RSS-каналы
Уровень опасности: 1
not-a-virus:AdWare.Win32.FunWeb.kd
| Время детектирования | 16 апр 2011 07:49 MSK |
| Время выпуска обновления | 16 апр 2011 14:03 MSK |
| Описание опубликовано | 27 май 2011 13:36 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Рекламное программное обеспечение, предназначенное для перенаправления поисковых запросов пользователя на другие веб-ресурсы. Программа является приложением Windows (PE-EXE файл). Имеет размер 122880 байт. Написана на C++.
Деструктивная активность
Данная программа является инсталлятором плагина "Fun Web Products Plugin". Представляет собой поисковую панель для браузеров Mozilla Firefox.
Программа отслеживает поисковые запросы, вводимые пользователем, и отправляет полученные результаты в HTTP-запросах на следующие сервера:
***gfarm.com ***eycreator.com ***ulah.com ***search.com ***on.com ***creensavers.com ***ormania.com ***uncards.com ***nky.com ***fetti.com ***eycentraldev.com ***oductsdev.com ***eycentral.com ***roducts.comПри запуске программа без ведома пользователя извлекает из своего тела три файла и сохраняет их под следующими именами:
%ProgramFiles%\FunWebProducts\Installr\Файл имеет размер 213116 байт и детектируется Антивирусом Касперского как not-a-virus:AdWare.Win32.FunWeb.di..bin\F3EZSETP.DLL
%ProgramFiles%\FunWebProducts\Installr\Файл имеет размер 45163 байта..bin\F3PLUGIN.DLL
%ProgramFiles%\FunWebProducts\Installr\Файл имеет размер 24687 байт..bin\NPFUNWEB.DLL
[HKLM\Software\FunWebProducts\Installer] "Dir" = "%ProgramFiles%\FunWebProducts\Installr\" "PluginPath" = "%ProgramFiles%\FunWebProducts\ Installr\Также программа имеет функцию удаления. Для этого необходимо запустить её с параметром «/u»..bin\" [HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\ PreApproved\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}] "(Default)" = "" [HKLM\Software\MozillaPlugins\@funwebproducts.com/Plugin] "Description" = "Fun Web Products Plugin" "Path" = "%ProgramFiles%\FunWebProducts\Installr\ .bin\ NPFUNWEB.DLL" "vendor" = "Fun Web Products" "version" = "1.1.0.0" [HKLM\Software\MozillaPlugins\@funwebproducts.com/Plugin\ MimeTypes\application/x-mywebface_2upluginei] "Description" = "Fun Web Products Plugin" "Suffixes" = "f3p" [HKCR\FunWebProductsInstaller.Start.1] "(Default)" = "Fun Web Products Installer Start" [HKCR\FunWebProductsInstaller.Start.1\CLSID] "(Default)" = {1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB} [HKCR\Fun Web Products Installer Start] "(Default)" = "Fun Web Products Installer Start" [HKCR\Fun Web Products Installer Start\CLSID] "(Default)" = "{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}" [HKCR\Fun Web Products Installer Start\CurVer] "(Default)" = "FunWebProductsInstaller.Start.1" [HKLM\Software\Classes\CLSID\{1D4DB7D2-6EC9-47a3-BD87- 1E41684E07BB}] "(Default)" = "Fun Web Products Installer Start" [HKLM\Software\Classes\CLSID\{1D4DB7D2-6EC9-47a3-BD87- 1E41684E07BB}\ProgID] "(Default)" = "FunWebProductsInstaller.Start.1" [HKLM\Software\Classes\CLSID\{1D4DB7D2-6EC9-47a3-BD87- 1E41684E07BB}\VersionIndependentProgID] "(Default)" = "Fun Web Products Installer Start" [HKLM\Software\Classes\CLSID\{1D4DB7D2-6EC9-47a3-BD87- 1E41684E07BB}\InprocServer32] "(Default)" = "%ProgramFiles%\FunWebProducts\Installr\ .bin\ F3EZSETP.DLL" "ThreadingModel" = "Apartment" [HKLM\Software\Classes\CLSID\{1D4DB7D2-6EC9-47a3-BD87- 1E41684E07BB}\MiscStatus] "(Default)" = "0" [HKLM\Software\Classes\CLSID\{1D4DB7D2-6EC9-47a3-BD87- 1E41684E07BB}\MiscStatus\1] "(Default)" = "131473" [HKLM\Software\Classes\CLSID\{1D4DB7D2-6EC9-47a3-BD87- 1E41684E07BB}\TypeLib] "(Default)" = "{1D4DB7D0-6EC9-47a3-BD87-1E41684E07BB}" [HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\Version] "(Default)" = "1.0" [HKLM\Software\Classes\TypeLib\{1D4DB7D0-6EC9-47A3-BD87- 1E41684E07BB}\1.0] "(Default)" = "Installer 1.0 Type Library" [HKLM\Software\Classes\TypeLib\{1D4DB7D0-6EC9-47A3-BD87- 1E41684E07BB}\1.0\FLAGS] "(Default)" = "0" [HKLM\Software\Classes\TypeLib\{1D4DB7D0-6EC9-47A3-BD87- 1E41684E07BB}\1.0\0\win32] "(Default)" = "<полный путь к оригинальному файлу троянца>\1" [HKLM\Software\Classes\TypeLib\{1D4DB7D0-6EC9-47A3-BD87- 1E41684E07BB}\1.0\HELPDIR] "(Default)" = "<полный путь к оригинальному файлу троянца>\" [HKLM\Software\Classes\Interface\{1D4DB7D1-6EC9-47A3-BD87- 1E41684E07BB}] "(Default)" = "If3InstallerStart" [HKLM\Software\Classes\Interface\{1D4DB7D1-6EC9-47A3-BD87- 1E41684E07BB}\ProxyStubClsid] "(Default)" = "{00020424-0000-0000-C000-000000000046}" [HKLM\Software\Classes\Interface\{1D4DB7D1-6EC9-47A3-BD87- 1E41684E07BB}\ProxyStubClsid32] "(Default)" = "{00020424-0000-0000-C000-000000000046}" [HKLM\Software\Classes\Interface\{1D4DB7D1-6EC9-47A3-BD87- 1E41684E07BB}\TypeLib] "(Default)" = "{1D4DB7D0-6EC9-47a3-BD87-1E41684E07BB}" "Version" = "1.0" [HKLM\Software\Classes\Interface\{1D4DB7D1-6EC9-47A3-BD87- 1E41684E07BB}] "(Default)" = "_If3InstallerStartEvents" [HKLM\Software\Classes\Interface\{1D4DB7D1-6EC9-47A3-BD87- 1E41684E07BB}\ProxyStubClsid] "(Default)" = "{00020420-0000-0000-C000-000000000046}" [HKLM\Software\Classes\Interface\{1D4DB7D1-6EC9-47A3-BD87- 1E41684E07BB}\ProxyStubClsid32] "(Default)" = "{00020420-0000-0000-C000-000000000046}" [HKLM\Software\Classes\Interface\{1D4DB7D1-6EC9-47A3-BD87- 1E41684E07BB}\TypeLib] "(Default)" = "{1D4DB7D0-6EC9-47a3-BD87-1E41684E07BB}" "Version" = "1.0"
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной программой, то для её удаления необходимо выполнить следующие действия:
- Завершить работу браузера «Mozilla Firefox».
- Запустить оригинальный файл программы с параметром «/u».
- Удалить оригинальный файл программы (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Если нет возможности использовать функцию удаления программы – удалить вручную выполнив следующие действия:
- Завершить работу браузера «Mozilla Firefox».
- Отменить регистрацию установленных библиотек. Для этого следует воспользоваться системной утилитой "regsvr32.exe", запустив ее с параметрами:
Regsvr32 /u %ProgramFiles%\FunWebProducts\Installr\
.bin\F3EZSETP.DLL Regsvr32 /u %ProgramFiles%\FunWebProducts\Installr\ .bin\F3PLUGIN.DLL Regsvr32 /u %ProgramFiles%\FunWebProducts\Installr\ .bin\NPFUNWEB.DLL - Удалить каталог и всё его содержимое:
%ProgramFiles%\FunWebProducts\
- Удалить ветку реестра и всё её содержимое (как работать с реестром?):
[HKLM\Software\FunWebProducts\Installer]
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Adware (Adware, Advware, Browser Hijackers) — рекламное программное обеспечение, предназначенное для показа рекламных сообщений (чаще всего, в виде графических баннеров); перенаправления поисковых запросов на рекламные веб-страницы; а также для сбора данных маркетингового характера об активности пользователя (например, какие тематические сайты посещает пользователь), позволяющих сделать рекламу более таргетированной.
За исключением показов рекламы, подобные программы, как правило, никак не проявляют своего присутствия в системе — отсутствует значок в системном трее, нет упоминаний об установленных файлах в меню программ. Часто у Adware-программ нет процедур деинсталляции, используются пограничные с вирусными технологии, позволяющие скрытно внедряться на компьютер пользователя и незаметно осуществлять на нём свою деятельность.
not-a-virus:
- Adware.
FunWeb-6 (ClamAV) - W32/MalwareS.
BGVD (FPROT) - Adware.
Funweb. 23 (DrWeb) - Adware.
Generic. 166394 (BitDef7) - Adware.
FunWeb!Y8wLSLVM77Y (VirusBuster) - W32/Suspicious_Gen2.
DSKWR (Norman) - (3, (FSecure)
- Adware:
W32/FunWeb. A (FSecure) - 206) (FSecure)
- 1, (FSecure)
- MyWebSearch.
J (v) (Sunbelt) - Adware.
FunWeb!Y8wLSLVM77Y (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей