pop ups von Spy Sherrif

Dieses Thema pop ups von Spy Sherrif im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von griego, 20. März 2006.

Thema: pop ups von Spy Sherrif Ich habe mir den ganzen Thread bezüglich des SpySherrifs durchgelesen...

  1. Ich habe mir den ganzen Thread bezüglich des SpySherrifs durchgelesen (http://www.wintotal-forum.de/index.php/topic,83814.0.html),  ich habe ihn jedoch nicht völlig eliminiert denke ich. Bei mir geht eigentlich alles (kein Desktop ausfall, keine Taskmanagersperre oder sowas). Nur eines stört mich gewaltig! Pop ups kommen immer wieder, (denke) bin mir eigentlich sicher das der Sherrif schuld ist.

    Was kann ich denn noch machen?  :(
    Brauche Hilfe!

    Hier meine Logfile:

    Logfile of HijackThis v1.99.1
    Scan saved at 12:53:01, on 20/03/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Archivos de programa\Messenger\msmsgs.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Archivos de programa\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
    C:\Archivos de programa\Microsoft Office\OFFICE11\ONENOTEM.EXE
    C:\Archivos de programa\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Documents and Settings\x\Escritorio\hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    F2 - REG:system.ini: UserInit=userinit.exe
    O4 - HKLM\..\Run: [webHancer Survey Companion] C:\Archivos de programa\webHancer\Programs\whsurvey.exe
    O4 - HKLM\..\Run: [Installed] 95
    O4 - HKLM\..\Run: [cme] C:\WINDOWS\system32\cme.exe
    O4 - HKLM\..\Run: [cmeupd] C:\WINDOWS\system32\cmeupd.exe
    O4 - HKLM\..\Run: [gmt] C:\WINDOWS\system32\gmt.exe
    O4 - HKLM\..\Run: [Dynamic Desktop Media] C:\WINDOWS\system32\sysu.exe
    O4 - HKLM\..\Run: [KAVPersonal50] C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
    O4 - HKCU\..\Run: [MSMSGS] C:\Archivos de programa\Messenger\msmsgs.exe /background
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Shell] C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00001.exe
    O4 - HKCU\..\Run: [qqwf] C:\ARCHIV~1\ARCHIV~1\qqwf\qqwfm.exe
    O4 - Global Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = C:\Archivos de programa\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
    O4 - Global Startup: Inicio rápido de Microsoft Office OneNote 2003.lnk = C:\Archivos de programa\Microsoft Office\OFFICE11\ONENOTEM.EXE
    O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
    O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab
    O20 - Winlogon Notify: ShellCompatibility - C:\WINDOWS\system32\gp6sl3j71.dll
    O20 - Winlogon Notify: skyx16 - C:\WINDOWS\SYSTEM32\skyx16.dll
    O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
    O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
     
  2. bei mir hat sich Spysheriff auch au meinem Computer leider automatisch installiert gehabt. Ich hatte das Gefühl, daß dieser Spysheriff so geschrieben ist, daß er
    für andere als eine Plattform dient um Spammalis zu versenden, die von
    anderen Usern geschrieben werden.

    Meine Lösung für das Problem den Spysheriff los zu werden war, ich habe
    Spybot 1.4 laufen lassen, dort hat er den Spyscheriff als Virus erkannt
    und alle Treats und Regedit Einträge usw. sauber rausgelöscht und das
    Programm von meinem Computer entfernt.

    Manchmal ist es der einfachste Weg und ohne Umstände so ein Schädling
    los zu werden
     
  3. Hab ich schon gemacht. Mein Search&Destroy hat ihn auch gefunden und zerstört, aber er macht trotzdem noch sachen (pop ups aufpoppen lassen), also kann er nicht vollkommen gelöscht sein.
     
  4. Hey griego

    Du hast mehere Infektionen auf deinem PC,ich melde mich später mit einer Reinigung Anleitung

    Gruss
    Mopao
     
  5. @Kami

    SpySheriff,PSGuard,WinHound,spyaxe,SpywareStrike sind Familie,Spybot kann diese Infektion nicht beseitigen,ohne Speziel Tools wie SmitfraudFix oder Smitrem.exe, falls du Hilfe brauchst eröffne mal einen neuen Thema & poste ein HijackThis log

    Gruss
    Mopao
     
  6. @Kami

    #In der Systemsteuerung/software folgende deinstallieren
    webHancer

    #Lade dir SmitfraudFix http://siri.urz.free.fr/Fix/SmitfraudFix.php auf dem Desktop speichern und auf dem desktop entpacken,danach wird einen Ordner SmitfraudFix auf dem Desktop erstellt,nun muss du dieser Ordner öffnen,dann Doppelklick auf SmitfraudFix.cmd,dann Taste 2 und dann Enter,wenn diese Frage o/n kommt muss du mit Taste o beatätigen,

    #PC neustarten
    #Lade dir SmitRem.exe http://noahdfear.geekstogo.com ,die Datei auf dem Desktop speichern, doppelklicken auf die Datei und Start klicken.Dann wird ein Ordner SmitRem auf dem Desktop angelegt und die Dateien dahin entpackt.Noch nicht ausführen.

    #Lade dir Ewido Security Suite unbeding Update,noch nicht scannen.

    #Lade dir spysweeper Spysweeper intalliere & Update,mache ein voller Scann

    #PC neustarten--> abgesicherter Modus
    Starte das HijackThis Scan klicken (Folgende Einträge) Häckchen setzen & Button Fix checked klicken
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    F2 - REG:system.ini: UserInit=userinit.exe
    O4 - HKLM\..\Run: [webHancer Survey Companion] C:\Archivos de programa\webHancer\Programs\whsurvey.exe
    O4 - HKLM\..\Run: [Installed] 95
    O4 - HKLM\..\Run: [cme] C:\WINDOWS\system32\cme.exe
    O4 - HKLM\..\Run: [cmeupd] C:\WINDOWS\system32\cmeupd.exe
    O4 - HKLM\..\Run: [gmt] C:\WINDOWS\system32\gmt.exe
    O4 - HKLM\..\Run: [Dynamic Desktop Media] C:\WINDOWS\system32\sysu.exe
    O4 - HKCU\..\Run: [Shell] C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00001.exe
    O4 - HKCU\..\Run: [qqwf] C:\ARCHIV~1\ARCHIV~1\qqwf\qqwfm.exe
    O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab
    O20 - Winlogon Notify: ShellCompatibility - C:\WINDOWS\system32\gp6sl3j71.dll
    O20 - Winlogon Notify: skyx16 - C:\WINDOWS\SYSTEM32\skyx16.dll

    #PC neustarten--> abgesicherter Modus
    Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> Extras/Ordneroptionen ->
    Ansicht -> Haken entfernen bei Geschützte Systemdateien
    ausblenden (empfohlen) und Alle Dateien und Ordner anzeigen
    aktivieren -> OK

    Loesche:
    C:\Archivos de programa\webHancer
    C:\WINDOWS\system32\cme.exe
    C:\WINDOWS\system32\cmeupd.exe
    C:\WINDOWS\system32\gmt.exe
    C:\WINDOWS\system32\sysu.exe
    C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00001.exe
    C:\ARCHIV~1\ARCHIV~1\qqwf\qqwfm.exe
    C:\WINDOWS\system32\gp6sl3j71.dll
    C:\WINDOWS\SYSTEM32\skyx16.dll

    1. Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor.
    Oder unter Start/Programme/Zubehör/Editor
    2. copiere diser Code rein:
    Code:
    cd %windir% 
    attrib /s /d -h -s system32 
    attrib -s -h -r system32\cmd.com 
    attrib -s -h -r system32\bszip.dll 
    attrib -s -h -r system32\netstat.com 
    attrib -s -h -r system32\ping.com 
    attrib -s -h -r system32\regedit.com 
    attrib -s -h -r system32\taskkill.com 
    attrib -s -h -r system32\tasklist.com 
    attrib -s -h -r system32\tracert.com 
    del system32\cmd.com 
    del system32\bszip.dll 
    del system32\netstat.com 
    del system32\ping.com 
    del system32\regedit.com 
    del system32\taskkill.com 
    del system32\tasklist.com 
    del system32\tracert.com 
    
    3. Speichere die Datei als Fix.bat auf Desktop
    4. Doppel klick auf diese Datei Fix.bat

    #Funktionieren cmd und regedit auch  Task-Manager  per Tastenkombi (Strg+Alt+Entf) wieder?

    #PC neustarten--> abgesicherter Modus
    Öffne jetzt den Ordner smitrem doppelklick auf die Datei Runthis.bat , um das Tool zu starten. Den Anweisungen auf dem Bildschirm folgen.
    Wenn das Tool fertig wid, startet automatich DiskCleanup und wird die Festplatte aufräumt

    #PC neustarten--> abgesicherter Modus
    #Starte Ewido Security Suite mach ein voller Scan (Complete System Scan)

    #Scane mit Symantec Security Check ---->klicke auf Viren-erkennung (Virus Detection) dann Start. Downloading ActiveX erlauben,das Ergebnis hier posten.

    #Inhalt folgende ordner loeschen:
    C:\WINDOWS\temp---> Inhalt löschen
    C:\WINDOWS\Prefetch---> Inhalt löschen

    Bitte Folgende Ergebnis posten!
    #PC neustarten:
    #Neue HijackThis Log, den Report des Ewido Scans, & das Logfile von smitrem,welches unter C:\smitfiles.txt findet hier posten.

    Gruss
    Mopao
     
  7. Ich finde kein Programm Webhancer in meinem Ordnerverzeichnis sowie unter Systemsteuerung/Software! :(

    Hab in der Registry danach gesucht und da hab ich ihn gefunden und nicht nur einmal habe alle gelöscht. Habe dann nochmal HijackThis drüberlaufen lassen und er listet ihn mir immer noch auf. :( Was kann ich machen?
     
  8. Ich blocke jetzt wenigstens die Pop Ups aber der Trojaner ist immer noch da denke ich. Tempverzeichnis konnte ich nicht löschen weil es benutzt wird von ner anderen Person.
    Hier mein HiJack:

    Logfile of HijackThis v1.99.1
    Scan saved at 16:47:53, on 21/03/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
    C:\Archivos de programa\Messenger\msmsgs.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Archivos de programa\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
    C:\Archivos de programa\Microsoft Office\OFFICE11\ONENOTEM.EXE
    C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
    C:\Archivos de programa\ewido anti-malware\ewidoguard.exe
    C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Documents and Settings\x\Escritorio\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O4 - HKLM\..\Run: [KAVPersonal50] C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
    O4 - HKLM\..\Run: [SpySweeper] C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe /startintray
    O4 - HKCU\..\Run: [MSMSGS] C:\Archivos de programa\Messenger\msmsgs.exe /background
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = C:\Archivos de programa\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
    O4 - Global Startup: Inicio rápido de Microsoft Office OneNote 2003.lnk = C:\Archivos de programa\Microsoft Office\OFFICE11\ONENOTEM.EXE
    O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
    O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O20 - Winlogon Notify: skyx16 - C:\WINDOWS\SYSTEM32\skyx16.dll
    O20 - Winlogon Notify: StillImage - C:\WINDOWS\system32\jt2q07f5e.dll
    O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
    O23 - Service: Adobe LM Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
    O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoguard.exe
    O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
    O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
    O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe


    Hier Symantec:

    28126 files scanned, 6 file(s) infected on your disk drives.


    No viruses were detected in memory.

    Your computer is free of known threats. Virus Detection does not check compressed files.

    Your computer appears safe for now. For real-time protection from viruses, hackers and privacy threats, upgrade to Norton Internet Security?.

    No viruses were detected in memory.

    The scan was cancelled before finishing. To restart the scan, click here.

    Your computer is free of known threats. Virus Detection does not check compressed files.

    Your computer appears safe for now. For real-time protection from viruses, hackers and privacy threats, upgrade to Norton Internet Security?.

    Search for the name of the threat(s) listed below on the Symantec Security Response site for removal information.

    Warning! The scan detected a virus that is active in your computer's memory.
    The scan ended to prevent further infection.

    You should shut down your computer immediately and restart it with an antivirus rescue disk or similar tool.


    No viruses were detected in memory.

    Your computer is infected with at least one known virus or Trojan horse.

    Search for the name of the threat(s) listed below on the Symantec Security Response site for removal information.


    No viruses were detected in memory.

    Your computer is infected with at least one known virus or Trojan horse.

    Note: The scan was cancelled before finishing. There may be more infected files on this computer.

    Search for the name of the threat(s) listed below on the Symantec Security Response site for removal information.


    A scan has not been run. To start Virus Detection, click here.

    C:\WINDOWS\eA\yE.vbs is infected with Spyware.ISearch
    C:\Documents and Settings\x\Configuración local\Archivos temporales de Internet\Content.IE5\UX0FKR0R\country[1].htm is infected with Backdoor.Tofger
    C:\Documents and Settings\x\Configuración local\Archivos temporales de Internet\Content.IE5\UX0FKR0R\tool1[1].txt is infected with Backdoor.Tofger
    C:\Documents and Settings\x\Configuración local\Archivos temporales de Internet\Content.IE5\M5KNIBAZ\tool4[1].txt is infected with Backdoor.Tofger
    C:\Documents and Settings\x\Configuración local\Archivos temporales de Internet\Content.IE5\KFO105C3\drsmartload[1].exe is infected with Spyware.ISearch
    C:\Documents and Settings\x\Configuración local\Archivos temporales de Internet\Content.IE5\KFO105C3\tool5[1].txt is infected with Backdoor.Tofger


    Die anderen zwei Programme lasse ich nochmal durchlaufen, weiss nicht wo die Reports hin sind.

    Danke für deine Hilfe!
     
  9. Gruss
    Mopao
     
Die Seite wird geladen...

pop ups von Spy Sherrif - Ähnliche Themen

Forum Datum
adware spysherriff Viren, Trojaner, Spyware etc. 10. Apr. 2006
Auswirkungen von Spysherrif und Co.?? Windows XP Forum 19. März 2006
verbleibendes Prob nach SpySherriff Windows XP Forum 23. Jan. 2006
Wieder mal Spysherrif... Viren, Trojaner, Spyware etc. 19. Dez. 2005
SpySherrif - Probleme Viren, Trojaner, Spyware etc. 18. Juli 2005