Smitfraud.c & Co

[Ruby]

"Security warning":
A fatal error in IE has occured at 0028:C0011E36 in VXD VMM <01> + 00010E36.
Error was caused by Trojan-Spy.HTML.Smitfraud.c

Erscheinungsform:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hzzp://www.qfind.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hzzp://www.qfind.net/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hzzp://qfind.net/bar/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hzzp://www.qfind.net/search.php?qq=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hzzp://www.qfind.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hzzp://www.qfind.net/search.php?qq=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = hzzp://qfind.net/bar/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hzzp://www.qfind.net/search.php?qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hzzp://www.qfind.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hzzp://www.qfind.net/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = hzzp://www.qfind.net/search.php?qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hzzp://www.qfind.net/search.php?qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = hzzp://www.qfind.net/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hzzp://www.qfind.net/search.php?qq=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = hzzp://www.qfind.net/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = hzzp://www.qfind.net/
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O3 - Toolbar: Virtual Maid - {77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C} - C:\PROGRA~1\VIRTUA~1\VIRTUA~1.DLL
O4 - HKLM\..\Run: [MSN Messenger] C:\Windows\system32\msmsgs.exe

Art des Auftretens

Nach dem Motto, ein Ungl&#252;ck kommt selten allein, finden wir bei diesem neuen Browser-Hijacking eine Kombination zwischen alt und neu. Wir treffen alte Bekannte wieder in Form der Search Maid, der Virtual Maid; wir treffen auf C:\Windows\sites.ini, C:\Windows\popuper.exe und C:\Windows\System32\intmonp.exe. Und dann finden wir auch noch:
O4 - HKLM\..\Run: [MSN Messenger] C:\Windows\system32\msmsgs.exe und damit den Wurm "SDBot.Gen", der sich als Kr&#246;nung dieser Ansammlung von Malware angeschlossen hat.

Die Verbreitung ist relativ hoch und birgt in Kombination mit SDBot.Gen ein gro&#223;es Sicherheitsrisiko. Es ist daher sehr wichtig, fr&#252;hzeitig gewarnt zu sein, um die entsprechenden Gegen-Ma&#223;nahmen ergreifen zu k&#246;nnen.

Trojan-Spy.HTML.Smitfraud.c alias Troj/FakeAle-C, ist ein Trojaner, der den Windows-Hintergrund zu einem Bild ver&#228;ndern kann. Das Bild zeigt einen Bluescreen mit einem Text an und teilt dem User u.a. mit:

* System can not function in normal mode.
Please check you security settings.
* Scan your PC with any avaliable antivirus / spyware remover
program to fix the problem.

Troj/FakeAle-C legt die Bilddatei als C:\WP.BMP ab und erstellt einen Registrierungseintrag, damit er beim Systemstart aktiviert wird. Smitfraud.c alias Troj/FakeAle-C tritt in Kombination mit verschiedenen Hijackern auf. So wurde er bereits mit unserer alten Bekannten se.dll/sp.html gesichtet. Auch andere Versionen von about:blanc und sogar hotoffers sind m&#246;gliche Kombinationen.

Hinweise zur Entfernung von "Smitfraud.c - qfind.net" vom System finden sich hier:

Startseite (a-z)

eine weitere L&#246;sung kniffliger Startseiten-Probleme.

Ich danke an dieser Stelle all jenen Foren, die mir, in verschiedenen Sprachen, bei der L&#246;sungsfindung geholfen haben. Die Quellangaben sind den jeweiligen L&#246;sungen beigef&#252;gt. Die immer wiederkehrende Frage, wie man sein System vor solchen Hijackern sch&#252;tzen kann, ist leicht beantwortet: aktualisierte, stets geupdatete, sicher konfigurierte Software und Vorsicht beim Tick zum Klick: Sicherheit-Online.

In allen F&#228;llen von Smitfraud.c
kann auf Marc's Generic Smitfraud remover zur&#252;ckgegriffen werden,
der das Entfernen dieser Infektion wesentlich erleichtert.
Bitte die Hinweise beachten!

Beachte dazu die Anleitung unter:
Smitfraud.c

[Ruby]

Es kann bei "Smitfraud.c - qfind.net" zu einer Mischung mit quicknavigate.com kommen,
so dass beide Formen auf einem System zu finden sind:

Entfernungshinweis 1 und Entfernungshinweis 2

[Ruby]

Smitfraud.c läßt sich beliebig kombinieren.

Der Lösungsweg bleibt der Gleiche, muss aber - je nach Zusatzform der verschiedenen Kombinationen - angepasst, erweitert oder ergänzt werden.

Eine Ergänzung, die wieder ein ganzes Packet beinhaltet, ist hierin zu finden:

Explorer.exe - Fehler in der Anwendung.

Diese Erscheinungsformen können alle losgelöst voneinander oder auch in unterschiedlichen Kombination auftreten.

[Ruby]

Neue Variante Smitfraud.c - updatesearches.com

Die eigentliche Veränderung zu den bereits bekannten Erscheinungsformen des Smitfraud.c,
dem Smitfraud.c - qfind.net und Smitfraud.c - quicknavigate.com,
ist die Kombination mit folgenden Startseiten-Einträgen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hzzp://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hzzp://www.updatesearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hzzp://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hzzp://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = hzzp://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hzzp://www.updatesearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = hzzp://www.updatesearches.com/

auch hier angereichert durch die Anwesenheit des W32/Forbot-BD alias SDBot.Gen Wurm

F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe

u.a. an diesem Eintrag:

O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\system32\msmsgs.exe

im HijackThis Logfile zu erkennen.

Wir raten zur Anwendung des msmsgs.exe Removers, um diesen gefährlichen Wurm schnellstmöglich und effektiv vom System zu entfernen.

Ebenfalls vorhanden die variable Datei hpXXXX.tmp in verschiedener Nummern- und Buchstaben-Folge, erkennbar
durch den CLSID-Eintrag: {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}

O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp737A.tmp

Kombination mit Adware

Eine Adware-Form ist die Meldung

Warning, you´re in danger

die als Schrift auf schwarzem Desktop-Hintergrund erscheint oder auch in Form eines gelben Dreiecks in der Taskleiste mit einer Update Aufforderung.

Ein weitere Adware-Form kann diese Meldung sein:

Explorer.exe-Fehler in Anwendung

unter diesem o.g. Link findet sich eine ausführliche Beschreibung zu diesen Adware-Kombinationsmöglichkeiten.


Die Kombinationsmöglichkeiten sind vielfältig. Die Popups der

C:\WINDOWS\System32\popuper.exe
C:\WINDOWS\System32\intmonp.exe
C:\WINDOWS\System32\sites.ini

können auf dem System anwesend sein. Unser Popuper-Removaltool steht bereit.
Media Access, einem weiteren möglichen Adware-Element, begegnen wir mit dem
Media Access Remover.


Die Beispiellösung zur System-Reinigung wie immer unter:

Startseite (a-z)

Beispiele finden sich in zahlreicher Form in unseren Foren.

[Ruby]

Trojan-Spy.HTML.Smitfraud.c mit updatesearches.com
kann einhergehen mit einem schwarzen Desktop Hintergrund, auf dem zu lesen steht

"your computer is infected"

Beim Abarbeiten des bereits im obigen Posting genannten Lösungsweges unter

Startseite (a-z)

bishin zum Online-Scan mit Panda ActiveScan, kann sich herausstellen, dass in den Favoriten (Bookmarks/Lesezeichen) des Internet Explorers unter:

C:\Documents and Settings\Name Benutzerkonto\Favoriten\....

Einträge zu Ad/Spyware enthaltenden Seiten zu finden sind. Werden diese Web-Seiten mit dem Internet Explorer aufgesucht, kann es passieren, dass diese Adware aufs System gelangt, insbesondere dann, wenn von diesen Seiten Software heruntergeladen wird.

Den bis jetzt bekannten Malware-Dateien:

C:\wp.exe
C:\wp.bmp
c:\bsw.exe
C:\%Windir%\sites.ini
C:\%Windir%\popuper.exe
C:\%Windir%\%System%\shnlog.exe
C:\%Windir%\%System%\intmon.exe
C:\%Windir%\%System%\helper.exe
C:\%Windir%\%System%\intmonp.exe
C:\%Windir%\%System%\msmsgs.exe
C:\%Windir%\%System%\ole32vbs.exe
C:\%Windir%\%System%\msole32.exe
C:\%Windir%\%System%\hp?XX?.tmp

die auf einem System anzutreffen sein können, aber nicht unbedingt anzutreffen sein müssen, haben sich weitere Malware-Dateien angeschlossen, die ebenfalls vorhanden sein können, aber nicht zwingend vorhanden sein müssen:

C:\%Windir%\%System%\mocih.exe
C:\%Windir%\%System%\winnook.exe

(Anmerkung: %Windir% ist der jeweilige Windows-Ordner, entweder Windows oder WINNT,
%System% der System-Ordner, entweder System oder System32)

Quelle

Systemschutz vor Ad-/Spyware

Einen guten Schutz vor Spyware und weiteren Gefahren bietet der
SpywareBlaster 3.4, der in einer neuen Version vorliegt und kostenlos heruntergeladen werden kann.

Eine regelmäßige Systemkontrolle mit den neuesten Versionen von Ad-Aware SE und
Spybot Search & Destroy kann den Rechner vor solchen Eindringlingen bewahren.

System-Kontrolle

Es empfiehlt sich desweiteren ein Wächterprogramm auf dem Rechner zu haben, der das Zuschalten und/oder Einschalten/Aufstarten von fremden Programmen genehmigungspflichtig macht: RegistryProt, ein etwas nerviges Programm, das sich mehrfach bei jeder Internet-Sitzung zu Wort meldet und nachfragt, ob die Programme, die gerade laufen auch wirklich erwünscht sind. Es entfernt keine Programme, hindert sie aber daran zu laufen, wenn man sie nicht genehmigt.

Der Starter zeigt an, welche Programme im Systemstart zu finden sind.

System-Reinigung

Mit dem RegCleaner kann man leicht und überschaubar Autostart-Einträge und anderes entfernen und sein System reinigen. Es bedarf zwar keiner großen Vorkenntnis, aber man sollte schon wissen, welche Programme man auf seinem Rechner hat, welche man wünscht und welche dort nicht hingehören. Wer dies nicht weiß, sollte sich mit einem HijackThis Logfile laut Anleitung im Forum zu Wort melden.

Nach jeder Internet-Sitzung empfiehlt es sich jene Spuren vom System zu entfernen, die ein Spaziergang im Netz mit allen Tätigkeiten hinterlassen hat. Der Einfachheit halber kann man hierzu eines der folgenden Programme verwenden:

ClearProg, CCleaner, CleanUp oder Disk Cleaner.

Systemschutz Grundbedingungen

Grundvoraussetzung für ein reibungsloses Funktionieren des Rechners
ist selbstverständlich geupdatete Software:

ein aktualisiertes Betriebssystem und der aktualisierte Internet Explorer (www.windowsupdate.com),
der auch dann auf dem neuesten Stand sein muss, wenn er nicht verwendet wird.
Er läuft im Hintergrund mit und ist eine Quelle für Infektionen aller Art.

Eine Firewall ist nur dann sinnvoll, wenn sie richtig konfiguriert ist. Man kann überflüssige Dienste von Hand ausschalten: www.ntsvcfg.de, www.dingens.org und die zahlreichen Reporte und Dokumentationen einer der umfangreichsten, bedeutendsten und interessantesten deutschen Web-Site, der Trojaner-Info.de, helfen hierbei.

Systemschutz vor Viren

Ein geupdatetes Virenschutz-Programm schützt den Rechner vor dem Eindringen weiterer Schädlinge, Würmer und Trojaner. Dazu sollte das AntiViren-Programm auf dem neuesten Stand gehalten werden, und der Hintergrundwächter aktiviert sein. Es kommen stündlich neue Viren in Umlauf. Wehe dem, der glaubt, dass ein inaktives, nicht geupdatetes Schutzprogramm ein System schützen kann.

Für diejenigen unter uns, die aus Unkenntnis kein AV-Programm auf dem Rechner haben, eine Liste der verfügbaren kostenlosen und kostenpflichtigen Security-Tools.

Anmerkung

Alle in diesem Posting vorgestellten Programme sind kostenlos, leicht zu handhaben und dienen dem Schutz der Privatsphäre des Anwenders. Sie verhindern unliebsame Überraschungen und gewährleisten, dass man seinen Rechner störungslos bedienen kann.

Für Fragen und Probleme mit euren Rechnern stehen wir euch im Forum zur Verfügung.

[Ruby]

Smitfraud.c in New Look
eine Vorstellung der hinzugekommenen Dateien

Wenn man bei verschiedenen Logfiles immer wieder auf die gleichen Dateien trifft, wird man aufmerksam. Man schaut sich im Netz um, da man die Dateien noch nicht kennt, aber vielleicht sind sie ja schon bekannt?

Sie sind bekannt. Ganz allmählich formt sich ein Bild in den Foren dieser Welt.
Von allen Seiten werden Datenfunde erwähnt, die auch meiner Beobachtung entsprechen. Das Aussehen des Smidfraud.c hat sich verändert. Es ist noch bunter geworden, noch gefährlicher und noch schwerer vom System zu entfernen.

C:\Windows\system32\hhk.dll

Troj/Puper-D

alias trojan.popuper, Troj/Puper-D ist ein Trojaner für die Windows-Plattform, der Browser hackt, indem er die Einstellungen für den Microsoft Internet Explorer, darunter die Startseite und Sucheinstellungen, ändert.
Wenn Troj/Puper-D installiert wird, werden folgende Dateien erzeugt:

<System>\hhk.dll
<System>\intmon.exe
<System>\hpXX.tmp - wobei XX für zufällig erzeugte Zeichen steht.

Damit er beim Start aktiviert wird, erstellt der Trojaner den folgenden Registrierungseintrag:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\expl orer\run
paint.exe
shnlog.exe

Troj/Puper-D ändert Einstellungen des Microsoft Internet Explorers, darunter die Startseite und Sucheinstellungen, indem er Werte an folgenden Stellen verändert:

HKCU\Software\Microsoft\Internet Explorer\Main
HKCU\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
HKCU\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
HKCU\Software\Microsoft\Internet Explorer\Search
HKCU\Software\Microsoft\Internet Explorer\Main\Search Page
HKCU\Software\Microsoft\Internet Explorer\Main\Start Page
HKCU\Software\Microsoft\Internet Explorer\SearchUrl

Folgende Registrierungseinträge werden erstellt:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Brow ser Helper Objecta\(FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Brow ser Helper Objecta\(FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA)\(default)

Sophos

C:\Windows\System32\wldr.dll

Troj/FakeAle-D

Troj/FakeAle-D, ein Windows-Trojaner, verfügt über die Fähigkeit zum Verändern von Browser-Einstellungen und zum Anzeigen gefälschter Meldungen als Windows-Desktop-Hintergrundbild. Das Bild zeigt einen blauen Bildschirm und folgenden Text:

Security warning

A fatal error in IE has occured at 0028:C0011E36 in VXD VMM(01) +
00010E36. Error was caused by Trojan-Spy.HTML.Smitfraud.c

* System can not function in normal mode.
Please check you security settings.
* Scan your PC with any avaliable antivirus / spyware remover
program to fix the problem.

Sobald Troj/FakeAle-D installiert ist, werden folgende Dateien erstellt:

<System>\wldr.dll
<Root>\wp.bmp
<Root>\wp.exe

Sophos

C:\WINDOWS\system32\perfcii.ini
(Adware:Adware/Virmaid)

C:\WINDOWS\System32\mocih.exe

Troj/Chimo-B

Troj/Chimo-B ist ein Trojaner für die Windows-Plattform.
Wenn er erstmals gestartet wird, kopiert sich Troj/Chimo-B als mocih.exe in
den Windows-Systemordner und registriert sich als Dienstprozess
Er ermöglicht Dritten den Zugriff auf den Computer, fälscht die E-Mail-Adresse des Senders
verwendet seine eigene E-Mail-Engine, reduziert die Systemsicherheit,
installiert sich in der Registrierung.

Sophos

C:\WINDOWS\sys???.exe
(Adware:Adware/Adsmart)
C:\WINDOWS\sys522.exe
(Adware:Adware/Adsmart)

möglicherweise verantwortlich für clicksearchclick.com

C:\WINDOWS\smdat32m.sys

Adware.Topsearch

Adware.Topsearch agiert als Suchmaschine.
Andere Programme installieren diese Adware zusammen mit bestimmten Versionen von KaZaA and Grokster.
File Namen: Topsearch.dll; asm.exe; asmps.dll; Points Manager.exe

Symantec

C:\WINDOWS\cdmxtras

Cydoor

alias Spyware/Cydoor [Panda], TrojanDownloader.Win32.BHO [Kaspersky], Kategorie: Adware

Unterlegt den Desktop mit Popup/Popunder Abbildungen, die dann wiedergegeben werden, wenn das eigentliche Produkt nicht läuft oder man nicht mit dem Produkt verbunden ist. Er kann nicht durch hinzufügen und entfernen von Programmen entfernt werden. Es gibt keinen Uninstaller bei der Anwendung. Er verändert die Browser-Einstellungen, ohne Erlaubnis des Users.

CA

C:\WINDOWS\system32\oleadm.dll

Troj/Puper-D

(Virus:Trj/Cloak.A, Trojan-Downloader.Win32.Agent.ns)

''youre in danger''

Systemwarnungen über Spyware auf dem Rechner, ein blinkendes Dreieck mit einem Ausrufezeichen

Sophos

In Zukunft werden wir diese Dateien-Landschaft in die Killbox kopieren müssen.

C:\wp.exe
C:\wp.bmp
C:\bsw.exe
C:\Windows\sites.ini
C:\Windows\popuper.exe
C:\Windows\system32\hhk.dll
C:\Windows\System32\wldr.dll
C:\Windows\System32\helper.exe
C:\Windows\System32\intmon.exe
C:\Windows\System32\shnlog.exe
C:\Windows\System32\intmonp.exe
C:\Windows\System32\msmsgs.exe
C:\Windows\system32\msole32.exe
C:\Windows\System32\ole32vbs.exe

C:\WINDOWS\system32\oleadm.dll
C:\WINDOWS\system32\perfcii.ini
C:\WINDOWS\System32\mocih.exe
C:\WINDOWS\smdat32m.sys
C:\WINDOWS\sys???.exe
C:\WINDOWS\sys522.exe
C:\WINDOWS\cdmxtras

Wobei ich noch mehr Dateien entdeckt habe, bei denen ich mir aber noch nicht sicher bin, dass sie zum Erscheinungsbild des Smitfraud c. in Kombinationen mit weiterer Malware gehören.

[Ruby]

Anleitung zur Entfernung
von Smitfraud.c in New Look

mit allen bis jetzt festgestellten, dazugeh&#246;rigen Dateien:

Startseite (a-z)

Diese Reinigungsarbeiten werden sehr wahrscheinlich nicht ausreichen, um diese sehr schwere Kombinations-Infektion entg&#252;ltig vom System zu entfernen. Es ist darauf zu achten, dass die Programme, die Nischen und Zwischenr&#228;ume, tempor&#228;re Ordner und Quarant&#228;ne-Ordner leeren k&#246;nnen, sehr sorgf&#228;ltig und am besten mehrfach angewendet werden. Wenn Spuren dieser Infektion irgendwo auf dem System zur&#252;ckbleiben, kommt es zu einer Neu-Infektion.

Eine Anleitung zum leeren der tempor&#228;ren Ordner.

Es ist dringend zu empfehlen, eines bis mehrere dieser Reinigungstools einzusetzen:

ClearProg, CCleaner, CleanUp oder Disk Cleaner.

Dar&#252;berhinaus empfiehlt es sich den Rechner mit einer Trial-Version von Ewido im abgesicherten Modus zu scannen und eventuelle &#220;berbleibsel entfernen zu lassen.

In allen F&#228;llen von Smitfraud.c
kann auf Marc's Generic Smitfraud remover zur&#252;ckgegriffen werden,
der das Entfernen dieser Infektion wesentlich erleichtert.
Bitte die Hinweise beachten!

Beachte dazu die Anleitung unter:
Smitfraud.c

[Ruby]

Smitfraud-Varianten

alphabetische Datei-Wiedergabe, neue Varianten, als da wären:

Smitfraud.c, Win32.puper, PSGuard, P.S.Guard, SpySheriff,
Spyaxe, Virtual Maid, wmf exploit.... (*)



Bündnisse mit Malware aller Art, Startseiten-Infektionen, bis hin zu Würmern.
Eine Ergänzung der bisher bekannten Dateien findet sich unter

Startseite (a-z)

Die Remover, die die Arbeit erleichtern:

Generic Smitfraud remover (*)

SmitFraudFix (WinXP, Win2K) gegen:
Smitfraud, Win32.puper, AVGold, Security iGuard, Spyware Vanisher,
quicknavigate.com, updateSearches.com, startsearches.net, bestsecurityguide.com,
Virtual Maid, SpySheriff, PSGuard, SpyAxe, WinHound, SpywareStrike, SpyFalcon, Spyware Quake...

weitere Information:

>> SpyAxe|SpySheriff|SpywareStrike|Smitfraud (Remover) <<

>> SpywareStrike (Smitfraud-Variant) Remover <<

PestTrap / SpySherif Variant

SpyFalcon & AlfaCleaner

Zusammenfassung der Spyware Infections und ihrer Remover alphabetisch:

AdwarePunisher
AlfaCleaner
PestTrap
SpyFalcon
SpywareStrike
Spyware Quake Removal

SpyAxe|SpySheriff|SpywareStrike|AlfaCleaner|SpyFalcon|Spywar eQuake|Smitfraud