Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:ADWARE/InstallMat.D
Entdeckt am:06/11/2012
Art:Adware
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig
Statische Datei:Ja
Dateigre:~ 280 000 Bytes
VDF Version:7.11.49.22 - Dienstag, 6. November 2012
IVDF Version:7.11.49.22 - Dienstag, 6. November 2012

 Allgemein ADWARE/- Adware

Zumeist unerwnschte Dateien, die Werbung einblenden. In der Regel modifiziert Adware Webseiten im Webbrowser oder ffnet zustzliche Webseiten mit Werbung. Zudem kann Adware das Surfverhalten protokollieren und auswerten. Adware wird oftmals zusammen mit einer anderen Software installiert, etwa zur kostenlosen Nutzung oder als standardmig aktivierte Installationsoption.

Anwender installieren die Adware-Komponenten, die Werbung auf dem System anzeigen, meist nicht bewusst.

Sollte eine Erkennung von diesen Dateien nicht gewnscht sein, kann diese Erkennung deaktiviert werden.


Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Symantec: Downloader
   •  Mcafee: Generic PUP.x!bxk
     Avast: Skodna.Generic.AFC
     PCTools: Downloader.Generic
   •  Eset: Win32/InstallMate
     DrWeb: Adware.Downware.448
     Norman: W32/Suspicious_Gen4.BGZMA


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Auswirkungen:
   • Erstellt Dateien
   • nderung an der Registry

 Dateien Es werden folgende Dateien erstellt:

Nicht virulente Dateien:
   • C:\Documents and Settings\Administrator\Local
      Settings\Temp\Tsu%achtstellige zufllige
      Buchstabenkombination%
.dll; C:\Documents and
      Settings\Administrator\Local Settings\Temp\%achtstellige zufllige
      Buchstabenkombination%
.dat; C:\Documents and
      Settings\Administrator\Local Settings\Temp\%achtstellige zufllige
      Buchstabenkombination%
\_Setup.dll; C:\Documents and
      Settings\Administrator\Local Settings\Temp\%achtstellige zufllige
      Buchstabenkombination%
\Setup.ico; C:\Documents and
      Settings\Administrator\Local Settings\Temp\%achtstellige zufllige
      Buchstabenkombination%
\_Setupx.dll; C:\Documents and
      Settings\Administrator\Local Settings\Temp\%achtstellige zufllige
      Buchstabenkombination%
\Setup.exe; %ALLUSERSPROFILE%\TSR8.tmp;
      %ALLUSERSPROFILE%\Application Data\TSR9.tmp; %ALLUSERSPROFILE%\Application
      Data\TSRA.tmp; %ALLUSERSPROFILE%\Application Data\TSRB.tmp;
      %ALLUSERSPROFILE%\Application
      Data\InstallMate\{F46AD279-DAAF-44D1-9E83-6D44907CAA50}\_Setup.dll;
      %ALLUSERSPROFILE%\Application
      Data\InstallMate\{F46AD279-DAAF-44D1-9E83-6D44907CAA50}\Setup.ico;
      %ALLUSERSPROFILE%\Application
      Data\InstallMate\{F46AD279-DAAF-44D1-9E83-6D44907CAA50}\_Setupx.dll;
      %ALLUSERSPROFILE%\Application
      Data\InstallMate\{F46AD279-DAAF-44D1-9E83-6D44907CAA50}\Setup.exe;
      %ALLUSERSPROFILE%\Application
      Data\InstallMate\{F46AD279-DAAF-44D1-9E83-6D44907CAA50}\TsuDll.dll;
      C:\Documents and Settings\Administrator\Local
      Settings\Temp\%achtstellige zufllige
      Buchstabenkombination%
\x86\regsvr32.exe; C:\Documents and
      Settings\Administrator\Local Settings\Temp\%achtstellige zufllige
      Buchstabenkombination%
\x64\regsvr32.exe; %ALLUSERSPROFILE%\Application
      Data\InstallMate\{F46AD279-DAAF-44D1-9E83-6D44907CAA50}\Setup.dat;
      C:\Documents and Settings\Administrator\Local Settings\Temp\sample.log




Es wird versucht folgende Datei auszufhren:

Dateiname:
   • %ALLUSERSPROFILE%\Application Data\Premium\Agent\Agent.exe

 Registry Folgender Registryschlssel wird hinzugefgt:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
   {F46AD279-DAAF-44D1-9E83-6D44907CAA50}]
   • "UninstallString"="C:\DOCUME~1\\ALLUSE~1\\APPLIC~1\\INSTAL~1\\{F46AD~1\\Setup.exe /remove /q0"
   • "QuietUninstallString"="C:\DOCUME~1\\ALLUSE~1\\APPLIC~1\\INSTAL~1\\{F46AD~1\\Setup.exe /remove /q"
   • "ModifyPath"="C:\DOCUME~1\\ALLUSE~1\\APPLIC~1\\INSTAL~1\\{F46AD~1\\Setup.exe /q0"
   • "Version"=dword:01000000
   • "VersionMajor"=dword:00000001
   • "VersionMinor"=dword:00000000
   • "EstimatedSize"=dword:000000e4
   • "Language"=dword:00000409
   • "TSAware"=dword:00000001
   • "TinFolder"="C:\Documents and Settings\\All Users\\Application Data\\InstallMate\\{F46AD279-DAAF-44D1-9E83-6D44907CAA50}"
   • "TinVersion"="7022"
   • "InstallDate"="20121204"
   • "InstallLocation"=" %ALLUSERSPROFILE%\\Application Data\\Premium\\Agent"
   • "InstallSource"="C:\%Verzeichnis in dem die Malware ausgefhrt wurde%"
   • "DisplayIcon"=" %ALLUSERSPROFILE%\\Application Data\\InstallMate\\{F46AD279-DAAF-44D1-9E83-6D44907CAA50}\\Setup.ico"
   • "DisplayName"="Agent"
   • "DisplayVersion"="1.0"
   • "Publisher"="Premium"
   • "TizPath"="C:\%Verzeichnis in dem die Malware ausgefhrt wurde% \\%Malware-Datei%"
   • "CategoryName"="Bflix"

Die Beschreibung wurde erstellt von Elias Lan am Donnerstag, 6. Dezember 2012
Die Beschreibung wurde geändert von Elias Lan am Donnerstag, 6. Dezember 2012

zurück . . . .