Malware Removal Information

Hoofdmenu

Home
Malware info
- Malware - Securitysuites
- Waarom?
Scanners
Infecties
- Archief 0 - E
- Archief F - N
- Archief O - S
- Archief T - Z
- CLB rootkit
- DNS-hijackers
- Haxdoor - Goldun
- Sinowal
- TDL3
- TDL4
- Virut
- Vundo
- Whistler
Tools
- Hijackthis
  - Hijackthis
  - Hijackthis handleiding
- Rootkitscanners
- ComBoFix
- HaxFix
- LSPFix
- Reglooks
- Roguescanfix
- SmitfraudFix
Informatie
Preventie
- De computer is malware vrij
- Infecties voorkomen

Swapx

Infecties > Archief O - S

Wat doet deze hijacker:
- Zet je startpagina op http://t.swapx.cc/h.php?aid=20009 of op http://win-eto.com/
- Voegt links toe aan je favorieten.
- Verwijdert het bestand hosts van je computer
- Downloadt en installeert andere malware programma's zonder je toestemming.

In een HijackThislog ziet dit er zo uit:
Een O2-item met een .dll die een ~ bevat. Deze .dll bevindt zich in de system32 map.
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\HXN166~1.DLL
Aanwezigheid van het bestand winlogin.exe in de map C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten
O4 - Global Startup: winlogin.exe
Een willekeurig gekozen .dll die verschijnt als een O20-item in de hijackthislog. De .dll bevindt zich in de system32 map.
O20 - AppInit_DLLs: vr75g1f0sbl.dll
Soms zie je ook:
O20 - AppInit_DLLs: h1puzxpch1x381ll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll

Hoe deze hijacker verwijderen:
Start hijackthis en controleer de sleutel O20 in de log.
Download Pocket KillBox.
Unzip het programma naar je bureaublad.
Klik op killbox.exe.
Selecteer de optie "Delete on reboot".
In het veld "Full path of file to delete" plaats je het bestand dat gevonden wordt onder O20 in de hijackthislog voorafgegaan door c:\windows\system32\.
Klik op de knop met de rode cirkel en het witte kruis.
Wanneer het programma vraagt om nu te rebooten, geef je hier toestemming voor.
Bevinden er zich onder O20 meerdere bestanden dan voeg je al deze bestanden toe om te verwijderen. Wanneer je het laatste bestand toegvoegd hebt geef je toestemming om de computer te rebooten.
Na de computer opnieuw gestart te hebben, controleer je of het bestand verwijderd is.

Start Hijackthis en verwijder de entries de betrekking hebben op deze infectie.
Download CWShredder. Start het programma en klik op de fixknop.

Download HostXpert. Unzip het programma, run het, klik op Restore Original Hosts, klik op OK en sluit het programma af.

Maak je Temp-map leeg: Start - Uitvoeren tik in: %TEMP%
Ledig de map met tijdelijke internetbestanden: configuratiescherm - Internetopties - tabblad Algemeen - klik bij Tijdelijke internetbestanden op Bestanden Verwijderen.

Download het regfiletje cwsswapx.reg. Unzip het, sla het op op je bureaublad. Dubbelklik er op om de wijzigingen aan het register toe te voegen.

Een volledig geupdate Ad-Aware SE rekent ook met deze infectie af. Scannen met Ad-Aware doe je best in veilige modus.
Nadien fix je nog de bijbehorende items met HijackThis.