Problem Spyware SpySheriff

Dieses Thema Problem Spyware SpySheriff im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von Mike02, 31. Mai 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.

Thema: Problem Spyware SpySheriff Hallo zusamm, war heute mit dem Laptop ein bisschen im Internet unterwegs und schwupps durch n Pop-Up gleich was...

  1. Hallo zusamm,

    war heute mit dem Laptop ein bisschen im Internet unterwegs und schwupps durch n Pop-Up gleich was eingefangen.

    Das Programm nennt sich SpySheriff und springt andauernd auf sobald der PC neugestartet wird :(

    Habe es probiert zu löschen, auch mit regedit danach gesucht und Einträge gelöscht, startet aber trotzdem bei jedem Start erneut.

    Am Anfang war noch eine dicke fette Fehlermeldung in der Mitte vom Desktop, ist aber nach 2 läufen von Adaware dann weg gewesen. Man sieht sie aber noch unter Eigenschaften, Desktop... Ist ein schwarzer Kasten mit roter Schrift, steht System Stopped fett rot drin und das anscheinend kein Schutz vorhanden wäre. Ringsrum ist alles blau.

    Ist aber wiegesagt nurnoch unter den Eigenschaften zu finden. Desktop ist Grau und kann auch kein anderes Bild als Hintergrund wählen.

    Ich habe Adaware von Lavasoft und Virenscan von free-av.com
    Windows ist auch aktuell von den updates her.
    Betriebssystem Windows XP professional


    Ich hoffe mir kann hier einer weiterhelfen :(

    Gruss Micha
     
  2. Poste mal bitte ein Logfile von www.hijackthis.de oder werte es auf der Seite selber aus ;)
     
  3. Danke für den Tipp... hier mal die logfile:

    Code:
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
    C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\igfxtray.exe
    C:\WINDOWS\System32\hkcmd.exe
    C:\WINDOWS\System32\00THotkey.exe
    C:\WINDOWS\LTSMMSG.exe
    C:\Programme\Apoint2K\Apoint.exe
    C:\Programme\TOSHIBA\TouchED\TouchED.Exe
    C:\Programme\TOSHIBA\PadTouch\PadExe.exe
    C:\WINDOWS\System32\TFNF5.exe
    C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
    C:\WINDOWS\System32\TPSMain.exe
    C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
    C:\Programme\AVPersonal\AVGNT.EXE
    C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\WINDOWS\System32\win32.exe
    C:\Programme\Apoint2K\Apntex.exe
    C:\WINDOWS\System32\TPSBattM.exe
    C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für zd67726z.zip\HijackThis.exe
    C:\Programme\Netscape\Netscape 6\netscp6.exe
    
    R1 - HKCU\Software\Microsoft\Internet Explorer,Search = [url]http://allstarsearch.net[/url]
    R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = [url]http://allstarsearch.net[/url]
    R1 - HKLM\Software\Microsoft\Internet Explorer,Search = [url]http://allstarsearch.net[/url]
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url]http://allstarsearch.net[/url]
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url]http://allstarsearch.net[/url]
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = [url]http://allstarsearch.net[/url]
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://allstarsearch.net[/url]
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url]http://allstarsearch.net[/url]
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://allstarsearch.net[/url]
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://allstarsearch.net[/url]
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = [url]http://allstarsearch.net[/url]
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = [url]http://allstarsearch.net[/url]
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = [url]http://allstarsearch.net[/url]
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = [url]http://allstarsearch.net[/url]
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [url]http://www.google.de/[/url]
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
    O1 - Hosts: auto.search.msn.com 127.0.0.1
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: Loader Class - {2E246FAE-8420-11D9-870D-000C2917DE7F} - (no file)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
    O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
    O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
    O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
    O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
    O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
    O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\PadTouch\PadExe.exe
    O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
    O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
    O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
    O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s
    O4 - HKLM\..\Run: [Disk Keeper] C:\WINDOWS\System32\Services\{537A6D57-A57D-4715-83ED-9FCFEB4A7BDF}\SECURITY.EXE
    O4 - HKLM\..\Run: [2s6U3pW] gpuhrui.exe
    O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
    O4 - HKCU\..\Run: [wupd] C:\WINDOWS\System32\win32.exe
    O4 - HKCU\..\Run: [Drtn] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\wltr.exe
    O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
    O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
    O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O15 - Trusted Zone: *.skoobidoo.com (HKLM)
    O15 - Trusted Zone: *.slotchbar.com (HKLM)
    O15 - Trusted Zone: *.windupdates.com (HKLM)
    O15 - Trusted IP range: 67.19.178.84 (HKLM)
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [url]http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1134901748046[/url]
    O17 - HKLM\System\CCS\Services\Tcpip\..\{C7AA2974-7551-4F85-87CF-D440DB6C34A6}: NameServer = 192.168.100.100,192.168.123.101
    O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
    O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
    Find das hier komisch:
    - R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://allstarsearch.net
    - O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe

    Existiert wieder der ganze Ordner von

    Und auch das Trusted Zones so Seite drin stehen, obwohl eigentlich gar keine eingetragen sind.

    Aber ehrlichgesagt hab ich da leider kein Plan von :(

    Gruss Micha :-X
     
  4. hatte auch mal so ein problem...da war mein comp von vielen trojanern und würmen befallen. mit avast antivir, das ist ein virenscanner, konnte ich ganz gut erst mal alle viren löschen...das mit dem hintergrundbild und dem desktop-problem löste ich durch ein forumsbeitrag.bei mir funktionierte auch nicht mehr der taskmanager.bei mir mußte ich folgendes machen:

    regedit:->HKEY_Current_User->Software->Microsoft->Windows->Current Version->Policies->Explorer->... hier war ein Schlüssel drin: No active desctop mit dem Wert 0... ich änderte ihn auf 1
    Classic Shell ebenfalls auf 1
    Force active desctop setzte ich auf 0

    die system und die active desctop-verzeichnisse mußte ich auch auf veränderungen überprüfen.stellte sich raus das da mir unbekannte schlüssel drin waren.die werte 0 bedeuten aktiviert und die werte 1 bedeuten deaktiviert glaube ich;wenn nicht so,dann halt umgekehrt.es gibt noch 3,das bedeutet glaube ich automatisch oder so...
    sag bitte ob es was bringt.andere die da drin bewanderter sind als ich sollten hier vielleicht auch mal meine aussage auf wahrheitsgehalt hin überprüfen,hinterher funktioniert was nicht mehr.

    jedenfalls solltest du dringend eine gute viren-software über dein system laufen lassen!
     
  5. @mike02

    Du hast Dir ja da einiges eingefangen

    O4 - HKCU\..\Run: [wupd] C:\WINDOWS\System32\win32.exe
    lässt sich aus meiner Sicht nicht eindeutig zu ordnen.

    O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

    auch nicht koscher


    O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s

    Die Systemdatei liegt im System32-Verzeichnis, dies hier ist ein Schädling, sieht so aus als ob die Sicherheitsupdates fehlen.
    Den Stand zum Betriebssystem hast Du ja erfolgreich verschwiegen.

    Da sind ausser der Spysheriff.exe noch weitere dubiose Dateien auf deinem Rechner.

    Schau mal in der verlinkten Seite nach
    http://www.wintotal.de/Spyware/index.php
    dort werden einige Dateien aufgeführt.

    Wenn das mein Rechner wäre würde ich das System neuaufsetzen und alle meine Passwörter ändern.
    Vorher Daten sichern(daten sind nicht ausführbare Dateien.
    http://oschad.de/wiki/index.php/Kompromittierung

    Und für die Zukunft mal darüber nachdenken, gerade für Online-Aktivitäten, einen eingeschränkten Benutzer zu nutzen.
     
  6. oh man ich habe ein ähnliches prob wie mike02,
    nur das bei mir anscheinend auch noch hijackthis befallen ist und der nicht mehr so ganz klar kommt..
    habe ebenfalls den dicken kasten als bg mit system stopped..
    naja diesen spysheriff werd ich auch irgendwie nicht los und genau wie bei mike02 hab ich allstarsearch.net überall und manchmal öffnet sich wie aus dem nichts eine pornoseite.
    habe standardmäßig den bit defender plus pro 8.0 und hab aber auch schon adaware und spybot s&d mehrmals durchlaufen lassen.. bringt alles nix=/
    könnt ihr mir nen tipp geben, was ich da machen kann?!
     
  7. Hallo zusammen,

    bin ich froh dass ich nicht der einzige bin dem es so geht. Hatte schon sämtliche Suchmaschinen abgegrast.
    Hab mir den Spysheriff auch vor etwa 3 Tagen eingefangen, und genau wie mike sämtliche Antispyware und Antivirenprogs drüber laufen lassen.
    Bringt alles nichts, die Viren zwar jetzt sohab ich weit alle löschen können aber dieses drecks Programm ist sowas von hartnäckig.

    Das einzige was ich geschafft habe, ist es mit Microsoft Antispyware (Beta Version) zu blocken. Aber mein Hintergrundbild lässt sich weiterhin nicht ändern.

    Wenn jemand eine Lösung wäre ich unglaublich Dankbar denn ich hab eigentlich auch keine Lust jetzt alles wieder neu aufzuspielen.

    Gruß Patrick
     
  8. hahahah ich hab das selbe ding  ::) [red]keine Links zu Crackseiten[/red]<---- die sind schuld :)



    naja bissle fummeln das muss auch so wech gehen!!!!!!

    hässliger virus aba schlau gemacht!
     
  9. Beim öffnen von XP öffnet auch immer SpySheriff .was kann ich tun um das zu löschen?
     
Die Seite wird geladen...

Problem Spyware SpySheriff - Ähnliche Themen

Forum Datum
Probleme mit Spyware Windows XP Forum 30. Juli 2006
Spyware Doctor --> Probleme Viren, Trojaner, Spyware etc. 3. Jan. 2006
großen Malware, Spyware und IE Problem Viren, Trojaner, Spyware etc. 8. Okt. 2005
SEHR DRINGEND: Probleme bei Upgrade auf Windows 7 Windows Vista Forum 13. Nov. 2016
Problem - Laptop mit angeblich win 10 und win 7 Windows 10 Forum 13. Nov. 2016
Status des Themas:
Es sind keine weiteren Antworten möglich.