moin moin,
du hast dir Adware eingefangen…
da: http://www.symantec.com/region/de/techsupp/avcenter/…
ist ein schoener Artikel drueber.
Dateinamen: InstallerShell.exe
JadeShadowInstall.exe
JadeShadowSetup.exe
ZangoInstaller.exe
ZangoJadeShadow.exe
ZangoTVTimes.exe
zanu.exe
Bei Ausführung führt Adware.ZangoSearch folgende Aktivitäten durch:
- Erstellt einige der folgenden Dateien:
* %Programme%\ZangoClient\zanu.exe
* %ProgramFiles%\ZangoClient\zanuau.dat
* %ProgramFiles%\ZangoClient\zanu_gdf.dat
* %ProgramFiles%\ZangoClient\zanu_kyf.dat
* %ProgramFiles%\Zango Applications\Zango TV Times\CryptoAPI.dll
* %ProgramFiles%\Zango Applications\Zango TV Times\Display
* %ProgramFiles%\Zango Applications\Zango TV Times\INSTALL.LOG
* %ProgramFiles%\Zango Applications\Zango TV Times\Loading
* %ProgramFiles%\Zango Applications\Zango TV Times\log.txt
* %ProgramFiles%\Zango Applications\Zango TV Times\TvSkin.dll
* %ProgramFiles%\Zango Applications\Zango TV Times\TVTimesInstall.exe
* %ProgramFiles%\Zango Applications\Zango TV Times\TVTimesInstaller.exe
* %ProgramFiles%\Zango Applications\Zango TV Times\UNWISE.EXE
* %ProgramFiles%\Zango Applications\Zango TV Times\Version
* %ProgramFiles%\Zango Applications\Zango TV Times\Welcome
* %ProgramFiles%\Zango Applications\Zango TV Times\ZangoInstaller.exe
* %ProgramFiles%\Zango Applications\Zango TV Times\ZangoTVTimes.exe
* %ProgramFiles%\Zango Games\Jade Shadow\INSTALL.LOG
* %ProgramFiles%\Zango Games\Jade Shadow\jade.exe
* %ProgramFiles%\Zango Games\Jade Shadow\jade.ico
* %ProgramFiles%\Zango Games\Jade Shadow\jade0.apk
* %ProgramFiles%\Zango Games\Jade Shadow\JadeShadowInstall.exe
* %ProgramFiles%\Zango Games\Jade Shadow\JadeShadowInstaller.exe
* %ProgramFiles%\Zango Games\Jade Shadow\JadeShadowSetup.exe
* %ProgramFiles%\Zango Games\Jade Shadow\JSReadME.htm
* %ProgramFiles%\Zango Games\Jade Shadow\UNWISE.EXE
* %ProgramFiles%\Zango Games\Jade Shadow\ZangoInstaller.exe
* %UserProfile%\Startmenü\Programme\Zango\Uninstall Zango.lnk
* %UserProfile%\Startmenü\Programme\Zango\Zango.com.url
* %UserProfile%\Startmenü\Programme\Zango Games\Jade Shadow\Jade Shadow Readme.lnk
* %UserProfile%\Startmenü\Programme\Zango Games\Jade Shadow\Jade Shadow.lnk
* %UserProfile%\Anwendungsdaten\Zango TvTimes\My Preference\Startup.xml
* %UserProfile%\Anwendungsdaten\Zango TvTimes\My Preference\TVTimesNotify.xml
* %UserProfile%\Anwendungsdaten\Zango TvTimes\My Preference\TVTimesPreference
* %UserProfile%\Anwendungsdaten\Zango TvTimes\Others\Default
* %UserProfile%\Anwendungsdaten\Zango TvTimes\Others\ErrorXml
* %UserProfile%\Anwendungsdaten\Zango TvTimes\Others\ErrorXmlBackUp
* %UserProfile%\Anwendungsdaten\Zango TvTimes\Others\General
* %UserProfile%\Desktop\Jade Shadow.lnk
* %UserProfile%\Desktop\ZangoTVTimes.lnk
* %ProgramFiles%\Zango\Uninstall Zango Instructions.lnk
* %ProgramFiles%\Zango\Zango.com.url
* %ProgramFiles%\Zango Applications\Zango TV Times\ZangoTVTimes.lnk
Hinweise:
* %Windir% ist eine Variable und bezieht sich auf den Windows-Installationsordner. In der Regel ist dies C:\Windows oder C:\Winnt.
* %UserProfile% ist eine Variable, die sich auf den aktuellen Benutzerprofil-Ordner bezieht. Standardmäßig ist dies C:\Dokumente und Einstellungen\ (Windows NT/2000/XP).
* %ProgramFiles% ist eine Variable, die sich auf den Programmdateienordner bezieht. Standardmäßig ist dies C:\Programme.
- Fügt die Werte:
„zanu“ = „%ProgramFiles%\ZangoClient\zanu.exe“
„Zango TvTimes“ = „C:\PROGRA~1\ZANGOA~1\ZANGOT~1\ZANGOT~1.EXE“ :auto"
dem folgenden Registrierungsunterschlüssel hinzu:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Dadurch wird das Sicherheitsrisiko ausgeführt, sobald Windows gestartet wird.
- Erstellt den folgenden Registrierungsunterschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Browser Helper Objects{21B4ACC4-8874-4AEC-AEAC-F567A249B4D4}
Dadurch wird das Sicherheitsrisiko ausgeführt, sobald Internet Explorer gestartet wird.
- Erstellt die folgenden Registrierungsunterschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib
{E5B57AB3-15F8-43A2-ABAC-3E58A9C25818}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Uninstall\Jade Shadow
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Uninstall\Zango TV Times
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Uninstall\zanu
HKEY_LOCAL_MACHINE\SOFTWARE\zanu
HKEY_CURRENT_USER\Software\zanu
- Ändert den Wert:
„LoginSessionDisable“ = „1“
im Registrierungsunterschlüssel:
HKEY_CURRENT_USER\Software\Microsoft\RAS Autodial\Control
Dadurch wird verhindert, dass der Computer automatisch eine DFÜ-Verbindung herstellt, wenn das Sicherheitsrisiko versucht, auf das Internet zuzugreifen.
-
Überwacht den Inhalt von Internet Explorer-Fenstern. Wenn bestimmte Schlüsselwörter in Web-Suchfenstern oder Einkaufs-Browser-Fenstern entdeckt werden, zeigt das Sicherheitsrisiko die Webseite einer Partner-Site an.
-
Überwacht den Status des Sicherheitsrisiko und kann es reparieren, wenn es teilweise entfernt wurde.
have a lot of fun
Andreas