ADW_BROWSEF
Win32/BrowseFox.C application (NOD32)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Tipo de grayware:
Adware
Destrutivo:
Não
Criptografado:
Sim
In the Wild:
Sim
Visão geral
Wird möglicherweise manuell von einem Benutzer installiert.
Wird ausgeführt und löscht sich dann selbst.
Diese Malware hat keine Verbreitungsroutine.
Diese Malware hat keine Backdoor-Routine.
Diese Malware kann keine Daten stehlen.
Detalhes técnicos
Übertragungsdetails
Wird möglicherweise manuell von einem Benutzer installiert.
Installation
Schleust folgende Dateien/Komponenten ein:
- %Program Files%\Higher Aurum\HigherAurum.ico
- %Program Files%\Higher Aurum\HigherAurumUninstall.exe
- %Program Files%\Higher Aurum\{random string}.crx
- %Program Files%\Higher Aurum\sqlite3.exe
- %Program Files%\Higher Aurum\updateHigherAurum.InstallState
- %Program Files%\Higher Aurum\updateHigherAurum.exe -also detected as ADW_BROWSEF
(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)
Erstellt die folgenden Ordner:
- %Program Files%\Higher Aurum
- %User Temp%\Higher Aurum
(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)
Wird ausgeführt und löscht sich dann selbst.
Autostart-Technik
Registriert sich als Systemdienst, damit sie bei jedem Systemstart automatisch ausgeführt wird, indem sie die folgenden Registrierungseinträge hinzufügt:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Update Higher Aurum
ImagePath = "%Program Files%\Higher Aurum\updateHigherAurum.exe"
Andere Systemänderungen
Fügt die folgenden Registrierungsschlüssel hinzu:
HKEY_CURRENT_USER\Software\Higher Aurum
HKEY_CURRENT_USER\Software\Higher Aurum\
Chrome
HKEY_LOCAL_MACHINE\SOFTWARE\Higher Aurum
HKEY_LOCAL_MACHINE\SOFTWARE\Higher Aurum\
Chrome
HKEY_LOCAL_MACHINE\SOFTWARE\Higher Aurum\
Firefox
HKEY_LOCAL_MACHINE\SOFTWARE\Higher Aurum\
Internet Explorer
HKEY_LOCAL_MACHINE\SOFTWARE\Google\
Chrome\Extensions\{random string}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Higher Aurum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Update Higher Aurum
Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:
HKEY_CURRENT_USER\Software\Higher Aurum
is = "bs"
HKEY_CURRENT_USER\Software\Higher Aurum
iid = "bs"
HKEY_CURRENT_USER\Software\Higher Aurum
id = "{Date and time of installation}"
HKEY_CURRENT_USER\Software\Higher Aurum\
Chrome
ug = "CEE4277F-1BF3-4A16-8F71-A79691C0D1E9"
HKEY_LOCAL_MACHINE\SOFTWARE\Higher Aurum\
Chrome
sgc = "false"
HKEY_LOCAL_MACHINE\SOFTWARE\Higher Aurum\
Firefox
sff = "false"
HKEY_LOCAL_MACHINE\SOFTWARE\Higher Aurum\
Internet Explorer
sie = "false"
HKEY_LOCAL_MACHINE\SOFTWARE\Google\
Chrome\Extensions\{random string}
path = "%Program Files%\Higher Aurum\{random string}.crx"
HKEY_LOCAL_MACHINE\SOFTWARE\Google\
Chrome\Extensions\{random string}
version = "1.0.0"
Verbreitung
Diese Malware hat keine Verbreitungsroutine.
Backdoor-Routine
Diese Malware hat keine Backdoor-Routine.
Download-Routine
Speichert die heruntergeladenen Dateien unter den folgenden Namen:
- %User Temp%\Higher Aurum\Setup.exe - Also detected as ADW_BROWSEF
(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)
Datendiebstahl
Diese Malware kann keine Daten stehlen.
Solução
Step 1
Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.
Step 2
ADW_BROWSEF über die eigene Option zum Deinstallieren entfernen
Step 3
Diesen Ordner suchen und löschen
- %Program Files%\Higher Aurum
Step 4
Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als ADW_BROWSEF entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.
Participe da nossa pesquisa!