spy sheriff

hi,

erstmal danke an alle die hier zur entfernung des spy sheriffs was gepostet haben. alles probiert, hat mir sehr geholfen. bekomm ihn jedoch nicht ganz weg...

bestehende probleme:

* DESKTOP your system is infected lässt sich nicht ändern
hab <desktop.html> gelöscht, <wp.bmp> oder <xxxxx.bmp> gibts nicht.

* ICON (roter kreis mit weissem X) in der startleiste
lässt sich nicht entfernen und warnt  andauernd your computer is infected.....blabla

wäre super nett wenn sich einer mein logfile mal anschaut. hab leider gar keine ahnung davon und irgendwie funzt die hijackthis seite bei mir nicht...

Logfile of HijackThis v1.99.1
Scan saved at 23:16:15, on 21.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Media Connect\mswmcls.exe
C:\WINDOWS\system32\nvraidservice.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\carpserv.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\CyberLink\PowerCinema\PCMService.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\system32\rundll32.exe
C:\windows\system32\mdms.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\WINDOWS\tool2.exe
C:\Programme\Wireless LAN Utility\SiWake.exe
C:\Programme\Clicktionary\Cleverlearn Clicktionary.exe
C:\Programme\OpenOffice.org1.1.4\program\soffice.exe
C:\Programme\Wireless LAN Utility\SiSCFG.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\Peter\LOKALE~1\Temp\Temporäres Verzeichnis 5 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.targa.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - C:\WINDOWS\system32\appwiz.dll
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] C:\Programme\CyberLink\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] C:\Programme\Ahead\Nero BackItUp\NBJ.exe
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [SNInstall] C:\WINDOWS\tool2.exe
O4 - Startup: GMX Clicktionary 2.8.lnk = C:\Programme\Clicktionary\Cleverlearn Clicktionary.exe
O4 - Startup: OpenOffice.org 1.1.4.lnk = C:\Programme\OpenOffice.org1.1.4\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SiWake.lnk = C:\Programme\Wireless LAN Utility\SiWake.exe
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.targa.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121102186546
O20 - Winlogon Notify: tcpG4T - C:\WINDOWS\SYSTEM32\tcpG4T.dll
O21 - SSODL: SysTray.Exsh - {1768ECFC-4F5C-4f5b-B134-D67294FC78E9} - C:\WINDOWS\system32\eomoonhl.dll
O21 - SSODL: Internet Explorer - {F28A40D7-AD0E-034A-C651-5F0ED76232E6} - C:\WINDOWS\system32\Cbapekfl.dll (file missing)
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Hier hast Du mal die Auswertung
http://www.hijackthis.de/logfiles/fc2cee417d816ee38e22597f6c40ed97.html

Ein bißchen viel unbekannt, aber wenn man die Cyberlink-Einträge abzieht, bleibt nicht allzuviel zu überprüfen.

bin zwar nur gast das einzige problem ist nicht nur das das bild auf dem desktop da ist sondernen ne datei im system32 ordner die drct16.dll heisst die entfernst du am besten mit hijackthis AKTUELLSTE VERSION von zdnet.de downloaden dann unter misc tools und dann unter delete file on reboot dann gehst du unter C:\Windows\Systems32\ die datei kann man nicht sehen egal was fuer ordneransichten also gibst du unten ein drct16.dll und klickst auf oeffnen danach startest du neu ! dann machst du einen Check mit Hijackthis dann müsste dort stehen file missing dann entfernst du den Eintrag mit drct16.dll danach noch einen Check mit SpyWare Search&Destroy dann müsste er komplett weg sein !

Heat schrieb:

die entfernst du am besten mit hijackthis AKTUELLSTE VERSION von zdnet.de downloaden

Zum Vergrößern anklicken....

henry-chinaski schrieb:

Logfile of HijackThis v1.99.1

Zum Vergrößern anklicken....

@ Heat
Öhm, *Kopfkratz* ??? - Wo ist der Unterschied?

Und dazu muss man nicht zu zdnet - gibbet auch hier:
http://www.wintotal.de/Software/index.php?rb=31&id=2022

bei infect mit Spy sheriff hilftdas Programm Spy Sweeper https://webroot.asknet.de
auch als Freeware für 14 Tage.
War das einzige Programm was funktioniert hat.

mein tipp: auf festplatte nach datei winstall suchen
(diese datei stellt den spysheriff beim booten automatisch her)
man kann diese datei aber nicht löschen...
lösung: im abgesicerten modus (F8) hochfahren und die datei dann löschen

Hi !
Hier schon mal nachgelesen --->http://www.wintotal-forum.de/index.php/topic,84123.0.html<---
Grettings Uwe

Hallo zusammen, ich bin auch nur ein Gast aber wäre euch wirklich verbunden wenn ihr mir dabei helfen könntet. Ich bin dieser Anleitung Schritt für Schritt gefolgt aber 1. sind bei mir niergends solche Dateien wie SpySheriff.exe oder wp.bmp zu finden und demnach check ich auch nicht wie ich nun weiter machen soll. Gibt es den wirklich noch kein Programm, dass dieses Mistteil wegmacht?


Gruss ramon

Spy Sweeper soll den Sherrif entfernen, hab das auch nur gelesen. musst mal abchecken, ob funktioniert. hier der link

http://www.softonic.de/file.phtml?&id_file=26288&action=view&view=downloads