ADW_SENSAVE

Canal de infecção: Aus dem Internet heruntergeladen, Fallen gelassen von anderer Malware

Wird als eine Komponente eines Malware-/Grayware-/Spyware-Pakets übertragen. Wird möglicherweise manuell von einem Benutzer installiert.

Diese Malware hat keine Verbreitungsroutine.

Diese Malware hat keine Backdoor-Routine.

Diese Malware kann keine Daten stehlen.

Die Hauptkomponente muss die vorgesehene Routine erfolgreich ausführen.

Tipo de compactação: 195,072 bytes

Tipo de arquivo: EXE

Residente na memória: Sim

Data de recebimento das amostras iniciais: 18 fevereiro 2014

Carga útil: Drops files, Connects to URLs/IPs

Übertragungsdetails

Wird als eine Komponente eines Malware-/Grayware-/Spyware-Pakets übertragen.

Wird möglicherweise manuell von einem Benutzer installiert.

Installation

Erstellt die folgenden Ordner:

%All Users Profile%\Application Data\SaveSenseLive
%All Users Profile%\Application Data\SaveSenseLive\Update
%All Users Profile%\Application Data\SaveSenseLive\Update\Log
%AppDataLocal%\SaveSenseLive
%AppDataLocal%\SaveSenseLive\CrashReports

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CLASSES_ROOT\CLSID\{CLSID}\
InProcServer32
Default = "{malware path}\{malware filename}.dll"

HKEY_LOCAL_MACHINE\Software\Classes\
CLSID{CLSID}\InProcServer32
Default = "{malware path}\{malware filename}.dll"

HKEY_CURRENT_USER\Software\Classes\
CLSID\{CLSID}\InprocServer32
Default = "{malware path}\{malware filename}.dll"

Fügt die folgenden Registrierungsschlüssel hinzu, um sich als Browser Helper Object (BHO) zu installieren:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Browser Helper Objects\{CLSID}

Fügt die folgenden Registrierungseinträge hinzu, um sich als Browser Helper Object (BHO) zu installieren:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Browser Helper Objects\{CLSID}
NoExplorer = "1"

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CLASSES_ROOT\CLSID\{CLSID}

HKEY_CLASSES_ROOT\CLSID\{CLSID}\
InProcServer32

HKEY_LOCAL_MACHINE\Software\Classes\
CLSID\{CLSID}

HKEY_LOCAL_MACHINE\Software\Classes\
CLSID{CLSID}\InProcServer32

HKEY_CLASSES_ROOT\SaveSenseLive.OneClickCtrl.9

HKEY_CLASSES_ROOT\SaveSenseLive.OneClickCtrl.9\CLSID

HKEY_CLASSES_ROOT\SaveSenseLive.Update3WebControl.3

HKEY_CLASSES_ROOT\SaveSenseLive.Update3WebControl.3\CLSID

HKEY_CLASSES_ROOT\CLSID\{CLSID}\
ProgID

HKEY_CLASSES_ROOT\MIME\Database\
Content Type\application/x-vnd.ssliveupdate.oneclickctrl.9

HKEY_CLASSES_ROOT\MIME\Database\
Content Type\application/x-vnd.ssliveupdate.update3webcontrol.3

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Low Rights\ElevationPolicy\
{CLSID}

HKEY_CURRENT_USER\Software\MozillaPlugins\
@tools.updaterss.com/SaveSenseLive Update;version=3\MimeTypes

HKEY_CURRENT_USER\Software\MozillaPlugins\
@tools.updaterss.com/SaveSenseLive Update;version=3\MimeTypes\application/x-vnd.ssliveupdate.update3webcontrol.3

HKEY_CURRENT_USER\Software\MozillaPlugins\
@tools.updaterss.com/SaveSenseLive Update;version=9

HKEY_CURRENT_USER\Software\MozillaPlugins\
@tools.updaterss.com/SaveSenseLive Update;version=9\MimeTypes\application/x-vnd.ssliveupdate.oneclickctrl.9

HKEY_CURRENT_USER\Software\MozillaPlugins\
@tools.updaterss.com/SaveSenseLive Update;version=3

HKEY_CURRENT_USER\Software\Classes\
SaveSenseLive.OneClickCtrl.9

HKEY_CURRENT_USER\Software\Classes\
SaveSenseLive.OneClickCtrl.9\CLSID

HKEY_CURRENT_USER\Software\Classes\
SaveSenseLive.Update3WebControl.3

HKEY_CURRENT_USER\Software\Classes\
SaveSenseLive.Update3WebControl.3\CLSID

HKEY_CURRENT_USER\Software\Classes\
CLSID\{CLSID}

HKEY_CURRENT_USER\Software\Classes\
MIME\Database\Content Type\
application/x-vnd.ssliveupdate.oneclickctrl.9

HKEY_CURRENT_USER\Software\Classes\
MIME\Database\Content Type\
application/x-vnd.ssliveupdate.update3webcontrol.3

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CLASSES_ROOT\CLSID\{CLSID}\
InProcServer32
Threading Model = "Apartment"

HKEY_LOCAL_MACHINE\Software\Classes\
CLSID\{CLSID}
Default = "SaveSense"

HKEY_LOCAL_MACHINE\Software\Classes\
CLSID\{CLSID}\InProcServer32
Threading Model = "Apartment"

HKEY_CLASSES_ROOT\SaveSenseLive.OneClickCtrl.9
Default = "SaveSenseLive Update Plugin"

HKEY_CLASSES_ROOT\SaveSenseLive.OneClickCtrl.9\CLSID
Default = "{CLSID}"

HKEY_CLASSES_ROOT\SaveSenseLive.Update3WebControl.3
Default = "SaveSenseLive Update Plugin"

HKEY_CLASSES_ROOT\SaveSenseLive.Update3WebControl.3\CLSID
Default = "{CLSID}"

HKEY_CLASSES_ROOT\CLSID\{CLSID}
Default = "SaveSenseLive Update Plugin"

HKEY_CLASSES_ROOT\CLSID\{CLSID}\
ProgID
Default = "SaveSenseLive.OneClickCtrl.9"

HKEY_CLASSES_ROOT\CLSID\{CLSID}\
ProgID
Default = "SaveSenseLive.Update3WebControl.3"

HKEY_CLASSES_ROOT\MIME\Database\
Content Type\application/x-vnd.ssliveupdate.oneclickctrl.9
CLSID = "{CLSID}"

HKEY_CLASSES_ROOT\MIME\Database\
Content Type\application/x-vnd.ssliveupdate.update3webcontrol.3
CLSID = "{CLSID}"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Low Rights\ElevationPolicy\
{CLSID}
AppName = "SaveSenseLive.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Low Rights\ElevationPolicy\
{CLSID}
AppPath = "%All Users Profile%\Application Data\SaveSenseLive\Update"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Low Rights\ElevationPolicy\
{CLSID}
Policy = "3"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Low Rights\ElevationPolicy\
{CLSID}
AppName = "SaveSenseLiveOnDemand.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Low Rights\ElevationPolicy\
{CLSID}
AppPath = "%All Users Profile%\Application Data\SaveSenseLive\Update\1.3.23.0"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Low Rights\ElevationPolicy\
{CLSID}
Policy = "3"

HKEY_CURRENT_USER\Software\MozillaPlugins\
@tools.updaterss.com/SaveSenseLive Update;version=3
Path = "{malware path}\{malware filename}.dll"

KEY_CURRENT_USER\Software\MozillaPlugins\
@tools.updaterss.com/SaveSenseLive Update;version=3
Description = "SaveSenseLive Update"

HKEY_CURRENT_USER\Software\MozillaPlugins\
@tools.updaterss.com/SaveSenseLive Update;version=3
Vendor = "SaveSense"

HKEY_CURRENT_USER\Software\MozillaPlugins\
@tools.updaterss.com/SaveSenseLive Update;version=9
Path = "{malware path}\{malware filename}.dll"

HKEY_CLASSES_ROOT\CLSID\{CLSID}
Default = "SaveSense"

HKEY_CURRENT_USER\Software\MozillaPlugins\
@tools.updaterss.com/SaveSenseLive Update;version=9
Description = "SaveSenseLive Update"

HKEY_CURRENT_USER\Software\MozillaPlugins\
@tools.updaterss.com/SaveSenseLive Update;version=9
Vendor = "SaveSense"

HKEY_CURRENT_USER\Software\Classes\
SaveSenseLive.OneClickCtrl.9
Default = "SaveSenseLive Update Plugin"

HKEY_CURRENT_USER\Software\Classes\
SaveSenseLive.OneClickCtrl.9\CLSID
CLSID = "{CLSID}"

HKEY_CURRENT_USER\Software\Classes\
SaveSenseLive.Update3WebControl.3
Default = "SaveSenseLive Update Plugin"

HKEY_CURRENT_USER\Software\Classes\
SaveSenseLive.Update3WebControl.3\CLSID
CLSID = "{CLSID}"

HKEY_CURRENT_USER\Software\Classes\
CLSID\{CLSID}
Default = "SaveSenseLive Update Plugin"

HKEY_CURRENT_USER\Software\Classes\
CLSID\{CLSID}\InprocServer32
ThreadingModel = "Apartment"

HKEY_CURRENT_USER\Software\Classes\
CLSID\{CLSID}\ProgID
Default = "SaveSenseLive.OneClickCtrl.9"

HKEY_CURRENT_USER\Software\Classes\
MIME\Database\Content Type\
application/x-vnd.ssliveupdate.oneclickctrl.9
CLSID = "{CLSID}"

HKEY_CURRENT_USER\Software\Classes\
MIME\Database\Content Type\
application/x-vnd.ssliveupdate.update3webcontrol.3
CLSID = "{CLSID}"

Verbreitung

Diese Malware hat keine Verbreitungsroutine.

Backdoor-Routine

Diese Malware hat keine Backdoor-Routine.

Einschleusungsroutine

Schleust die folgenden Dateien ein:

%All Users Profile%\Application Data\SaveSenseLive\Update\Log\SaveSenseLive.log

Datendiebstahl

Diese Malware kann keine Daten stehlen.

Andere Details

Die Hauptkomponente muss die vorgesehene Routine erfolgreich ausführen.

Mecanismo de varredura mínima: 9.700

Primeiro arquivo padrão VSAPI: 1.484.07

Data do lançamento do primeiro padrão VSAPI: 13 fevereiro 2014

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 2

Im abgesicherten Modus neu starten

[ Saber mais ]

Step 3

Diesen Registrierungsschlüssel löschen

[ Saber mais ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
- {CLSID}
In HKEY_CLASSES_ROOT\CLSID
- {CLSID}
In HKEY_LOCAL_MACHINE\Software\Classes\CLSID
- {CLSID}
In HKEY_CLASSES_ROOT
- SaveSenseLive.OneClickCtrl.9
In HKEY_CLASSES_ROOT
- SaveSenseLive.Update3WebControl.3
In HKEY_CLASSES_ROOT\MIME\Database\Content Type
- application/x-vnd.ssliveupdate.oneclickctrl.9
In HKEY_CLASSES_ROOT\MIME\Database\Content Type
- application/x-vnd.ssliveupdate.update3webcontrol.3
In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy
- {CLSID}
In HKEY_CURRENT_USER\Software\MozillaPlugins\@tools.updaterss.com
- SaveSenseLive Update;version = 9
In HKEY_CURRENT_USER\Software\MozillaPlugins\@tools.updaterss.com
- SaveSenseLive Update;version = 3
In HKEY_CURRENT_USER\Software\Classes
- SaveSenseLive.OneClickCtrl.9
In HKEY_CURRENT_USER\Software\Classes
- SaveSenseLive.Update3WebControl.3
In HKEY_CURRENT_USER\Software\Classes\CLSID
- {CLSID}
In HKEY_CURRENT_USER\Software\Classes\MIME\Database\Content Type
- application/x-vnd.ssliveupdate.oneclickctrl.9
In HKEY_CURRENT_USER\Software\Classes\MIME\Database\Content Type
- application/x-vnd.ssliveupdate.update3webcontrol.3

Registrierungsschlüssel löschen, die diese Malware/Grayware/Spyware erstellt hat:

Öffnen Sie den Registrierungs-Editor. Klicken Sie dazu auf Start>Ausführen, geben Sie regedit in das Textfeld ein, und drücken Sie die Eingabetaste.
Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Explorer>Browser Helper Objects
Suchen und löschen Sie den Schlüssel:
{CLSID}
Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
HKEY_CLASSES_ROOT>CLSID
Suchen und löschen Sie den Schlüssel:
{CLSID}
Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
HKEY_LOCAL_MACHINE>Software>Classes>CLSID
Suchen und löschen Sie den Schlüssel:
{CLSID}
Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
HKEY_CLASSES_ROOT
Suchen und löschen Sie den Schlüssel:
SaveSenseLive.OneClickCtrl.9
Suchen und löschen Sie den Schlüssel:
SaveSenseLive.Update3WebControl.3
Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
HKEY_CLASSES_ROOT>MIME>Database>Content Type
Suchen und löschen Sie den Schlüssel:
application/x-vnd.ssliveupdate.oneclickctrl.9
Suchen und löschen Sie den Schlüssel:
application/x-vnd.ssliveupdate.update3webcontrol.3
Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
HKEY_CURRENT_USER>Software>Microsoft>Internet Explorer>Low Rights>ElevationPolicy
Suchen und löschen Sie den Schlüssel:
{CLSID}
Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
HKEY_CURRENT_USER>Software>MozillaPlugins>@tools.updaterss.com
Suchen und löschen Sie den Schlüssel:
SaveSenseLive Update;version = 9
Suchen und löschen Sie den Schlüssel:
SaveSenseLive Update;version = 3
Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
HKEY_CURRENT_USER>Software>Classes
Suchen und löschen Sie den Schlüssel:
SaveSenseLive.OneClickCtrl.9
Suchen und löschen Sie den Schlüssel:
SaveSenseLive.Update3WebControl.3
Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
HKEY_CURRENT_USER>Software>Classes>CLSID
Suchen und löschen Sie den Schlüssel:
{CLSID}
Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
HKEY_CURRENT_USER>Software>Classes>MIME>Database>Content Type
Suchen und löschen Sie den Schlüssel:
application/x-vnd.ssliveupdate.oneclickctrl.9
Suchen und löschen Sie den Schlüssel:
application/x-vnd.ssliveupdate.update3webcontrol.3
Schließen Sie den Registrierungs-Editor.

Step 4

Diese Ordner suchen und löschen

[ Saber mais ]

Aktivieren Sie unbedingt das Kontrollkästchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Ordner in den Suchergebnissen zu berücksichtigen.

%All Users Profile%\Application Data\SaveSenseLive
%AppDataLocal%\SaveSenseLive

Step 5

Führen Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt nach Dateien, die als ADW_SENSAVE entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.

Participe da nossa pesquisa!

Visão geral

Detalhes técnicos

Solução

Recursos

Suporte

Sobre a Trend

Country Headquarters

ADW_SENSAVE

Visão geral

Detalhes técnicos

Solução

Recursos

Suporte

Sobre a Trend

Country Headquarters

Américas

Oriente Médio & África

Europa

Ásia&Pacífico