spy sheriff

Dieses Thema spy sheriff im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von henry-chinaski, 21. Aug. 2005.

Thema: spy sheriff hi, erstmal danke an alle die hier zur entfernung des spy sheriffs was gepostet haben. alles probiert, hat mir sehr...

  1. hi,

    erstmal danke an alle die hier zur entfernung des spy sheriffs was gepostet haben. alles probiert, hat mir sehr geholfen. bekomm ihn jedoch nicht ganz weg...

    bestehende probleme:

    * DESKTOP your system is infected lässt sich nicht ändern
    hab <desktop.html> gelöscht, <wp.bmp> oder <xxxxx.bmp> gibts nicht.

    * ICON (roter kreis mit weissem X) in der startleiste
    lässt sich nicht entfernen und warnt  andauernd your computer is infected.....blabla

    wäre super nett wenn sich einer mein logfile mal anschaut. hab leider gar keine ahnung davon und irgendwie funzt die hijackthis seite bei mir nicht...

    Logfile of HijackThis v1.99.1
    Scan saved at 23:16:15, on 21.08.2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
    C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
    C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
    C:\Programme\CA\eTrust Antivirus\InoRpc.exe
    C:\Programme\CA\eTrust Antivirus\InoRT.exe
    C:\Programme\CA\eTrust Antivirus\InoTask.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\Windows Media Connect\mswmcls.exe
    C:\WINDOWS\system32\nvraidservice.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\system32\carpserv.exe
    C:\WINDOWS\CNYHKey.exe
    C:\Programme\CyberLink\PowerCinema\PCMService.exe
    C:\PROGRA~1\CA\ETRUST~1\realmon.exe
    C:\Programme\Real\RealPlayer\RealPlay.exe
    C:\Programme\iTunes\iTunesHelper.exe
    C:\Programme\QuickTime\qttask.exe
    C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\windows\system32\mdms.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\NCLAUNCH.EXe
    C:\WINDOWS\tool2.exe
    C:\Programme\Wireless LAN Utility\SiWake.exe
    C:\Programme\Clicktionary\Cleverlearn Clicktionary.exe
    C:\Programme\OpenOffice.org1.1.4\program\soffice.exe
    C:\Programme\Wireless LAN Utility\SiSCFG.exe
    C:\Programme\iPod\bin\iPodService.exe
    C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
    C:\WINDOWS\system32\wbem\unsecapp.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\DOKUME~1\Peter\LOKALE~1\Temp\Temporäres Verzeichnis 5 für hijackthis.zip\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.targa.de
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - C:\WINDOWS\system32\appwiz.dll
    O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [CARPService] carpserv.exe
    O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
    O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [PCMService] C:\Programme\CyberLink\PowerCinema\PCMService.exe
    O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
    O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
    O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
    O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
    O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
    O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [NBJ] C:\Programme\Ahead\Nero BackItUp\NBJ.exe
    O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
    O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
    O4 - HKCU\..\Run: [SNInstall] C:\WINDOWS\tool2.exe
    O4 - Startup: GMX Clicktionary 2.8.lnk = C:\Programme\Clicktionary\Cleverlearn Clicktionary.exe
    O4 - Startup: OpenOffice.org 1.1.4.lnk = C:\Programme\OpenOffice.org1.1.4\program\quickstart.exe
    O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: SiWake.lnk = C:\Programme\Wireless LAN Utility\SiWake.exe
    O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
    O14 - IERESET.INF: START_PAGE_URL=http://www.targa.de
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121102186546
    O20 - Winlogon Notify: tcpG4T - C:\WINDOWS\SYSTEM32\tcpG4T.dll
    O21 - SSODL: SysTray.Exsh - {1768ECFC-4F5C-4f5b-B134-D67294FC78E9} - C:\WINDOWS\system32\eomoonhl.dll
    O21 - SSODL: Internet Explorer - {F28A40D7-AD0E-034A-C651-5F0ED76232E6} - C:\WINDOWS\system32\Cbapekfl.dll (file missing)
    O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
    O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
    O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
    O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
    O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
    O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
    O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
     
  2. bin zwar nur gast das einzige problem ist nicht nur das das bild auf dem desktop da ist sondernen ne datei im system32 ordner die drct16.dll heisst die entfernst du am besten mit hijackthis AKTUELLSTE VERSION von zdnet.de downloaden dann unter misc tools und dann unter delete file on reboot dann gehst du unter C:\Windows\Systems32\ die datei kann man nicht sehen egal was fuer ordneransichten also gibst du unten ein drct16.dll und klickst auf oeffnen danach startest du neu ! dann machst du einen Check mit Hijackthis dann müsste dort stehen file missing dann entfernst du den Eintrag mit drct16.dll danach noch einen Check mit SpyWare Search&Destroy dann müsste er komplett weg sein !
     
  3. @ Heat
    Öhm, *Kopfkratz* ??? - Wo ist der Unterschied?
     
  4. bei infect mit Spy sheriff hilftdas Programm Spy Sweeper :Dhttps://webroot.asknet.de
    auch als Freeware für 14 Tage.
    War das einzige Programm was funktioniert hat.
     
  5. mein tipp: auf festplatte nach datei winstall suchen
    (diese datei stellt den spysheriff beim booten automatisch her)
    man kann diese datei aber nicht löschen... :mad:
    lösung: im abgesicerten modus (F8) hochfahren und die datei dann löschen
     
  6. Hallo zusammen, ich bin auch nur ein Gast aber wäre euch wirklich verbunden wenn ihr mir dabei helfen könntet. Ich bin dieser Anleitung Schritt für Schritt gefolgt aber 1. sind bei mir niergends solche Dateien wie SpySheriff.exe oder wp.bmp zu finden und demnach check ich auch nicht wie ich nun weiter machen soll. Gibt es den wirklich noch kein Programm, dass dieses Mistteil wegmacht?


    Gruss ramon
     
  7. Spy Sweeper soll den Sherrif entfernen, hab das auch nur gelesen. musst mal abchecken, ob funktioniert. hier der link

    http://www.softonic.de/file.phtml?&id_file=26288&action=view&view=downloads
     
Die Seite wird geladen...

spy sheriff - Ähnliche Themen

Forum Datum
SpySheriff? Viren, Trojaner, Spyware etc. 31. Juli 2008
spysheriff Windows XP Forum 19. Dez. 2006
WinFixer/SpySheriff Viren, Trojaner, Spyware etc. 3. Juni 2006
SpySheriff Problem! Viren, Trojaner, Spyware etc. 24. Apr. 2006
Nach SpySheriff keine Einstellungen der Windows-Firewall mehr Viren, Trojaner, Spyware etc. 12. März 2006