Trojaner-Board - Anleitung: Entfernung von Swizzor.A

Zitat:

Anleitung zur Swizzor.A Entfernung

Erstmal einen Satz dazu was Swizzor ist, und wie er sich verbreitet. Swizzor ist ein Programm das lediglich dafür da ist Werbepopups einzuspielen und sich selbst upzudaten.
Der Verbreitungsweg ist meist Huckepack mit anderer Software als sogenanntes Sponsorenprogramm, die bekanntesten Programme dafür sind Netpumper und MessengerPlus3. Jetzt aber zur Entfernung:

1.) Deinstalliert über Start>>Eintellungen>>Systemsteuerung>>Software das Programm das den Swizzor eingeschleust hat, z.B. Netpumper oder MessengerPlus3. Macht dann einen Neustart, wenn dann keine Popups oder Meldungen des AVs mehr kommen sollte es das schon gewesen sein.
2.) Besorgt euch HijackThis und scannt damit euer System.
3.) Normalerweise hat Swizzor mindesten zwei Einträge, einen O2 und einen O4 Eintrag, diese verweisen immer auf Ordner in folgendem Pfad:
C:\DOKUMENTE UND EINSTELLUNGEN\*USER*\ANWENDUNGSDATEN\*beliebiger Ordnername*

*User* Steht für einen beliebigen Benutzer, kann aber auch den Pfad "All Users" meinen.

Häufig werden die Ordnernamen bei HijackThis abgekürzt, das sieht dann folgendermaßen aus:
C:\DOKUME~1 (~1 steht also für beliebig folgende Buchstaben oder Zahlen)

Mal ein paar Beispieleinträge, damit ihr wißt nach was ihr suchen müßt:

O2 - BHO: (no name) - {4774DFA6-2A34-46A1-AD67-A81DC29573FB} - C:\DOKUME~1\*User*\ANWEND~1\EXITSI~1\shimwipe.exe
O2 - BHO: (no name) - {C434066A-AFBD-C484-4679-77547D40E815} - C:\DOKUME~1\*User*\ANWEND~1\FACEVI~1\bleh live.exe
O4 - HKLM\..\Run: [plan load film pop] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OkayDrawPlanLoad\dale kind.exe
O4 - HKLM\..\Run: [01FlagAimDate] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Popcoal01flag\Chic thunk.exe
4.) Wenn ihr jetzt die betreffenden einträge gefunden habt geht ihr in den abgesicherten Modus und löscht dort die betrefenden Ordner, bei den Beispieleinträgen wären das folgende:

C:\DOKUME~1\*User*\ANWEND~1\EXITSI~1\
C:\DOKUME~1\*User*\ANWEND~1\FACEVI~1\
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OkayDrawPlanLoad\
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Popcoal01flag\

dann, immernoch im abgesicherten Modus, fixt (Haken davor und auf "fix checked") ihr mit HijackThis noch die jeweiligen O2 und O4 Einträge und, falls vorhanden, einen R1/R0 Eintrag der folgendermaßen aussieht:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.ktqiyvfudnpyyjefgkwps.net/V6mVQg00TdIVfw/eyPEwBsSNByJ6INmtFOBkQhZTjKezSt4pixNYZXV24zqMkTzU. html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.dfkeguzhmpf.biz/V6mVQg00TdI7SCuHe9XeVKra9janNgcSAMfVLleE0yM.html
5.) Geht in den Ordner C:\Windows\Tasks, dort sucht ihr nach einer *.job Datei, die aus 16 zusammengewürfelten Buchstaben/Zahlen besteht und zur vollen Stunde erstellt wurde. Beispiele hierfür:

C:\WINDOWS\tasks\A58DA13791965BA7.job
C:\WINDOWS\tasks\AE3C1401919B8531.job
C:\WINDOWS\tasks\A60C46BB9187FF23.job

löscht diese Datei mit killbox on reboot.
6.) Jetzt löscht ihr noch eure Temp Dateien mit Cleanup! und deaktiviert die Systemwiederherstellung, führt einen Neustart durch und aktiviert sie wieder. Löscht ev. noch die Backups von HijackThis (unter "view the list of Backups" die jeweiligen aussuchen und auf delete klicken).
7.) Macht zur Kontrolle noch einmal einen Onlinescan bei Panda dies muss mit dem IE geschehen, da ActiveX hierfür von Nöten ist.

Falls bei der Bereinigung Schwierigkeiten auftreten sollten eröffnet bitte einen eigenen Thread im Forum und postet nicht hier in die Anleitung rein, da es sonst sehr schnell unübersichtlich wird. Postet in diesen Thread eine Problembeschreibung und euer HijackThis Logfile.

Grüße Wildone

[edit]
Anleitung auf Wunsch von Wildone aktualisiert_16.04.2006

GUA
[/edit]