Snapdo AdWare entfernen

Heute galt es einen Windows 7 Rechner von einer Adware zu entfernen: Nach der Installation von Irfan View aus einer offensichtlich nicht vertrauenswürdigen Quelle hatte sich im Internet Explorer und Firefox die Adware festgesetzt. Sie leitet nach dem Start eines Browsers direkt auf eine Suchseite mit manipulierten Ergebnissen und fragwürdigen Anzeigen, und sollte daher schnellstmöglich entfernt werden. Dazu bin ich wie folgt vorgegangen:

Der Ausschlaggebende Hinweis war, das sich im Verzeichnis c:\windows\installer die *.xpi Dateien verstecken, die die schädlichen Plugins für Firefox und Chrome enthalten. Die Dateinamen merken, (bei mir z.B. {EFB2AE82-989B-4CA0-BB6E-31D15821C9A1} und die Dateien (bei mir 2) dann löschen.

Nun per regedit in der Registry nach den beiden Dateinamen suchen, und sämtliche Einträge löschen die gefunden werden (bei mir min. 5 mal pro Datei).

Firefox deinstallieren, und die Folder c:\Benutzer\<name>\AppData\Local\Mozilla und c:\Benutzer\<name>\AppData\Roaming\Mozilla manuell löschen.

CCleaner und AdwCleaner laufen lassen (Vorsicht, beim Download lauern teilweise wieder Fallen)

Beim Internet Explorer wird mit weiteren Tricks gearbeitet: Die Verknüpfungen sind manipuliert, das heisst ein Icon startet den Internet Explorer mit einem entsprechenden Link. In den Eigenschaften der Verknüpfung kann dies geändert werden. Bei mir war der IE Aufruf mit einem %SNP% erweitert.

Der Schadhafte Link befindet sich vercryptet in einer System Variable %SNP%. Diese muss natürlich entfernt werden. Dort fällt eine weitere Systemvariable auf die da nicht hingehört: SNF. Der Wert zeigt auf eine Versteckte Datei bzw. Verzeichnis namens c:\ProgramData\RedTips\snp.sc. Das komplette Verzeichnis sofort löschen.

Festplatte aufräumen, Virenscanner starten, booten, Firefox neu installieren.

Jetzt sollte wieder alles laufen.