Adware.180Solutions

Versão para impressão

Atualizado: February 13, 2007 11:44:09 AM
Tipo: Adware
Versão: n/a
Autor: 180 Solutions Inc
Impacto do risco: Medium
Nomes de arquivos: ClientAX.dll,zanuhook.dll,saishook.dll,180axhook.dll,salmhook.dll,sachook.dll,saiehook.dll,saaphook.
Sistemas afetados: Windows

Comportamento


O Adware.180Solutions é o componente compartilhado entre o Adware.180Search e o Adware.ZangoSearch.

Sintomas


O produto Symantec detecta o Adware.180Solutions.

Transmissão


Este risco à segurança pode ser instalado como parte de outro programa.

Datas da proteção antivírus

  • Versão inicial do Rapid Release October 02, 2014 revisão 022
  • Última versão do Rapid Release July 10, 2019 revisão 004
  • Versão inicial diária certificada September 01, 2005
  • Última versão diária certificada July 10, 2019 revisão 007
  • Data da versão inicial semanal certificada September 07, 2005

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.


Detalhes técnicos


Ao ser ativado, o Adware.180Solutions executa as seguintes ações:

  1. Cria a seguinte sub-chave de registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Explorer\Browser Helper Objects\{21B4ACC4-8874-4AEC-AEAC-F567A249B4D4}

    para que o risco à segurança seja executado quando o Internet Explorer for iniciado.

  2. Adiciona as seguintes chaves ao Registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
    \{0AC49246-419B-4EE0-8917-8818DAAD6A4E}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
    \{21B4ACC4-8874-4AEC-AEAC-F567A249B4D4}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
    \{99410CDE-6F16-42ce-9D49-3807F78F0287}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
    \{2B0ECEAC-F597-4858-A542-D966B49055B9}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
    \{7B178417-3CDA-444F-94FF-312C0A3A78A8}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
    \{DDEA2E1D-8555-45E5-AF09-EC9AA4EA27AD}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
    \{F1F1E775-1B21-454D-8D38-7C16519969E5}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib
    \{5B6689B5-C2D4-4DC7-BFD1-24AC17E5FCDA}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib
    \{68BF4626-D66B-4383-A6AF-62E57E9B6CD4}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.ClientInstaller
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.ClientInstaller.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.RequiredComponent
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.RequiredComponent.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ncmyb.SABHO
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ncmyb.SABHO.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database
    \Distribution Units\{99410CDE-6F16-42ce-9D49-3807F78F0287}

  3. Cria um ou mais dos seguintes arquivos:

    • %ProgramFiles%\180SearchAssistant\saishook.dll
    • %ProgramFiles%\180search Assistant\sauhook.dll
    • %ProgramFiles%\180SearchAssistant\saaphook.dll
    • %ProgramFiles%\180SearchAssistant\salmhook.dll
    • %ProgramFiles%\180SearchAssistant\saiehook.dll
    • %ProgramFiles%\180SearchAssistant\sachook.dll
    • %ProgramFiles%\ZangoClient\zanuhook.dll
    • %Windir%\Downloaded Program Files\ClientAX.dll
    • %Windir%\Downloaded Program Files\ClientAX.inf
    • %Windir%\salmhook.dll

      Notas:
    • %ProgramFiles% é uma variável que se refere à pasta de arquivos de programas. Por padrão é C:\Arquivos de programas.
    • %Windir% é uma variável que se refere a uma pasta de instalação do Windows. Por padrão é C:\Windows (Windows 95/98/Me/XP) ou C:\Winnt (Windows NT/2000).


Remoção


As instruções a seguir se aplicam a todos os produtos antivírus Symantec que suportam a detecção de riscos à segurança.

  1. Atualize as definições de vírus.
  2. Desinstale o risco à segurança.
  3. Execute uma verificação completa do sistema.
  4. Apague todos os valores adicionados ao registro.
Para mais informações sobre cada uma dessas etapas, consulte as instruções a seguir.

1. Atualizando as definições de vírus
Para obter as definições mais recentes, inicie o produto Symantec e execute o LiveUpdate.


2. Desinstalando o risco à segurança
Este risco à segurança inclui um utilitário de desinstalação. Para desinstalar o risco à segurança, complete as instruções a seguir:
  1. Clique em Iniciar > Configurações > Painel de controle ou Iniciar > Painel de controle (isto varia de acordo com o sistema operacional).

  2. Na janela do Painel de controle, clique duas vezes em Adicionar ou remover programas.

    Somente no Windows Me: se não visualizar o ícone Adicionar ou remover programas, clique em ...exibir todas as opções do Painel de controle.

  3. Clique em <NOME>.

    Notas:
    • Pode ser necessário utilizar a barra de rolagem para exibir a lista inteira.
    • O <NOME> pode ser um dos seguintes: 180ax, msbb, sac, sain, salm, sais, zanu

  4. Clique em Adicionar/Remover, Alterar/Remover ou em Remover (os nomes variam dependendo do sistema operacional). Siga as indicações.

    Nota: após executar o utilitário Adicionar ou remover programas, é provável que todos os arquivos tenham sido removidos. Execute uma verificação completa do sistema para se certificar de que esse é o caso. É possível que nenhum arquivo seja detectado após a utilização do recurso Adicionar ou remover programas.
    3. Executando a verificação
    1. Inicie o produto antivírus Symantec e execute uma verificação completa do sistema.
    2. Se algum arquivo for detectado, dependendo da versão do software que estiver utilizando é possível ver uma ou mais das opções a seguir:

      Nota: isso somente se aplica às versões do Norton AntiVirus que suportam a detecção de riscos à segurança. Se estiver executando uma versão do Symantec AntiVirus Corporate Edition que suporta a detecção de riscos à segurança e essa opção estiver ativada, somente será possível ver uma caixa de mensagem fornecendo os resultados da verificação. Se tiver dúvidas em relação a essa situação, entre em contato com o administrador de rede.
      • Excluir (Não recomendado): se clicar nesse botão, o risco à segurança será definido de forma a não ser mais detectado. Isto é, o programa antivírus manterá o risco à segurança no computador e não o detectará futuramente para que seja removido.

      • Ignorar: esta opção ignora o risco à segurança somente na verificação em execução no momento. O risco à segurança será detectado novamente da próxima vez que uma verificação for executada.

      • Cancelar: esta é uma nova opção do Norton AntiVirus 2005 que é utilizada quando o programa determina que não é possível apagar um risco à segurança. Essa opção ignora o risco à segurança somente nessa verificação. Assim, o risco à segurança será detectado novamente da próxima vez que uma verificação for executada.

        Para apagar de fato o risco à segurança:
        • Clique no nome do arquivo (sob a coluna Nome do arquivo).
        • Nas informações do item que são exibidas, anote o caminho completo e o nome do arquivo.
        • Depois, utilize o Windows Explorer para localizar e apagar o arquivo.

      • Apagar: esta opção tentará apagar os arquivos detectados. Em alguns casos, não será possível fazer isso.
        • Se a seguinte mensagem for exibida: “Falha na exclusão” (ou mensagem semelhante), apague o arquivo manualmente.
        • Sob a coluna Nome do arquivo, clique no nome do arquivo do risco à segurança.
        • Nas informações do item que são exibidas, anote o caminho completo e o nome do arquivo.
        • Depois, utilize o Windows Explorer para localizar e apagar o arquivo.

    Importante: se não for possível iniciar antivírus da Symantec ou se o produto relatar que não é possível apagar um arquivo detectado, será necessário interromper a atividade do arquivo antes de removê-lo. Para fazer isso, execute a verificação em Modo de Segurança. Para mais informações sobre como fazer isso, consulte o documento Iniciando o computador em Modo de Segurança . Assim que tiver reiniciado em Modo de Segurança, execute a verificação novamente.

    Após apagar os arquivos, reinicie o computador em Modo Normal e vá para a próxima seção.

    É provável que mensagens de aviso sejam exibidas ao reiniciar o computador, devido ao risco à segurança não ter sido completamente removido até este momento. Ignore essas mensagens e clique em OK . As mensagens não serão exibidas quando o computador for reiniciado após as instruções de remoção terem sido totalmente completadas. As mensagens exibidas podem ser similares às seguintes:

    Título: [Caminho do arquivo]
    Corpo da mensagem: O Windows não pode localizar o [NOME DO ARQUIVO]. Certifique-se de ter digitado o nome corretamente e tente novamente. Para procurar um arquivo, clique em Iniciar &gt; Pesquisar.


    4. Removendo as alterações feitas no registro
    AVISO: É altamente recomendável que você faça backup do Registro do sistema antes de efetuar quaisquer alterações. Alterações incorretas no Registro podem resultar na perda permanente de dados ou em arquivos corrompidos. Altere somente as chaves especificadas. Consulte o documento Fazendo backup do Registro do Windows para obter mais informações.
    1. Clique em Iniciar > Executar.
    2. Digite   regedit
    3. Clique em OK.

      Nota: se não for possível abrir o Editor do registro, o risco pode ter alterado o registro para evitar o acesso ao Editor do Registro. O Security Response criou uma ferramenta para solucionar esse problema. Faça o download e execute essa ferramenta e, em seguida, continue com o processo de remoção.
    4. Apague as seguintes sub-chaves de registro, se existirem:

      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
      \{0AC49246-419B-4EE0-8917-8818DAAD6A4E}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
      \{99410CDE-6F16-42ce-9D49-3807F78F0287}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
      \{2B0ECEAC-F597-4858-A542-D966B49055B9}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
      \{DDEA2E1D-8555-45E5-AF09-EC9AA4EA27AD}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
      \{F1F1E775-1B21-454D-8D38-7C16519969E5}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib
      \{5B6689B5-C2D4-4DC7-BFD1-24AC17E5FCDA}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.ClientInstaller
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.ClientInstaller.1
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.RequiredComponent
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.RequiredComponent.1
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units
      \{99410CDE-6F16-42ce-9D49-3807F78F0287}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
      \{21B4ACC4-8874-4AEC-AEAC-F567A249B4D4}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
      \{7B178417-3CDA-444F-94FF-312C0A3A78A8}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib
      \{68BF4626-D66B-4383-A6AF-62E57E9B6CD4}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ncmyb.SABHO
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ncmyb.SABHO.1

    5. Saia do Editor do Registro.