pop ups von Spy Sherrif

Ich habe mir den ganzen Thread bezüglich des SpySherrifs durchgelesen (http://www.wintotal-forum.de/index.php/topic,83814.0.html),  ich habe ihn jedoch nicht völlig eliminiert denke ich. Bei mir geht eigentlich alles (kein Desktop ausfall, keine Taskmanagersperre oder sowas). Nur eines stört mich gewaltig! Pop ups kommen immer wieder, (denke) bin mir eigentlich sicher das der Sherrif schuld ist.

Was kann ich denn noch machen? 
Brauche Hilfe!

Hier meine Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 12:53:01, on 20/03/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
C:\Archivos de programa\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\x\Escritorio\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O4 - HKLM\..\Run: [webHancer Survey Companion] C:\Archivos de programa\webHancer\Programs\whsurvey.exe
O4 - HKLM\..\Run: [Installed] 95
O4 - HKLM\..\Run: [cme] C:\WINDOWS\system32\cme.exe
O4 - HKLM\..\Run: [cmeupd] C:\WINDOWS\system32\cmeupd.exe
O4 - HKLM\..\Run: [gmt] C:\WINDOWS\system32\gmt.exe
O4 - HKLM\..\Run: [Dynamic Desktop Media] C:\WINDOWS\system32\sysu.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\Run: [MSMSGS] C:\Archivos de programa\Messenger\msmsgs.exe /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Shell] C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00001.exe
O4 - HKCU\..\Run: [qqwf] C:\ARCHIV~1\ARCHIV~1\qqwf\qqwfm.exe
O4 - Global Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = C:\Archivos de programa\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
O4 - Global Startup: Inicio rápido de Microsoft Office OneNote 2003.lnk = C:\Archivos de programa\Microsoft Office\OFFICE11\ONENOTEM.EXE
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab
O20 - Winlogon Notify: ShellCompatibility - C:\WINDOWS\system32\gp6sl3j71.dll
O20 - Winlogon Notify: skyx16 - C:\WINDOWS\SYSTEM32\skyx16.dll
O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

bei mir hat sich Spysheriff auch au meinem Computer leider automatisch installiert gehabt. Ich hatte das Gefühl, daß dieser Spysheriff so geschrieben ist, daß er
für andere als eine Plattform dient um Spammalis zu versenden, die von
anderen Usern geschrieben werden.

Meine Lösung für das Problem den Spysheriff los zu werden war, ich habe
Spybot 1.4 laufen lassen, dort hat er den Spyscheriff als Virus erkannt
und alle Treats und Regedit Einträge usw. sauber rausgelöscht und das
Programm von meinem Computer entfernt.

Manchmal ist es der einfachste Weg und ohne Umstände so ein Schädling
los zu werden

Hab ich schon gemacht. Mein Search&Destroy hat ihn auch gefunden und zerstört, aber er macht trotzdem noch sachen (pop ups aufpoppen lassen), also kann er nicht vollkommen gelöscht sein.

Hey griego

Du hast mehere Infektionen auf deinem PC,ich melde mich später mit einer Reinigung Anleitung

Gruss
Mopao

Kami schrieb:

Meine Lösung für das Problem den Spysheriff los zu werden war, ich habe
Spybot 1.4 laufen lassen, dort hat er den Spyscheriff als Virus erkannt
und alle Treats und Regedit Einträge usw. sauber rausgelöscht und das
Programm von meinem Computer entfernt.
Manchmal ist es der einfachste Weg und ohne Umstände so ein Schädling
los zu werden

Zum Vergrößern anklicken....

@Kami

SpySheriff,PSGuard,WinHound,spyaxe,SpywareStrike sind Familie,Spybot kann diese Infektion nicht beseitigen,ohne Speziel Tools wie SmitfraudFix oder Smitrem.exe, falls du Hilfe brauchst eröffne mal einen neuen Thema & poste ein HijackThis log

Gruss
Mopao

@Kami

#In der Systemsteuerung/software folgende deinstallieren
webHancer

#Lade dir SmitfraudFix http://siri.urz.free.fr/Fix/SmitfraudFix.php auf dem Desktop speichern und auf dem desktop entpacken,danach wird einen Ordner SmitfraudFix auf dem Desktop erstellt,nun muss du dieser Ordner öffnen,dann Doppelklick auf SmitfraudFix.cmd,dann Taste 2 und dann Enter,wenn diese Frage o/n kommt muss du mit Taste o beatätigen,

#PC neustarten
#Lade dir SmitRem.exe http://noahdfear.geekstogo.com ,die Datei auf dem Desktop speichern, doppelklicken auf die Datei und Start klicken.Dann wird ein Ordner SmitRem auf dem Desktop angelegt und die Dateien dahin entpackt.Noch nicht ausführen.

#Lade dir Ewido Security Suite unbeding Update,noch nicht scannen.

#Lade dir spysweeper Spysweeper intalliere & Update,mache ein voller Scann

#PC neustarten--> abgesicherter Modus
Starte das HijackThis Scan klicken (Folgende Einträge) Häckchen setzen & Button Fix checked klicken
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O4 - HKLM\..\Run: [webHancer Survey Companion] C:\Archivos de programa\webHancer\Programs\whsurvey.exe
O4 - HKLM\..\Run: [Installed] 95
O4 - HKLM\..\Run: [cme] C:\WINDOWS\system32\cme.exe
O4 - HKLM\..\Run: [cmeupd] C:\WINDOWS\system32\cmeupd.exe
O4 - HKLM\..\Run: [gmt] C:\WINDOWS\system32\gmt.exe
O4 - HKLM\..\Run: [Dynamic Desktop Media] C:\WINDOWS\system32\sysu.exe
O4 - HKCU\..\Run: [Shell] C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00001.exe
O4 - HKCU\..\Run: [qqwf] C:\ARCHIV~1\ARCHIV~1\qqwf\qqwfm.exe
O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab
O20 - Winlogon Notify: ShellCompatibility - C:\WINDOWS\system32\gp6sl3j71.dll
O20 - Winlogon Notify: skyx16 - C:\WINDOWS\SYSTEM32\skyx16.dll

#PC neustarten--> abgesicherter Modus
Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> Extras/Ordneroptionen ->
Ansicht -> Haken entfernen bei Geschützte Systemdateien
ausblenden (empfohlen) und Alle Dateien und Ordner anzeigen
aktivieren -> OK
Loesche:
C:\Archivos de programa\webHancer
C:\WINDOWS\system32\cme.exe
C:\WINDOWS\system32\cmeupd.exe
C:\WINDOWS\system32\gmt.exe
C:\WINDOWS\system32\sysu.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00001.exe
C:\ARCHIV~1\ARCHIV~1\qqwf\qqwfm.exe
C:\WINDOWS\system32\gp6sl3j71.dll
C:\WINDOWS\SYSTEM32\skyx16.dll

1. Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor.
Oder unter Start/Programme/Zubehör/Editor
2. copiere diser Code rein:
3. Speichere die Datei als Fix.bat auf Desktop
4. Doppel klick auf diese Datei Fix.bat

#Funktionieren cmd und regedit auch  Task-Manager  per Tastenkombi (Strg+Alt+Entf) wieder?

#PC neustarten--> abgesicherter Modus
Öffne jetzt den Ordner smitrem doppelklick auf die Datei Runthis.bat , um das Tool zu starten. Den Anweisungen auf dem Bildschirm folgen.
Wenn das Tool fertig wid, startet automatich DiskCleanup und wird die Festplatte aufräumt

#PC neustarten--> abgesicherter Modus
#Starte Ewido Security Suite mach ein voller Scan (Complete System Scan)

#Scane mit Symantec Security Check ---->klicke auf Viren-erkennung (Virus Detection) dann Start. Downloading ActiveX erlauben,das Ergebnis hier posten.

#Inhalt folgende ordner loeschen:
C:\WINDOWS\temp---> Inhalt löschen
C:\WINDOWS\Prefetch---> Inhalt löschen

Bitte Folgende Ergebnis posten!
#PC neustarten:
#Neue HijackThis Log, den Report des Ewido Scans, & das Logfile von smitrem,welches unter C:\smitfiles.txt findet hier posten.

Gruss
Mopao

Ich finde kein Programm Webhancer in meinem Ordnerverzeichnis sowie unter Systemsteuerung/Software!

Hab in der Registry danach gesucht und da hab ich ihn gefunden und nicht nur einmal habe alle gelöscht. Habe dann nochmal HijackThis drüberlaufen lassen und er listet ihn mir immer noch auf. Was kann ich machen?

Ich blocke jetzt wenigstens die Pop Ups aber der Trojaner ist immer noch da denke ich. Tempverzeichnis konnte ich nicht löschen weil es benutzt wird von ner anderen Person.
Hier mein HiJack:

Logfile of HijackThis v1.99.1
Scan saved at 16:47:53, on 21/03/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
C:\Archivos de programa\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
C:\Archivos de programa\ewido anti-malware\ewidoguard.exe
C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\x\Escritorio\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [KAVPersonal50] C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [SpySweeper] C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe /startintray
O4 - HKCU\..\Run: [MSMSGS] C:\Archivos de programa\Messenger\msmsgs.exe /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = C:\Archivos de programa\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
O4 - Global Startup: Inicio rápido de Microsoft Office OneNote 2003.lnk = C:\Archivos de programa\Microsoft Office\OFFICE11\ONENOTEM.EXE
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O20 - Winlogon Notify: skyx16 - C:\WINDOWS\SYSTEM32\skyx16.dll
O20 - Winlogon Notify: StillImage - C:\WINDOWS\system32\jt2q07f5e.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoguard.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe


Hier Symantec:

28126 files scanned, 6 file(s) infected on your disk drives.


No viruses were detected in memory.

Your computer is free of known threats. Virus Detection does not check compressed files.

Your computer appears safe for now. For real-time protection from viruses, hackers and privacy threats, upgrade to Norton Internet Security?.

No viruses were detected in memory.

The scan was cancelled before finishing. To restart the scan, click here.

Your computer is free of known threats. Virus Detection does not check compressed files.

Your computer appears safe for now. For real-time protection from viruses, hackers and privacy threats, upgrade to Norton Internet Security?.

Search for the name of the threat(s) listed below on the Symantec Security Response site for removal information.

Warning! The scan detected a virus that is active in your computer's memory.
The scan ended to prevent further infection.

You should shut down your computer immediately and restart it with an antivirus rescue disk or similar tool.


No viruses were detected in memory.

Your computer is infected with at least one known virus or Trojan horse.

Search for the name of the threat(s) listed below on the Symantec Security Response site for removal information.


No viruses were detected in memory.

Your computer is infected with at least one known virus or Trojan horse.

Note: The scan was cancelled before finishing. There may be more infected files on this computer.

Search for the name of the threat(s) listed below on the Symantec Security Response site for removal information.


A scan has not been run. To start Virus Detection, click here.

C:\WINDOWS\eA\yE.vbs is infected with Spyware.ISearch
C:\Documents and Settings\x\Configuración local\Archivos temporales de Internet\Content.IE5\UX0FKR0R\country[1].htm is infected with Backdoor.Tofger
C:\Documents and Settings\x\Configuración local\Archivos temporales de Internet\Content.IE5\UX0FKR0R\tool1[1].txt is infected with Backdoor.Tofger
C:\Documents and Settings\x\Configuración local\Archivos temporales de Internet\Content.IE5\M5KNIBAZ\tool4[1].txt is infected with Backdoor.Tofger
C:\Documents and Settings\x\Configuración local\Archivos temporales de Internet\Content.IE5\KFO105C3\drsmartload[1].exe is infected with Spyware.ISearch
C:\Documents and Settings\x\Configuración local\Archivos temporales de Internet\Content.IE5\KFO105C3\tool5[1].txt is infected with Backdoor.Tofger


Die anderen zwei Programme lasse ich nochmal durchlaufen, weiss nicht wo die Reports hin sind.

Danke für deine Hilfe!

Mopao schrieb:

@griego

Bitte Folgende Ergebnis posten!
#PC neustarten:
#Neue HijackThis Log, den Report des Ewido Scans, & das Logfile von smitrem,welches unter C:\smitfiles.txt findet hier posten.

Gruss
Mopao

Zum Vergrößern anklicken....

Gruss
Mopao