簡介
類型: Adware
發布者: stop-popup-ads-now.com
風險影響: High
檔案名稱: Varies: Bi.dll and Biprep.exe Belt.exe Belt.ini Belt.inf buddy.exe ceres.dll Susp.exe Sus
受感染的系統: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
行為:Adware.Binet是一個瀏覽器輔助工具,可以顯示廣告、下載和安裝檔案。
症狀:檔案被檢測為 Adware.Binet。
傳輸:該廣告軟體程式必須手動安裝。
所需操作
根據廣告軟體的版本,Adware.Binet 會在運行時執行以下操作:
1. 創建下列某些檔案:
* %Windir%\Bi.dll
* %Windir%\Biprep.exe.
* <Current Folder>\Belt.ini
* <Current Folder>\Belt.inf
* <Current Folder>\Susp.ini
* <Current Folder>\Susp.inf
注意:%Windir% 是一個變數。該廣告軟體會找到 Windows 安裝資料夾(默認為 C:\Windows 或 C:\Winnt),然後將自身複製到其中。
2. 試圖創建以下註冊表鍵:
HKEY_CLASSES_ROOT\CLSID\
HKEY_CLASSES_ROOT\TypeLib\
HKEY_CLASSES_ROOT\Interface\
HKEY_CLASSES_ROOT\BiDll.BiDllObj.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\BiDll.BiDllObj.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\
3. 將值:
<Filename of Adware> = <Path to Adware>
添加到註冊表鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. 嘗試連線到遠程主機 abetterinternet.com,並查找該廣告軟體的更新版本。
當 Adware.Binet 在安裝後啟動時,會嘗試執行以下操作:
o 顯示廣告。
o 根據您訪問的網站,顯示相關網站的連結和廣告。
o 存儲您曾訪問過的網站。
o 將某些 URL,包括 Web 瀏覽器的默認 404 錯誤頁,通過 Adware.Binet 使用的網頁重定向,或重定向到Adware.Binet 使用的網頁。
o 自動更新廣告軟體並安裝新增的特性或功能。無需您的輸入或介入即可執行該操作。
o 安裝桌面圖示、安裝檔案及其他發行商的軟體。
安全回響中心收到的某些 Belt.exe 樣本將不能成功安裝,因為它嘗試下載的 CAB 包已不再可用。在這種情況下,或 Internet 連線不可用時,該廣告軟體將按照步驟 3 所述添加 \Run 鍵,然後完全退出。
如何刪除:
1. 更新病毒定義。
2. 運行完整的系統掃描,並刪除所有檢測為 Adware.Binet 的檔案。
3. 刪除添加到註冊表中的鍵。
4. 刪除Belt.ini和 Belt.inf(如果找到)。
5. 如果需要,刪除受感染的 .cab 檔案。
有關每個步驟的詳細信息,請參閱以下指導。
1. 更新病毒定義
要獲得最新的病毒定義,請啟動 Symantec 程式並運行 LiveUpdate。
2. 掃描和刪除檔案
1. 啟動 Norton AntiVirus 並確保其配置為掃描所有檔案。有關詳細信息,請參閱文檔:如何配置 Norton AntiVirus以掃描所有檔案。
2. 運行完整的系統掃描。
3. 如果任何檔案被檢測為 Adware.Binet,請記下路徑和檔案名稱,然後單擊“刪除”。
注意:如果 Symantec 防病毒產品報告無法刪除檢測到的檔案,請記下其路徑和檔案名稱。然後使用 Windows 資源管理器找到並刪除該檔案。如果在 Windows 資源管理器中無法刪除檔案,則以安全模式重新啟動計算機。有關指導,請參閱文檔:如何以安全模式啟動計算機。
3. 從註冊表中刪除值
注意:對系統註冊表進行任何修改之前,賽門鐵克強烈建議您最好先替註冊表進行一次備份。對註冊表的修改如果有任何差錯,嚴重時將會導致數據遺失或檔案受損。只修改指定的註冊表鍵。如需詳細指示,請閱讀「如何備份 Windows 註冊表」檔案。
1. 單擊“開始”,然後單擊“運行”。(將出現“運行”對話框。)
2. 鍵入 regedit 然後單擊“確定”。(將打開註冊表編輯器。)
3. 導航至以下鍵:
HKEY_CLASSES_ROOT\CLSID\
HKEY_CLASSES_ROOT\TypeLib\
HKEY_CLASSES_ROOT\Interface\
HKEY_CLASSES_ROOT\BiDll.BiDllObj.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\BiDll.BiDllObj.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Browser Helper Objects\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\
4. 導航至以下鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
5. 在右窗格中,刪除值:
<Filename of Adware> = <Path to Adware>
6. 退出註冊表編輯器。
4. 刪除 .ini 和 .inf 檔案
搜尋系統以查找 Belt.ini/Susp.ini 和 Belt.inf/Susp.inf 檔案;如果找到,將其刪除。
根據您的作業系統執行下面相應的操作:
* Windows 95/98/Me/NT/2000
1. 在 Windows 系統列上,單擊“開始”>“查找”或“搜尋”>“檔案或資料夾”。
2. 確保“搜尋範圍”設定為 (C:) 並選中了“包含子資料夾”。
3. 在“名稱”或“搜尋目標”框中,鍵入(或複製並貼上)檔案名稱:
Belt.ini Belt.inf
or
Susp.ini Susp.inf
4. 單擊“開始查找”或“立即搜尋”。
5. 刪除顯示的檔案。
* Windows XP
1. 在 Windows 系統列上,單擊“開始”>“搜尋”。
2. 單擊“所有檔案和資料夾”。
3. 在“全部或部分檔案名稱稱”框中,鍵入(或複製並貼上)檔案名稱:
Belt.ini Belt.inf
or
Susp.ini Susp.inf
4. 驗證“在這裡尋找”設定為“本地硬碟”或 (C:)。
5. 單擊“更多高級選項”。
6. 選中“搜尋系統資料夾”。
7. 選中“搜尋子資料夾”。
8. 單擊“搜尋”。
9. 刪除顯示的檔案。
5. 刪除受感染的 .cab 檔案
如果在 Windows 系統的 Temp 資料夾中的 .cab 檔案中檢測到該威脅,則 Symantec 防病毒程式將報告無法將其刪除。如果發生這種情況,請手動刪除它。
1. 在 Windows 系統列上,單擊“開始”>“運行”。
2. 鍵入下列內容,然後單擊“確定”:
%temp%
3. 單擊“編輯”選單 >“全選”。
4. 按 Delete 鍵,然後單擊“是”確認。如果顯示 Windows 無法刪除檔案的訊息,請重新啟動計算機並重複步驟 1 到 3。如果仍然顯示該訊息,請直接選擇並刪除具有 .cab 擴展名的檔案。
