Laboratório de vírus Avira

PUA/Firseria.G.5585

  • Nome
    PUA/Firseria.G.5585
  • Data em que surgiu
    06/10/2015
  • Tipo
    Potential Unwanted Application
  • Impacto
    Baixo 
  • Infecções relatadas
    Baixo 
  • Sistema operacional
    Windows
  • Versão do VDF
    7.11.246.20 (2015-07-07 22:11)

Esta classe de sinalizadores de detecção, Aplicativos potencialmente indesejados (PUA), poderá comprometer a privacidade do usuário e a segurança do sistema local. Esses são aplicativos legítimos que frequentemente tentam usar a engenharia social para que o usuário instale ofertas adicionais durante a instalação do software que o usuário pretendia originalmente. A classificação PUA de um aplicativo é o resultado de um software, anúncio ou site que exibe um ou mais comportamentos e/ou propriedades ofensivos. A lista completa de Aplicativos potencialmente indesejados está disponível em http://www.avira.com/en/potentially-unwanted-applications. Esta detecção não significa que o arquivo é malicioso. No entanto, se o arquivo tiver sido instalado no sistema sem o conhecimento do usuário, a privacidade do usuário ou a segurança do sistema poderão estar comprometidas. A desativação dessa detecção somente é recomendada para usuários avançados que compreendem os riscos envolvidos e sabem como usar estes aplicativos.

  • VDF
    7.11.246.20 (2015-07-07 22:11)
  • Alias
    Dr. Web: Adware.Downware.11822
    G Data: Application.Bundler.Firseria.M
    Kaspersky Lab: not-a-virus:Downloader.Win32.Morstar.as
    Bitdefender: Application.Bundler.Firseria.M
    ESET: MSIL/Solimba.AC application
  • Arquivos
    Os seguintes arquivos foram excluídos:
    • %TEMPDIR%\Cab2.tmp
    • %TEMPDIR%\Tar3.tmp
    • %TEMPDIR%\Cab4.tmp
    • %TEMPDIR%\Tar5.tmp
    • %TEMPDIR%\Cab6.tmp
    • %TEMPDIR%\Tar7.tmp
    Os seguintes arquivos foram criados:
    • %TEMPDIR%\Cab2.tmp
    • %TEMPDIR%\Tar3.tmp
    • %TEMPDIR%\Cab4.tmp
    • %TEMPDIR%\Tar5.tmp
    • %TEMPDIR%\Cab6.tmp
    • %TEMPDIR%\Tar7.tmp
    • %APPDATA%\Microsoft\CryptnetUrlCache\Content\CD9C747F40EEA288D73938D33144F716
    • %APPDATA%\Microsoft\CryptnetUrlCache\MetaData\CD9C747F40EEA288D73938D33144F716
    • %APPDATA%\Microsoft\Protect\S-1-5-21-602162358-879983540-682003330-1003\53a86dc6-9e8d-40aa-9f1c-feba3cc08811
    Os seguintes arquivos foram alterados:
    • %APPDATA%\Microsoft\CryptnetUrlCache\Content\2BF68F4714092295550497DD56F57004
    • %APPDATA%\Microsoft\CryptnetUrlCache\MetaData\2BF68F4714092295550497DD56F57004
    • %APPDATA%\Microsoft\CryptnetUrlCache\Content\94308059B57B3142E455B38A6EB92015
    • %APPDATA%\Microsoft\CryptnetUrlCache\MetaData\94308059B57B3142E455B38A6EB92015
    • %APPDATA%\Microsoft\CryptnetUrlCache\Content\8EDCF682921FE94F4A02A43CD1A28E6B
    • %APPDATA%\Microsoft\CryptnetUrlCache\MetaData\8EDCF682921FE94F4A02A43CD1A28E6B
    • %DISKDRIVE%\Documents and Settings\All Users\Application Data\Adobe\Reader\9.2\ARM\BIT1.tmp
    • %APPDATA%\Microsoft\Protect\CREDHIST
    • %APPDATA%\Microsoft\Protect\S-1-5-21-602162358-879983540-682003330-1003\Preferred
    • %SYSDIR%\wbem\Logs\wbemcore.log
    • %WINDIR%\Prefetch\WMIADAP.EXE-2DF425B2.pf
    • %WINDIR%\Prefetch\WMIPRVSE.EXE-28F301A9.pf
    • %SYSDIR%\wbem\Logs\wmiprov.log
    Os seguintes arquivos foram renomeados:
    • %DISKDRIVE%\Documents and Settings\All Users\Application Data\Adobe\Reader\9.2\ARM\BIT1.tmp
  • Registro
    Os valores das seguintes chaves registo são removidos:
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates (91C6D6EE3E8AC86384E548C299295C756C817B81: -)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates (91C6D6EE3E8AC86384E548C299295C756C817B81: -; 4EB6D578499B1CCF5F581EAD56BE3D9B6744A5E5: -)
    São adicionadas as seguintes entidades de registro:
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\91C6D6EE3E8AC86384E548C299295C756C817B81 ("Blob": %hex values%)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\91C6D6EE3E8AC86384E548C299295C756C817B81 ("Blob": %hex values%)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\BITS ("StateIndex": dword:00000000)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\4EB6D578499B1CCF5F581EAD56BE3D9B6744A5E5 ("Blob": %hex values%)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\{C752BBCA-6DFD-4ACB-8D4A-13FC676C5D47}\Connection ("PnpInstanceID": "PCI\VEN_1022&DEV_2000&SUBSYS_20001022&REV_10\4&47B7341&0&0088")
  • Pedidos HTTP
    • th.*****.com/th.crl

Ajude a tornar a rede mais segura enviando-nos arquivos/URLs suspeitos para análise.

Envie o seu arquivo/URL Ou Acesse o Avira Answers

Porque enviar um arquivo suspeito?

Se você encontrou um arquivo ou um website suspeito que não está na nossa base de dados, nós analisaremos e determinaremos se ele é nocivo. As nossas descobertas são, então, enviadas aos nossos milhões de usuários através da próxima atualização da base de dados de vírus. Se você possui o Avira, você obterá essa atualização também. Não possui o Avira? Obtenha-o através do nossa página inicial.

O que é o Avira Answers?

Esta é a nossa próspera comunidade de profissionais técnicos e especialistas a meio período, trabalhando em conjunto para ajudar a resolver os problemas da tecnologia. É o lugar perfeito onde fazer as suas perguntas, em uma comunidade de colegas usuários do Avira.