Вирусная лаборатория Avira

Adware/InstallRex.O

  • Имя
    Adware/InstallRex.O
  • Date discovered
    15 янв. 2016 г.
  • Тип
    Adware
  • Воздействие
    Низкий 
  • Сообщения о заражении
    Низкий 
  • Операционная система
    Windows
  • Версия VDF
    7.11.57.110 (2013-01-15 23:18)

Позволяет обнаружить ПО, размещающее рекламу, обычно в Интернет-браузере, изменяя отображаемые страницы или открывая дополнительные страницы с рекламой. Это рекламное ПО, как правило, устанавливается самими пользователями или приходит с другими устанавливаемыми программами (в обмен на использование бесплатного ПО или как настройка по умолчанию). Пользователи могут не знать об установке такой программы или особенностях ее поведения. Это обнаружение предназначено для пометки файлов и поведения как части легитимного ПО, отображающего рекламу. Данная функция обнаружения может быть отключена, но рекомендуется, если пользователь знает о программном обеспечении, установленном на его/ее системе, и не хочет, чтобы этот тип ПО был обнаружен.

Операционная система: Microsoft Windows.

  • VDF
    7.11.57.110 (2013-01-15 23:18)
  • Alias
    ClamAV: Win.Trojan.Antifw-123
    Dr. Web: Adware.Downware.1541
    F-PROT: W32/InstallRex.B (exact)
    Microsoft: BrowserModifier:Win32/Diplugem
    G Data: Win32.Application.InstalleRex.F
    Kaspersky Lab: Trojan.Win32.AntiFW.a
    ESET: Win32/InstalleRex.K application
  • Файлы
    Следующие файлы удалены:
    • %TEMPDIR%\TsuE6BDB9F7.dll
    • %TEMPDIR%\51D6A11C.dat
    • %TEMPDIR%\{22E114D5-422D-4A1C-A8F7-0A0FF9023623}\_Setup.dll
    • %TEMPDIR%\{22E114D5-422D-4A1C-A8F7-0A0FF9023623}\Setup.ico
    • %TEMPDIR%\{22E114D5-422D-4A1C-A8F7-0A0FF9023623}\Readme.txt
    • %TEMPDIR%\{22E114D5-422D-4A1C-A8F7-0A0FF9023623}\Custom.dll
    • %TEMPDIR%\{22E114D5-422D-4A1C-A8F7-0A0FF9023623}\Setup.exe
    • %TEMPDIR%\down.1536.1.ini.part
    • %TEMPDIR%\{22E114D5-422D-4A1C-A8F7-0A0FF9023623}\x86\regsvr32.exe
    • %TEMPDIR%\{22E114D5-422D-4A1C-A8F7-0A0FF9023623}\x64\regsvr32.exe
    • %TEMPDIR%\_tin6228.bat
    • %TEMPDIR%\{22E114D5-422D-4A1C-A8F7-0A0FF9023623}\x64
    • %TEMPDIR%\{22E114D5-422D-4A1C-A8F7-0A0FF9023623}\x86
    • %TEMPDIR%\{22E114D5-422D-4A1C-A8F7-0A0FF9023623}
    Следующие файлы созданы:
    • %TEMPDIR%\TsuE6BDB9F7.dll
    • %TEMPDIR%\51D6A11C.dat
    • %TEMPDIR%\{22E114D5-422D-4A1C-A8F7-0A0FF9023623}\_Setup.dll
    • %TEMPDIR%\{22E114D5-422D-4A1C-A8F7-0A0FF9023623}\Setup.ico
    • %TEMPDIR%\{22E114D5-422D-4A1C-A8F7-0A0FF9023623}\Readme.txt
    • %TEMPDIR%\{22E114D5-422D-4A1C-A8F7-0A0FF9023623}\Custom.dll
    • %TEMPDIR%\{22E114D5-422D-4A1C-A8F7-0A0FF9023623}\Setup.exe
    • %TEMPDIR%\down.1536.1.ini.part
    • %temporary internet files%\Content.IE5\A9SFWXZG\CABIL747.htm
    • %TEMPDIR%\down.1536.1.ini
    • %DISKDRIVE%\Documents and Settings\All Users\Application Data\InstallMate\{22E114D5-422D-4A1C-A8F7-0A0FF9023623}\_Setup.dll
    • %DISKDRIVE%\Documents and Settings\All Users\Application Data\InstallMate\{22E114D5-422D-4A1C-A8F7-0A0FF9023623}\Setup.ico
    • %DISKDRIVE%\Documents and Settings\All Users\Application Data\InstallMate\{22E114D5-422D-4A1C-A8F7-0A0FF9023623}\Readme.txt
    • %DISKDRIVE%\Documents and Settings\All Users\Application Data\InstallMate\{22E114D5-422D-4A1C-A8F7-0A0FF9023623}\Custom.dll
    • %DISKDRIVE%\Documents and Settings\All Users\Application Data\InstallMate\{22E114D5-422D-4A1C-A8F7-0A0FF9023623}\Setup.exe
    • %DISKDRIVE%\Documents and Settings\All Users\Application Data\InstallMate\{22E114D5-422D-4A1C-A8F7-0A0FF9023623}\TsuDll.dll
    • %TEMPDIR%\{22E114D5-422D-4A1C-A8F7-0A0FF9023623}\x86\regsvr32.exe
    • %TEMPDIR%\{22E114D5-422D-4A1C-A8F7-0A0FF9023623}\x64\regsvr32.exe
    • %TEMPDIR%\_tin6228.bat
    • %DISKDRIVE%\Documents and Settings\All Users\Application Data\InstallMate\{22E114D5-422D-4A1C-A8F7-0A0FF9023623}\Setup.dat
    • %TEMPDIR%\sample.log
    Следующие файлы переименованы:
    • %TEMPDIR%\down.1536.1.ini
    • %TEMPDIR%\sample.log
  • Реестр
    Добавляются следующие ключи реестра:
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{22E114D5-422D-4A1C-A8F7-0A0FF9023623} ("UninstallString": "%DISKDRIVE%\DOCUME~1\ALLUSE~1\APPLIC~1\INSTAL~1\{22E11~1\Setup.exe /remove /q0"; "QuietUninstallString": "%DISKDRIVE%\DOCUME~1\ALLUSE~1\APPLIC~1\INSTAL~1\{22E11~1\Setup.exe /remove /q"; "Version": dword:01000000; "VersionMajor": dword:00000001; "VersionMinor": dword:00000000; "EstimatedSize": dword:00000000; "Language": dword:00000409; "TSAware": dword:00000001; "TizPath": "%FILE_PATH%")
  • Запросы HTTP
    • r1.*****zip.info/?report_version=5&
    • c1.*****zip.info/?step_id=1&installer_id=15917783769173592366&publisher_id=1341&source_id=0&page_id=0&country_code=TH&locale=EN&browser_id=4&download_id=5200570270919320908&external_id=0&session_id=5380260787468622039&hardware_id=17407712699240677738&installer_file_name=Yu-Gi-Oh%21+5D%27s+Tag+Force+6.rar&product_name=Yu-Gi-Oh%21+5D%27s+Tag+Force+6.rar&filesize=

Чтобы сделать Интернет безопаснее, отправляйте нам подозрительные файлы и URL-адреса для анализа.

Отправить файл или URL-адрес или Перейти к Avira Answers

Зачем отправлять подозрительные файлы?

Если вы обнаружили подозрительный файл или веб-сайт, которого нет в нашей базе данных, мы проанализируем его и определим, является ли он вредоносным. Затем результаты анализа получат миллионы наших пользователей при следующем обновлении базы данных по вирусам. Если у вас установлено приложение Avira, вы тоже получите такое обновление. У вас не установлено приложение Avira? Загрузите его с нашей домашней страницы.

Что такое Avira Answers?

Это наше активно развивающееся сообщество технических профессионалов и внештатных экспертов, работающих совместно для решения технических проблем. Это идеальная возможность задать свой вопрос сообществу таких же пользователей Avira.