACHINE\SOFTWARE\zanu
    HKEY_CURRENT_USER\Software\zanu

  5. Altera o valor:

    "LoginSessionDisable" = "1"

    na subchave de registro:

    HKEY_CURRENT_USER\Software\Microsoft\RAS Autodial\Control

    para evitar que o computador, automaticamente, estabeleça uma conexão dial-up quando o adware tentar acessar a Internet.

  6. Monitora os conteúdos das janelas do Internet Explorer. Quando certas palavras-chave são detectadas nas janelas de pesquisa ou compras do navegador da Internet, o adware exibe a página da web de um site afiliado.

  7. Monitora o estado do adware e pode repará-lo se ele for parcialmente removido.


Atualizado: February 13, 2007 11:42:01 AM
Tipo: Adware
Versão: 6.8.196.0/6.9.95.0
Autor: 180solutions inc
Impacto do risco: Low
Nomes de arquivos: InstallerShell.exe JadeShadowInstall.exe JadeShadowSetup.exe ZangoInstaller.exe ZangoJadeShado
Sistemas afetados: Windows


As instruções a seguir aplicam-se a todos os produtos antivírus Symantec que suportam a detecção de Riscos à Segurança.

  1. Atualize as definições.
  2. Desinstalando o risco à segurança
  3. Execute uma verificação completa do sistema.
  4. Exclua todos os valores adicionados ao Registro.
Para mais informações sobre cada uma dessas etapas, consulte as instruções a seguir.

1. Atualizando as definições de vírus
Para obter as definições mais recentes, inicie o produto Symantec e execute o LiveUpdate.

2. Desinstalando o adware
Esse risco à segurança inclui um utilitário de desinstalação. Para desinstalar esse risco à segurança, complete as seguintes instruções:
  1. Clique em Iniciar > Configurações > Painel de controleou Iniciar > Painel de controle (isso varia dependendo do sistema operacional).

  2. Na janela do Painel de Controle, clique duas vezes em Adicionar ou remover programas.

    Somente no Windows Me: Se não visualizar o ícone Adicionar ou remover programas, clique em...exibir todas as opções do Painel de controle.

  3. Clique em Zango search tool.

    Nota:
    Talvez seja necessário utilizar a barra de rolagem para exibir a lista inteira.

  4. Clique em Adicionar/Remover, Alterar/Remover ou Remover (os nomes variam dependendo do sistema operacional). Siga as indicações na tela.

    Nota: Após executar o utilitário Adicionar ou remover programas, é provável que todos os arquivos tenham sido removidos. É aconselhável executar uma verificação completa do sistema para assegurar-se de que não sobrou nenhum arquivo. Entretanto, é possível que nenhum arquivo seja detectado após utilizar o Adicionar ou remover programas.

3. Executando a verificação
  1. Inicie o produto antivírus Symantec e execute uma verificação completa do sistema.
  2. Se qualquer arquivo for detectado, dependendo da versão do programa utilizada, é possível que uma ou mais das seguintes opções sejam exibidas:

    Nota: Isso somente se aplica às versões do Norton AntiVirus que suportam a detecção de riscos à segurança. Se estiver executando uma versão do Symantec AntiVirus Corporate Edition que suporta a detecção de riscos à segurança e esta estiver ativada, somente uma mensagem com os resultados da verificação será exibida. Se tiver dúvidas em relação a isso, entre em contato com o administrador da rede.
    • Excluir (Não recomendado): Se clicar nesse botão, isso fará com que o risco nunca mais seja detectado. Ou seja, o programa antivírus conservará o risco à segurança no computador e não o detectará mais para removê-lo do computador.

    • Ignorar: Esta opção faz com que a verificação ignore o risco somente nessa verificação. Ele será detectado novamente da próxima vez que uma verificação for executada.

    • Cancelar: Essa opção é nova no Norton AntiVirus 2005. Ela é utilizada quando o programa determina que não pode excluir um risco à segurança. A opção Cancelar faz com que a verificação ignore o risco à segurança somente nessa verificação e, assim, o risco será detectado novamente da próxima vez que uma verificação for executada.

      Para realmente excluir o adware:
      • Clique no nome do arquivo do risco (sob a coluna Nome do arquivo).
      • Na caixa de diálogo Informações do item que é exibida, anote o caminho completo e o nome do arquivo.
      • Depois utilize o Windows Explorer para localizar e excluir o arquivo.

        Se o Windows informar que não pode excluir o arquivo, isso indica que ele está sendo utilizado. Nesse caso, complete o resto das instruções na página reinicie o computador no Modo de Segurançae exclua o arquivo utilizando o Windows Explorer. Reinicie o computador no Modo Normal.

    • Excluir: Essa opção tentará eliminar os arquivos detectados. Em alguns casos, a verificação não conseguirá excluí-los.
      • Se a seguinte mensagem for exibida, Falha ao excluir (ou uma mensagem similar), exclua manualmente o arquivo.
      • Clique no nome do arquivo do risco que está sob a coluna Nome do arquivo.
      • Na caixa de diálogo Informações do item que é exibida, anote o caminho completo e o nome do arquivo.
      • Depois utilize o Windows Explorer para localizar e excluir o arquivo.

        Se o Windows informar que não pode excluir o arquivo, isso indica que ele está sendo utilizado. Nesse caso, complete o resto das instruções na página reinicie o computador no Modo de Segurançae exclua o arquivo utilizando o Windows Explorer. Reinicie o computador no Modo Normal.

Importante: Se o produto antivírus Symantec informar que não pode excluir um arquivo detectado, é provável que o Windows esteja utilizando o arquivo. Para solucionar isso, execute a verificação no Modo de Segurança. Para mais informações, consulte o documento Iniciando o computador no Modo de Segurança . Assim que tiver reiniciado no Modo de Segurança, execute a verificação novamente.

Após os arquivos terem sido detectados, reinicie o computador no modo Normal e continue na próxima seção.

É provável que mensagens de aviso sejam exibidas ao reiniciar o computador, devido a que o risco pode não ter sido completamente removido até esse momento. Ignore essas mensagens e clique em OK. As mensagens não serão exibidas se o computador for reiniciado após as instruções de remoção terem sido totalmente completadas. As mensagens exibidas podem ser similares às seguintes:

Título: [Caminho do arquivo]
Corpo da mensagem: O Windows não pôde localizar o [nome do arquivo]. Certifique-se de ter digitado o nome corretamente e tente novamente. Para procurar um arquivo, clique em Iniciar > Pesquisar.

4. Excluindo o valor do registro
AVISO: É altamente recomendável que você faça backup do Registro do sistema antes de efetuar quaisquer alterações. Alterações incorretas no registro podem resultar na perda permanente de dados ou em arquivos corrompidos. Altere somente as chaves que são especificadas. Consulte o documento Fazendo um backup do Registro do Windows para mais informações.
  1. Clique em Iniciar > Executar.
  2. Digite regedit
  3. Clique em OK.

    Nota: Se não conseguir abrir o Editor do registro, o risco pode ter alterado o registro para evitar o acesso ao Editor do registro. O Security Response criou uma ferramentapara solucionar esse problema. Faça o download e execute essa ferramentae continue com a remoção.

  4. Vá até a subchave:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

  5. No painel direito, exclua os valores:

    "zanu" = "%ProgramFiles%\ZangoClient\zanu.exe"
    "Zango TvTimes" = ""C:\PROGRA~1\ZANGOA~1\ZANGOT~1\ZANGOT~1.EXE" :auto"

  6. Vá até, e exclua, as seguintes subchaves:

    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
    \{0AC49246-419B-4EE0-8917-8818DAAD6A4E}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
    \{21B4ACC4-8874-4AEC-AEAC-F567A249B4D4}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
    \{99410CDE-6F16-42ce-9D49-3807F78F0287}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
    \{2B0ECEAC-F597-4858-A542-D966B49055B9}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
    \{7B178417-3CDA-444F-94FF-312C0A3A78A8}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
    \{DDEA2E1D-8555-45E5-AF09-EC9AA4EA27AD}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
    \{F1F1E775-1B21-454D-8D38-7C16519969E5}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib
    \{5B6689B5-C2D4-4DC7-BFD1-24AC17E5FCDA}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib
    \{68BF4626-D66B-4383-A6AF-62E57E9B6CD4}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib
    \{E5B57AB3-15F8-43A2-ABAC-3E58A9C25818}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.ClientInstaller
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.ClientInstaller.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.RequiredComponent
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.RequiredComponent.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ncmyb.SABHO
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ncmyb.SABHO.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
    \CurrentVersion\Uninstall\Jade Shadow
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
    \CurrentVersion\Uninstall\Zango TV Times
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
    \CurrentVersion\Uninstall\zanu
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{99410CDE-6F16-42ce-9D49-3807F78F0287}
    HKEY_LOCAL_MACHINE\SOFTWARE\zanu
    HKEY_CURRENT_USER\Software\zanu

  7. Saia do Editor do Registro.

  8. Vá até a subchave:

    HKEY_CURRENT_USER\Software\Microsoft\RAS Autodial\Control

  9. No painel direito, defina o valor:

    "LoginSessionDisable" = "0"

  10. Saia do Editor do Registro.