ADW_CROSSID
Win32/Packed.ScrambleWrapper.F (ESET-NO32)
Windows 2000, Windows XP, Windows Server 2003
Type de grayware:
Adware
Destructif:
Non
Chiffrement:
In the wild::
Oui
Overview
Wird als eine Komponente eines Malware-/Grayware-/Spyware-Pakets übertragen. Wird möglicherweise manuell von einem Benutzer installiert.
Verbindet sich mit einer Website, um Daten zu versenden und zu empfangen.
Détails techniques
Übertragungsdetails
Wird als eine Komponente eines Malware-/Grayware-/Spyware-Pakets übertragen.
Wird möglicherweise manuell von einem Benutzer installiert.
Installation
Schleust die folgenden Dateien ein:
- %Program Files%\Savings Sidekick\Savings Sidekick.dll
- %Program Files%\Savings Sidekick.ico
- %Program Files%\Savings SidekickGui.exe
- %Application Data%\Savings Sidekick\Chrome\Savings Sidekick.crx
- %Program Files%\WhoDidThat
- %Program Files%\WhoDidThat\background.html
- %Program Files%\WhoDidThat\Installer.log
- %Program Files%\WhoDidThat\Uninstall.exe
- %Program Files%\WhoDidThat\WhoDidThat-bg.exe
- %Program Files%\WhoDidThat\WhoDidThat-bho.dll
- %Program Files%\WhoDidThat\WhoDidThat-buttonutil.dll
- %Program Files%\WhoDidThat\WhoDidThat-buttonutil.exe
- %Program Files%\WhoDidThat\WhoDidThat-codedownloader.exe
- %Program Files%\WhoDidThat\WhoDidThat-helper.exe
- %Program Files%\WhoDidThat\WhoDidThat.ico
(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.. %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)
Erstellt die folgenden Ordner:
- %Program Files%\Savings Sidekick
- %Application Data%\Savings Sidekick
- %Program Files%\WhoDidThat
(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.. %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)
Autostart-Technik
Fügt die folgenden Registrierungsschlüssel hinzu, um sich als Browser Helper Object (BHO) zu installieren:
HKEY_CLASSES_ROOT\CrossriderApp{random number}.BHO
HKEY_CLASSES_ROOT\CLSID\{11111111-1111-1111-1111-110011501160}
HKEY_CLASSES_ROOT\CLSID\{22222222-2222-2222-2222-220022502260}
HKEY_CLASSES_ROOT\TypeLib\{44444444-4444-4444-4444-440044504460}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CrossriderApp{random number}.BHO
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{11111111-1111-1111-1111-110011501160}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{22222222-2222-2222-2222-220022502260}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
TypeLib\{44444444-4444-4444-4444-440044504460}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Browser Helper Objects\{11111111-1111-1111-1111-110011501160}
Andere Systemänderungen
Fügt die folgenden Registrierungsschlüssel hinzu:
HKEY_CURRENT_USER\Software\AppDataLow\
Software\Crossrider
HKEY_CURRENT_USER\Software\AppDataLow\
Software\WhoDidThat
HKEY_LOCAL_MACHINE\SOFTWARE\Google\
Chrome\Extensions\{random key name}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Low Rights\ElevationPolicy\
{11111111-1111-1111-1111-110011501160}
HKEY_CLASSES_ROOT\Local Settings\Software\
Microsoft\Windows\CurrentVersion\
AppContainer\Storage\windows_ie_ac_001\
Software\WhoDidThat
Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:
HKEY_CLASSES_ROOT\CrossriderApp{random number}.BHO
{Default} = "CrossriderApp{random number}"
HKEY_CLASSES_ROOT\CrossriderApp{random number}.BHO\CLSID
{Default} = "{11111111-1111-1111-1111-110411561140}"
HKEY_CLASSES_ROOT\CrossriderApp{random number}.BHO.1
{Default} = "CrossriderApp{random number}"
HKEY_CLASSES_ROOT\CrossriderApp{random number}.BHO.1\CLSID
{Default} = "{11111111-1111-1111-1111-110411561140}"
HKEY_CLASSES_ROOT\CrossriderApp{random number}.Sandbox
{Default} = "CrossriderApp{random number}.Sandbox"
HKEY_CLASSES_ROOT\CrossriderApp{random number}.Sandbox\CLSID
{Default} = "{22222222-2222-2222-2222-220422562240}"
HKEY_CLASSES_ROOT\CrossriderApp{random number}.Sandbox.1
{Default} = "CrossriderApp{random number}.Sandbox"
HKEY_CLASSES_ROOT\CrossriderApp{random number}.Sandbox.1\CLSID
{Default} = "{22222222-2222-2222-2222-220422562240}"
HKEY_CLASSES_ROOT\CLSID\{11111111-1111-1111-1111-110411561140}
{Default} = "WhoDidThat"
HKEY_CLASSES_ROOT\CLSID\{11111111-1111-1111-1111-110411561140}\
InprocServer32
{Default} = "%Program Files%\WhoDidThat\WhoDidThat-bho.dll"
HKEY_CLASSES_ROOT\CLSID\{11111111-1111-1111-1111-110411561140}\
ProgID
{Default} = "CrossriderApp{random number}.BHO.1"
HKEY_CLASSES_ROOT\CLSID\{22222222-2222-2222-2222-220422562240}
{Default} = "CrossriderApp{random number}.Sandbox"
HKEY_CLASSES_ROOT\CLSID\{22222222-2222-2222-2222-220422562240}\
InprocServer32
{Default} = "%Program Files%\WhoDidThat\WhoDidThat-bho.dll"
HKEY_CLASSES_ROOT\CLSID\{22222222-2222-2222-2222-220422562240}\
ProgID
{Default} = "CrossriderApp{random number}.Sandbox.1"
HKEY_CLASSES_ROOT\Interface\{55555555-5555-5555-5555-550455565540}
{Default} = "ICrossriderBHO"
HKEY_CLASSES_ROOT\Interface\{66666666-6666-6666-6666-660466566640}
{Default} = "ISandBox"
HKEY_CLASSES_ROOT\TypeLib\{44444444-4444-4444-4444-440444564440}\
1.0
{Default} = "%Program Files%\WhoDidThat\WhoDidThat-bho.dll"
HKEY_CURRENT_USER\Software\AppDataLow\
Software\WhoDidThat
IsBhoEnabled = "1"
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Low Rights\ElevationPolicy\
{547e35c2-8694-4313-b91e-051351920945}
AppName = WhoDidThat-codedownloader.exe
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Low Rights\ElevationPolicy\
{547e35c2-8694-4313-b91e-051351920945}
AppPath = %Program Files%\WhoDidThat
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Low Rights\ElevationPolicy\
{59cd9ab4-e56e-4956-8e73-b37b2bb95950}
AppName = WhoDidThat-bg.exe
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Low Rights\ElevationPolicy\
{59cd9ab4-e56e-4956-8e73-b37b2bb95950}
AppPath = %Program Files%\WhoDidThat
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Low Rights\ElevationPolicy\
{59cd9ab4-e56e-4956-8e73-b37b2bb95950}
Policy = "1"
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Low Rights\ElevationPolicy\
{f3353189-3395-4bde-bf07-34946999a9b3}
AppName = WhoDidThat-buttonutil.exe
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Low Rights\ElevationPolicy\
{f3353189-3395-4bde-bf07-34946999a9b3}
AppPath = %Program Files%\WhoDidThat
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Low Rights\ElevationPolicy\
{f638fbab-66e7-43b0-b161-ac1de3b25e61}
Policy = "3"
HKEY_LOCAL_MACHINE\SOFTWARE\Google\
Chrome\Extensions\{random key name}
path = "%Application Data%\Savings Sidekick\Chrome\Savings Sidekick.crx"
HKEY_LOCAL_MACHINE\SOFTWARE\Google\
Chrome\Extensions\{random key name}
version = "1.18.9"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\LowRights\ElevationPolicy\
{11111111-1111-1111-1111-110011501160}
AppName = "Savings Sidekick.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\LowRights\ElevationPolicy\
{11111111-1111-1111-1111-110011501160}
AppPath = "%Program Files%\Savings Sidekick"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Low Rights\ElevationPolicy\
{11111111-1111-1111-1111-110011501160}
Policy = "3"
Backdoor-Routine
Verbindet sich mit den folgenden Websites, um Daten zu versenden und zu empfangen.
- http://{BLOCKED}atic.crossrider.com
- http://{BLOCKED}s.{BLOCKED}yapp.com
- http://{BLOCKED}ltrk.com
- http://{BLOCKED}ider.{BLOCKED}l.net
Solutions
Step 1
Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.
Step 2
Im abgesicherten Modus neu starten
Step 3
ADW_CROSSID über die eigene Option zum Deinstallieren entfernen
Step 4
Diese Dateien suchen und löschen
- %Program Files%\Savings Sidekick\Savings Sidekick.dll
- %Program Files%\Savings Sidekick.ico
- %Program Files%\Savings SidekickGui.exe
- %Application Data%\Savings Sidekick\Chrome\Savings Sidekick.crx
- %Program Files%\Savings Sidekick\Savings Sidekick.dll
- %Program Files%\Savings Sidekick.ico
- %Program Files%\Savings SidekickGui.exe
- %Application Data%\Savings Sidekick\Chrome\Savings Sidekick.crx
Step 5
Diese Ordner suchen und löschen
- %Program Files%\Savings Sidekick
- %Application Data%\Savings Sidekick
Step 6
Führen Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt nach Dateien, die als ADW_CROSSID entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.
Participez à notre enquête!