Problem Spyware SpySheriff

Status
Für weitere Antworten geschlossen.
  • #1
M

Mike02

Guest
Hallo zusamm,

war heute mit dem Laptop ein bisschen im Internet unterwegs und schwupps durch n Pop-Up gleich was eingefangen.

Das Programm nennt sich SpySheriff und springt andauernd auf sobald der PC neugestartet wird :(

Habe es probiert zu löschen, auch mit regedit danach gesucht und Einträge gelöscht, startet aber trotzdem bei jedem Start erneut.

Am Anfang war noch eine dicke fette Fehlermeldung in der Mitte vom Desktop, ist aber nach 2 läufen von Adaware dann weg gewesen. Man sieht sie aber noch unter Eigenschaften, Desktop... Ist ein schwarzer Kasten mit roter Schrift, steht System Stopped fett rot drin und das anscheinend kein Schutz vorhanden wäre. Ringsrum ist alles blau.

Ist aber wiegesagt nurnoch unter den Eigenschaften zu finden. Desktop ist Grau und kann auch kein anderes Bild als Hintergrund wählen.

Ich habe Adaware von Lavasoft und Virenscan von free-av.com
Windows ist auch aktuell von den updates her.
Betriebssystem Windows XP professional


Ich hoffe mir kann hier einer weiterhelfen :(

Gruss Micha
 
  • #2
Poste mal bitte ein Logfile von www.hijackthis.de oder werte es auf der Seite selber aus ;)
 
  • #3
Danke für den Tipp... hier mal die logfile:

Code: 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\TouchED\TouchED.Exe
C:\Programme\TOSHIBA\PadTouch\PadExe.exe
C:\WINDOWS\System32\TFNF5.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\System32\TPSMain.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\win32.exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\System32\TPSBattM.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für zd67726z.zip\HijackThis.exe
C:\Programme\Netscape\Netscape 6\netscp6.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = [url]http://allstarsearch.net[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = [url]http://allstarsearch.net[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = [url]http://allstarsearch.net[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url]http://allstarsearch.net[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url]http://allstarsearch.net[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = [url]http://allstarsearch.net[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://allstarsearch.net[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url]http://allstarsearch.net[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://allstarsearch.net[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://allstarsearch.net[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = [url]http://allstarsearch.net[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = [url]http://allstarsearch.net[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = [url]http://allstarsearch.net[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = [url]http://allstarsearch.net[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [url]http://www.google.de/[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: auto.search.msn.com 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Loader Class - {2E246FAE-8420-11D9-870D-000C2917DE7F} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s
O4 - HKLM\..\Run: [Disk Keeper] C:\WINDOWS\System32\Services\{537A6D57-A57D-4715-83ED-9FCFEB4A7BDF}\SECURITY.EXE
O4 - HKLM\..\Run: [2s6U3pW] gpuhrui.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [wupd] C:\WINDOWS\System32\win32.exe
O4 - HKCU\..\Run: [Drtn] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\wltr.exe
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted IP range: 67.19.178.84 (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [url]http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1134901748046[/url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7AA2974-7551-4F85-87CF-D440DB6C34A6}: NameServer = 192.168.100.100,192.168.123.101
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Find das hier komisch:
- R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://allstarsearch.net
- O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe

Existiert wieder der ganze Ordner von

Und auch das Trusted Zones so Seite drin stehen, obwohl eigentlich gar keine eingetragen sind.

Aber ehrlichgesagt hab ich da leider kein Plan von :(

Gruss Micha :-X
 
  • #4
hatte auch mal so ein problem...da war mein comp von vielen trojanern und würmen befallen. mit avast antivir, das ist ein virenscanner, konnte ich ganz gut erst mal alle viren löschen...das mit dem hintergrundbild und dem desktop-problem löste ich durch ein forumsbeitrag.bei mir funktionierte auch nicht mehr der taskmanager.bei mir mußte ich folgendes machen:

regedit:->HKEY_Current_User->Software->Microsoft->Windows->Current Version->Policies->Explorer->... hier war ein Schlüssel drin: No active desctop mit dem Wert 0... ich änderte ihn auf 1
Classic Shell ebenfalls auf 1
Force active desctop setzte ich auf 0

die system und die active desctop-verzeichnisse mußte ich auch auf veränderungen überprüfen.stellte sich raus das da mir unbekannte schlüssel drin waren.die werte 0 bedeuten aktiviert und die werte 1 bedeuten deaktiviert glaube ich;wenn nicht so,dann halt umgekehrt.es gibt noch 3,das bedeutet glaube ich automatisch oder so...
sag bitte ob es was bringt.andere die da drin bewanderter sind als ich sollten hier vielleicht auch mal meine aussage auf wahrheitsgehalt hin überprüfen,hinterher funktioniert was nicht mehr.

jedenfalls solltest du dringend eine gute viren-software über dein system laufen lassen!
 
  • #5
@mike02

Du hast Dir ja da einiges eingefangen

O4 - HKCU\..\Run: [wupd] C:\WINDOWS\System32\win32.exe
lässt sich aus meiner Sicht nicht eindeutig zu ordnen.

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

auch nicht koscher


O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s

Die Systemdatei liegt im System32-Verzeichnis, dies hier ist ein Schädling, sieht so aus als ob die Sicherheitsupdates fehlen.
Den Stand zum Betriebssystem hast Du ja erfolgreich verschwiegen.

Da sind ausser der Spysheriff.exe noch weitere dubiose Dateien auf deinem Rechner.

Schau mal in der verlinkten Seite nach
http://www.wintotal.de/Spyware/index.php
dort werden einige Dateien aufgeführt.

Wenn das mein Rechner wäre würde ich das System neuaufsetzen und alle meine Passwörter ändern.
Vorher Daten sichern(daten sind nicht ausführbare Dateien.
http://oschad.de/wiki/index.php/Kompromittierung

Und für die Zukunft mal darüber nachdenken, gerade für Online-Aktivitäten, einen eingeschränkten Benutzer zu nutzen.
 
  • #6
oh man ich habe ein ähnliches prob wie mike02,
nur das bei mir anscheinend auch noch hijackthis befallen ist und der nicht mehr so ganz klar kommt..
habe ebenfalls den dicken kasten als bg mit system stopped..
naja diesen spysheriff werd ich auch irgendwie nicht los und genau wie bei mike02 hab ich allstarsearch.net überall und manchmal öffnet sich wie aus dem nichts eine pornoseite.
habe standardmäßig den bit defender plus pro 8.0 und hab aber auch schon adaware und spybot s&d mehrmals durchlaufen lassen.. bringt alles nix=/
könnt ihr mir nen tipp geben, was ich da machen kann?!
 
  • #7
Hallo zusammen,

bin ich froh dass ich nicht der einzige bin dem es so geht. Hatte schon sämtliche Suchmaschinen abgegrast.
Hab mir den Spysheriff auch vor etwa 3 Tagen eingefangen, und genau wie mike sämtliche Antispyware und Antivirenprogs drüber laufen lassen.
Bringt alles nichts, die Viren zwar jetzt sohab ich weit alle löschen können aber dieses drecks Programm ist sowas von hartnäckig.

Das einzige was ich geschafft habe, ist es mit Microsoft Antispyware (Beta Version) zu blocken. Aber mein Hintergrundbild lässt sich weiterhin nicht ändern.

Wenn jemand eine Lösung wäre ich unglaublich Dankbar denn ich hab eigentlich auch keine Lust jetzt alles wieder neu aufzuspielen.

Gruß Patrick
 
  • #9
hahahah ich hab das selbe ding  ::) [red]keine Links zu Crackseiten[/red]<---- die sind schuld :)



naja bissle fummeln das muss auch so wech gehen!!!!!!

hässliger virus aba schlau gemacht!
 
  • #10
Beim öffnen von XP öffnet auch immer SpySheriff .was kann ich tun um das zu löschen?
 
  • #11
Hallo! Hast Du schon XP im abgesicherten Modus gestartet.(F8)drüchen
 
  • #12
habe/hatte selbiges Problem,
habe das Prog gelöscht, Adaware laufen lassen, V-scanner, registrie nach der kernels.exe abgesucht -> gelöscht, das gleiche für sheriff gemacht und für winstal*.Exe. Dann habe ich den security task manager runtergeladen (da ja der taskmanager gesperrt ist), mit dem den Kernels entfernen. Danch auf C:\ die Datei winstall löschen und wenn vorhanden io***.*exe
im System32 ist dann die noch kernels.exe (nicht zu verwechseln mit der kernel.exe) die auch löschen, dann sind da noch 2 komische Dateien die habe ich ebenfalls gelöscht. Dann habe ich mir den scanner bei avast.com runtergeladen (für home user free - registrierung kommt per mail. Der scannt dann nach einem neustart in DOS-Modus
Nun habe ich das lästige Problem so hoffe ich gelöst - kein Virus mehr, kein Spysheriff mehr, das einzige was ich noch habe ist der schreckliche Hintergrund - der lässt sich nicht mehr zurückzuseten. Evtl. weiß von euch noch einen Rat für dieses Problem.
Ansonsten hoffe ich das euch meine Ausführungen etwas helfen. Ich hoffe ich habe an alles gedacht, habe es beim versuchen nicht protokoliert, und bis ich hier drauf kam habe ich einige gebraucht.
Also viel Erfolg
 
  • #13
hallo,

der blöde hintergrund geht mit der html datei im system32 verzeichnis weg
http://forums.majorgeeks.com/showthread.php?p=587263
artile eine ami - letztes post ... weiss aber nicht ob das geht ...
vielleicht schaut sich das mal jemand an der da ... (gelbe seiten )

ich hab noch das problem dass dieses teil alles mögliche verbogen hat
- taskmanager nicht ausführbar
- systemsteuerung ( namen sind invers geordent)
wie kriegt man das wieder hin

... schade dass man die w....er nie in die finger kriegt
der hat mir 5 stunden meines lebens geklaut !

auch ja hab die seite erst nicht gefunden weil überall spy sheriff zusammen geschrieben war ... auf dass big G dies indexiert - spy sheriff - loswerden entfernen
die lösung spyware ... ihr verzeiht, aber u.U. hielft es dem nÄXten !

gruss mw
 
  • #14
Hallo zusammen,

hatte dasselbe problem bei nem bekannten und hab folgendes gemacht:

1, computer im abgesicherten modus hochgefahren
2, regedit und einträge gelöscht
   - hkey_local_machine\software\spysheriff
   - hkey_local_machine\software\microsoft\currentversion\run (oder runonce)
     dns und winstall (dns kann auch von nem anderen virus sein und winstall.exe
     ist dafür verantwortlich das sich das ding immer wieder installiert)
3, Verzeichniss auf c:\program files\spysheriff löschen
4, c:\winstall.exe löschen

zum bild bzw die hintergrund-einstellungs-freigabe bin ich leider noch net gekommen  ;)
aber wen´s nervt das ist nur irgend ein *.bmp im c:\windows\ verzeichniss oder
c:\windows\system\ und kann man manuell ändern in
hkey_current_user\software\microsoft\internet explorer\desktop\general -> wallpaper

cu
 
  • #15
tach hab mir eben den scheiß spysheriff eingefangen beim surfen. das dumme progamm gibt einen die möglichkeit es zu deinstalliern und ist beim nächsten start wieder da... xD. ich würd gern wissen ob schon jemand ne ahnung hat was das ding anrichtet oder ob es einfach nur nervt. zudem denke ich dass das teil ziemlich neu ist, wegen der aufmachung. und das teil zeigt, glaube ich,die trojaner richtig an habs zwar net genau untersucht aber so im gefühl weil ich sie mit antivir bei mir gesehen hab. ich werd windows neuinstall0rn habs es eh in dieser woche zum 5. mal neuinstalliert wegen irgend welcher kacke viren abstürze und sonst wat. cu :mad:
 
  • #16
Leute , ich hab das geiche :'(
Kann mir bitte jemand helfen ????
Ich brauche unbedignt hilfe .....
Kontakt
MSN :
[email protected]

Bitte hilft mir :'( :'( :'( :'( :'( :'( :'(
 
  • #17
patrickb schrieb:
Hallo zusammen,

bin ich froh dass ich nicht der einzige bin dem es so geht. Hatte schon sämtliche Suchmaschinen abgegrast.
Hab mir den Spysheriff auch vor etwa 3 Tagen eingefangen, und genau wie mike sämtliche Antispyware und Antivirenprogs drüber laufen lassen.
Bringt alles nichts, die Viren zwar jetzt sohab ich weit alle löschen können aber dieses drecks Programm ist sowas von hartnäckig.

Das einzige was ich geschafft habe, ist es mit Microsoft Antispyware (Beta Version) zu blocken. Aber mein Hintergrundbild lässt sich weiterhin nicht ändern.

Wenn jemand eine Lösung wäre ich unglaublich Dankbar denn ich hab eigentlich auch keine Lust jetzt alles wieder neu aufzuspielen.

Gruß Patrick
Zum Vergrößern anklicken....

Thomas: Das Hintergundbild, das du siehst, ist gespeichert als
c:\windows\desktop.html (4K)
Mein Tip: einfach löschen.
 
  • #18
Hallo,
nachdem ich bei euch die Anleitungen mal probiert habe, bin ich es endlich losgeworden dieses hässliche Zeug. Mein Problem war auch dieser Desktop der nicht zu ändern ging aber nah 20 Minuten suchen in der Registry habe ich es endlich gefunden. Es hatte sich meiner Meinung nach bei HKEY_LOCAL_MACHINE eingeschleust, genau wie das, was den Taskmanager bei mir deaktiviert hatte. Ich kann leider nicht mehr genau sagen, wo es war, da ich die exportierte .reg-datei schon gelöscht hatte und noch weiter gesucht hatte.
Zum Thema löschen der desktop.html kann ich nur sagen, das es bei mir nur gebracht hat, dass dieses SYSTEM STOPPED wegging, mehr aber nicht.


MfG Gast
 
  • #19
Leute hab mir diesen mist auch eingefangen :-\
Ich hab Spy sheriff gelöscht und auch winstall aber ich hab immer noch diesen scheiss virus ..
Immer wenn ich surfe kommt da so ne pornoseite und das 2mal hinterher ...
Wenn ich mit AOL eine website eingeben , funzt der nicht früher kam da so ne suchseite und als suche war da immer teensex und so halt pornografisch und jetzt aber wenn ich da was eingeben , kommt da www.xxxxxxxxxx.de kann nicht gefunden werden , überprüfen sie den pfad und soo :(
Wenn ich aber die seiten die in verlauf drinne sind klikke , geht das :eek:
Ich wäre wirklich dankbar wenn jemand mir helfen könnte ;)
 
  • #20
hey leute, ich fang gleich an zu heulen...

habe mir gestern dieses doofe ding auch eingefangen... :(

habe mein AV prog. laufen lassen, danach mein ad aware und noch hijack..

alles nötige entfernt, jedoch werde ich dieses blöde desktophintergrund nicht los...
kann es nicht mehr ändern, da die auswahl grau hinterlegt ist...

wie oben erwähnt habe ich auch diese besagte datei gelöscht, jedoch ist nur dieser schwarze kasten mit der warnung weg, wie kann ich wieder mein desktop auf trab bringen??

help meeee :)
 
Status
Für weitere Antworten geschlossen.
Thema:

Problem Spyware SpySheriff

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.838
Beiträge
707.961
Mitglieder
51.491
Neuestes Mitglied
haraldmuc
Oben