AdWare.Lop - TR/Swizzor

startseite Gastbuch Kontakt
AdWare.Lop - TR/Swizzor
AdWare.Lop - TR/Swizzor

AdWare.Lop - TR/Swizzor





Link ->Swizzor-Trojaner
Link -> Anleitung Entfernung

Hierbei handelt es sich um ein Programm welches Werbung erzeugt und anzeigt.
Wird das Programm gestartet, so zeigt es fortlaufend Werbung in verschiedenen Formen an. So können Pup-Up Fenster geöffnet werden, oder eine Browserleiste angezeigt werden.
Adware sammelt keine persönlichen Daten, jedoch können Daten anonymisiert gesammelt werden.

C:\PROGRAMME\C2Media --> Adware:adware/lop
C:\Programme\NetPumper
C:\Programme\MessengerPlus! 3
C:\Programme\Adverts\uninst.exe -> Download.Adware.Lop


Beispiel

Auf dem Desktop erscheint auch des Öfteren sowas wie "Ringtones" oder "Flirt...", "OnlineCasino".

Escan

C:\Dokumente und Einstellungen\Username\Anwendungsdaten\Inside Admin
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Scrbibrdrproc


C:\Dokumente und Einstellungen\Gast\Lokale Einstellungen\Temporary Internet Files\ Content.IE5\R85I8X8I\upAYB[1].int

C:\Programme\MessengerPlus! 3\MsgPlus.exe

C:\DOKUME~1\Username\ANWEND~1\EGGSST~1\mealsoftware.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\load grim send find
C:\Dokumente und Einstellungen\Username\Anwendungsdaten\Proxy4\ace platform.exe
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\5dfe27.exe
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\sta44.exe

C:\System Volume Information\_restore{28BD9BC2-96E6-4BCD-85AB-5D66C6D15E9D}\RP372\A0070291.exe = Trojan-Downloader.Win32.Swizzor.bo

Verzeichnis von C:\WINDOWS\tasks
27.08.2005 14:00 270 A6F8639B91841BA7.job
27.08.2005 14:00 270 AD70D28A91CB462A.job


a2 free
a-squared

Dr.Web
dr.Web

Counterspy
http://virus-protect.org/counterspy1.html

Panda (Online-Virenscan)
http://virus-protect.org/onlinescan.html

* %APPDATA%\Proxy download
* %COMMON_APPDATA%\one mix eggs spam
* %APPDATA%\curb test

* %FAVORITES%\Computers
* %FAVORITES%\Computers\Games
* %FAVORITES%\Cool Stuff
* %FAVORITES%\Cool Stuff\Fun Stuff
* %FAVORITES%\Cool Stuff\Home
* %FAVORITES%\Cool Stuff\Online Pharmacy
* %FAVORITES%\Internet
* %FAVORITES%\Internet\Education
* %FAVORITES%\Online Gaming
* %FAVORITES%\Shopping Gifts
* %FAVORITES%\Travel

* %PROGRAM_FILES%\C2Media
* %PROGRAM_FILES%\Proxy download

* %APPDATA%\baitviewplatformbin

* %COMMON_APPDATA%\baitviewplatformbin
* %COMMON_APPDATA%\wayrefcakeplatform

Adware.LOP might create following files:

* %APPDATA%\Proxy download34348D
* %COMMON_APPDATA%\one mix eggs spam\else proxy that
* %WINDOWS%\Tasks\A4E141FA918EFE12.job

* %APPDATA%\curb test Bolt.exe
* %APPDATA%\Proxy download\eybnodub.exe
* %APPDATA%\Proxy download\license win joy team.exe
* %APPDATA%\Proxy download\mail program.exe
* %APPDATA%\Proxy download\Metafragopentype.exe
* %APPDATA%\Proxy download\Readme bind hole.exe


* %DESKTOP%\Casino Online.lnk
* %DESKTOP%\Internet .lnk
* %DESKTOP%\Poker .lnk
* %DESKTOP%\Printer Cartridges.lnk
* %DESKTOP%\Travel .lnk
* %DESKTOP%\Website Hosting.lnk

C:\Dokumente und Einstellungen\User\Desktop\Sugababes\DontCha.zip
C:\Dokumente und Einstellungen\User\Desktop\Sugababes\More MP3.exe
C:\Dokumente und Einstellungen\User\Desktop\Sugababes\Read first.exe
C:\Dokumente und Einstellungen\User\Desktop\Sugababes\Sugababes


* %FAVORITES%\Casino Online.url
* %FAVORITES%\Computers.url
* %FAVORITES%\Games.url
* %FAVORITES%\Movie.url
* %FAVORITES%\Web Hosting.url

* %PROFILE%\Local Settings\Temp\bis22.exe
* %COMMON_APPDATA%\one mix eggs spam\BALL HECK.exe
* %PROGRAM_FILES%\C2Media\Setup.exe
* %APPDATA%\WEB BIN\SITEDVD.EXE
* %APPDATA%\fordth~1\greathtm.exe
* %COMMON_APPDATA%\wayrefcakeplatformrdrgrey

Adware.LOP --> tracking cookies:

* lop.com
* mysearchnow.com

Adware.LOP might create following registry keys

* HKEY_CLASSES_ROOT\CLSID\{B2FAEF74-2FCF-077B-0C14-5C22256F9FC7}

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ Browser Helper Objects\{B2FAEF74-2FCF-077B-0C14-5C22256F9FC7}

* HKEY_USERS\*\Software\cast idle sign

* HKEY_USERS\*\Software\cast idle sign\logoplatform

* HKEY_USERS\*\Software\Microsoft\Windows\CurrentVersionActiveBend

* HKEY_CLASSES_ROOT\CLSID\{75691ED1-FFFF-A997-7506-1DB50E267343}

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Browser Helper Objects\{92087450-8DCE-D07D-3350-3F81A812049C}

* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Explorer\Browser Helper Objects\{B8A4BFC8-35B4-3A83-188D-241EAEF7446B}

Adware.LOP might create following registry values:

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Eggs Spam Way Hole

* HKEY_USERS\*\Software\cast idle sign|UserBone

* HKEY_USERS\*\Software\Microsoft\Windows\CurrentVersion\Run|Meet Gram

Adware.LOP might create registry values with following data:

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ MessengerPlus3|SponsorInstalled|dword:00000001

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main|*| http://www.xtcfuqrkfijluxsabfwwqwmo.net*

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main|*| http://web.ukpawxeiapxmlrybsezi.info*

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main|*| http://searchweb2.com*



TrojanDownloader.Win32.Swizzor.ae, Adware-180Solutions [ McAfee ], medios C2, después de la compañía que lo hace, Lop, LopAdvert [ McAfee ], MP3Search [ McAfee ], MpAdvert [ McAfee ], Trojan.Win32.SecondThought.h [ Kaspersky ], TrojanClicker.Win32.Rotarran (para Lop.Com.WinactiveJ), TrojanDownloader.Win32.Small.bp, TrojanDownloader.Win32.Small.bp [ Kaspersky ], TrojanDownloader.Win32.Swizzor.au [ Kaspersky ], TrojanDownloader.Win32.Swizzor.ba [ Kaspersky ], TrojanDownloader.Win32.Swizzor.bm [ Kaspersky ], TrojanDownloader.Win32.Swizzor.bn [ Kaspersky ], TrojanDownloader.Win32.Swizzor.br [ Kaspersky ], TrojanDownloader.Win32.Swizzor.i [ Kaspersky ], TrojanDownloader.Win32.Swizzor.q [Kaspersky], TrojanDropper.Win32.Small.fl [Kaspersky]

Variantes de Lop.com
======================================
Lop.com.WinActive
Lop.com.WinActiveJ
Lop.com/Active
Lop.com/AYB
Lop.com/Dialer
Lop.com/IMZ
Lop.com/Loader
Lop.com/RND
Lop.com/Toolbar
Lop.com/Trinity

Algunas variantes instalan el software de Toolbar y el software de AYB

Valid HTML 4.01 Ranking-Hits