Zurück   Trojaner-Board > Archiv - Kein Posten möglich > Archiv

Archiv: Anleitung: Entfernung von Swizzor.A

Windows 7 Hierhin wurden aus technischen Gründen ca. 1000 Threads des Trojaner-Info Forums verschoben. Die Suche funktioniert hier nicht, und es können nur Modis und Admins posten. Um durch die alten Beiträge zu browsen, bitte auf "Alle Themen anzeigen"

 
Alt 14.04.2006, 12:24   #1
Wildone
 
Anleitung: Entfernung von Swizzor.A - Standard

Anleitung: Entfernung von Swizzor.A



Zitat:
Anleitung zur Swizzor.A Entfernung

Erstmal einen Satz dazu was Swizzor ist, und wie er sich verbreitet. Swizzor ist ein Programm das lediglich dafür da ist Werbepopups einzuspielen und sich selbst upzudaten.
Der Verbreitungsweg ist meist Huckepack mit anderer Software als sogenanntes Sponsorenprogramm, die bekanntesten Programme dafür sind Netpumper und MessengerPlus3. Jetzt aber zur Entfernung:


  • 1.) Deinstalliert über Start>>Eintellungen>>Systemsteuerung>>Software das Programm das den Swizzor eingeschleust hat, z.B. Netpumper oder MessengerPlus3. Macht dann einen Neustart, wenn dann keine Popups oder Meldungen des AVs mehr kommen sollte es das schon gewesen sein.


  • 2.) Besorgt euch HijackThis und scannt damit euer System.


  • 3.) Normalerweise hat Swizzor mindesten zwei Einträge, einen O2 und einen O4 Eintrag, diese verweisen immer auf Ordner in folgendem Pfad:
    C:\DOKUMENTE UND EINSTELLUNGEN\*USER*\ANWENDUNGSDATEN\*beliebiger Ordnername*

    *User* Steht für einen beliebigen Benutzer, kann aber auch den Pfad "All Users" meinen.

    Häufig werden die Ordnernamen bei HijackThis abgekürzt, das sieht dann folgendermaßen aus:
    C:\DOKUME~1 (~1 steht also für beliebig folgende Buchstaben oder Zahlen)

    Mal ein paar Beispieleinträge, damit ihr wißt nach was ihr suchen müßt:

    O2 - BHO: (no name) - {4774DFA6-2A34-46A1-AD67-A81DC29573FB} - C:\DOKUME~1\*User*\ANWEND~1\EXITSI~1\shimwipe.exe
    O2 - BHO: (no name) - {C434066A-AFBD-C484-4679-77547D40E815} - C:\DOKUME~1\*User*\ANWEND~1\FACEVI~1\bleh live.exe
    O4 - HKLM\..\Run: [plan load film pop] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OkayDrawPlanLoad\dale kind.exe
    O4 - HKLM\..\Run: [01FlagAimDate] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Popcoal01flag\Chic thunk.exe


  • 4.) Wenn ihr jetzt die betreffenden einträge gefunden habt geht ihr in den abgesicherten Modus und löscht dort die betrefenden Ordner, bei den Beispieleinträgen wären das folgende:

    C:\DOKUME~1\*User*\ANWEND~1\EXITSI~1\
    C:\DOKUME~1\*User*\ANWEND~1\FACEVI~1\
    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OkayDrawPlanLoad\
    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Popcoal01flag\

    dann, immernoch im abgesicherten Modus, fixt (Haken davor und auf "fix checked") ihr mit HijackThis noch die jeweiligen O2 und O4 Einträge und, falls vorhanden, einen R1/R0 Eintrag der folgendermaßen aussieht:

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.ktqiyvfudnpyyjefgkwps.net/V6mVQg00TdIVfw/eyPEwBsSNByJ6INmtFOBkQhZTjKezSt4pixNYZXV24zqMkTzU. html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.dfkeguzhmpf.biz/V6mVQg00TdI7SCuHe9XeVKra9janNgcSAMfVLleE0yM.html


  • 5.) Geht in den Ordner C:\Windows\Tasks, dort sucht ihr nach einer *.job Datei, die aus 16 zusammengewürfelten Buchstaben/Zahlen besteht und zur vollen Stunde erstellt wurde. Beispiele hierfür:

    C:\WINDOWS\tasks\A58DA13791965BA7.job
    C:\WINDOWS\tasks\AE3C1401919B8531.job
    C:\WINDOWS\tasks\A60C46BB9187FF23.job

    löscht diese Datei mit killbox on reboot.


  • 6.) Jetzt löscht ihr noch eure Temp Dateien mit Cleanup! und deaktiviert die Systemwiederherstellung, führt einen Neustart durch und aktiviert sie wieder. Löscht ev. noch die Backups von HijackThis (unter "view the list of Backups" die jeweiligen aussuchen und auf delete klicken).


  • 7.) Macht zur Kontrolle noch einmal einen Onlinescan bei Panda dies muss mit dem IE geschehen, da ActiveX hierfür von Nöten ist.



Falls bei der Bereinigung Schwierigkeiten auftreten sollten eröffnet bitte einen eigenen Thread im Forum und postet nicht hier in die Anleitung rein, da es sonst sehr schnell unübersichtlich wird. Postet in diesen Thread eine Problembeschreibung und euer HijackThis Logfile.



Grüße Wildone
[edit]
Anleitung auf Wunsch von Wildone aktualisiert_16.04.2006

GUA
[/edit]

Geändert von Wildone (14.04.2006 um 12:51 Uhr)

Alt 14.04.2006, 12:28   #2
Wildone
 
Anleitung: Entfernung von Swizzor.A - Standard

Anleitung: Entfernung von Swizzor.A



Hallo,
ich habe es mal hier rein gepostet, vielleicht wäre es ganz gut es hier eine Zeit lang sticky zu machen und wenn die Hauptwelle abgeebbt ist, es unter Anleitungen zu speichern.

Für Verbesserungen/Ergänzungen/Anmerkungen bin ich jederzeit offen.


Grüße Wildone
__________________


Geändert von Wildone (14.04.2006 um 12:51 Uhr)

Alt 17.04.2006, 11:08   #3
GUA
entlassen
 
Anleitung: Entfernung von Swizzor.A - Cool

Anleitung: Entfernung von Swizzor.A



@ Wildone

__________________

 

Themen zu Anleitung: Entfernung von Swizzor.A
abgesicherten modus, bho, center, datei, dateien, einstellungen, escan, explorer, folge, forum, hijack, hijackthis, internet, internet explorer, microsoft, neustart, ordner, programm, programme, scan, software, start, suche, systemwiederherstellung, temp, träge, verweise, windows



Ähnliche Themen: Anleitung: Entfernung von Swizzor.A


  1. Ausführen der Anleitung zur Entfernung von Claro-search nicht möglich - Spyhunter in Downloadlink des Forums
    Plagegeister aller Art und deren Bekämpfung - 28.10.2012 (1)
  2. Swizzor Entfernung ?
    Log-Analyse und Auswertung - 26.07.2012 (3)
  3. GVU-Trojaner, Anleitung zur Entfernung ohne Erfolg, OTL?
    Plagegeister aller Art und deren Bekämpfung - 15.07.2012 (7)
  4. Brauche Anleitung bei Entfernung von HTTPS TIDSERV REQUEST 2
    Plagegeister aller Art und deren Bekämpfung - 06.11.2010 (7)
  5. Zlob eingefangen und Anleitung zur Entfernung befolgt bis Kapersky-Scan. Wie Weiter?
    Plagegeister aller Art und deren Bekämpfung - 24.04.2008 (25)
  6. iexplore.exe trotz Entfernung nach Swizzor-A-Anleitung
    Plagegeister aller Art und deren Bekämpfung - 06.01.2008 (2)
  7. Anleitung zur Entfernung -> New.Net Spyware
    Lob, Kritik und Wünsche - 05.07.2007 (19)
  8. Anleitung: Entfernung von New.Net Spyware
    Anleitungen, FAQs & Links - 05.07.2007 (0)
  9. Ersuche um Hilfe bei Swizzor.a Entfernung
    Log-Analyse und Auswertung - 08.02.2007 (4)
  10. Unklarheit bei der Anleitung zur Entfernung von Swizzor.A
    Log-Analyse und Auswertung - 07.01.2007 (12)
  11. Anleitung zur Entfernung von Zlob
    Diskussionsforum - 22.12.2006 (16)
  12. Bitte um Kontrolllesung von HiJackThisLog nach Swizzor.A Entfernung
    Log-Analyse und Auswertung - 15.09.2006 (6)
  13. Anleitung: Entfernung von Zlob
    Anleitungen, FAQs & Links - 07.07.2006 (0)
  14. Nach Entfernung von Swizzor
    Log-Analyse und Auswertung - 23.06.2006 (7)
  15. Swizzor ENTFERNUNG
    Log-Analyse und Auswertung - 01.05.2006 (4)
  16. Anleitung: Entfernung Smitfraud.c aka Troj/FakeAle-c
    Archiv - 27.07.2005 (0)

Zum Thema Anleitung: Entfernung von Swizzor.A - Zitat: Anleitung zur Swizzor.A Entfernung Erstmal einen Satz dazu was Swizzor ist, und wie er sich verbreitet. Swizzor ist ein Programm das lediglich dafür da ist Werbepopups einzuspielen und sich - Anleitung: Entfernung von Swizzor.A...
Archiv
Du betrachtest: Anleitung: Entfernung von Swizzor.A auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.