Problem Spyware SpySheriff

[Mike02]

Hallo zusamm,

war heute mit dem Laptop ein bisschen im Internet unterwegs und schwupps durch n Pop-Up gleich was eingefangen.

Das Programm nennt sich SpySheriff und springt andauernd auf sobald der PC neugestartet wird

Habe es probiert zu löschen, auch mit regedit danach gesucht und Einträge gelöscht, startet aber trotzdem bei jedem Start erneut.

Am Anfang war noch eine dicke fette Fehlermeldung in der Mitte vom Desktop, ist aber nach 2 läufen von Adaware dann weg gewesen. Man sieht sie aber noch unter Eigenschaften, Desktop...  Ist ein schwarzer Kasten mit roter Schrift, steht System Stopped fett rot drin und das anscheinend kein Schutz vorhanden wäre. Ringsrum ist alles blau.

Ist aber wiegesagt nurnoch unter den Eigenschaften zu finden. Desktop ist Grau und kann auch kein anderes Bild als Hintergrund wählen.

Ich habe Adaware von Lavasoft und Virenscan von free-av.com
Windows ist auch aktuell von den updates her.
Betriebssystem Windows XP professional


Ich hoffe mir kann hier einer weiterhelfen

Gruss Micha

[bla bla]

Poste mal bitte ein Logfile von www.hijackthis.de (http://www.hijackthis.de) oder werte es auf der Seite selber aus

[Mike02]

Danke für den Tipp... hier mal die logfile:

Code:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\TouchED\TouchED.Exe
C:\Programme\TOSHIBA\PadTouch\PadExe.exe
C:\WINDOWS\System32\TFNF5.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\System32\TPSMain.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\win32.exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\System32\TPSBattM.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für zd67726z.zip\HijackThis.exe
C:\Programme\Netscape\Netscape 6\netscp6.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://allstarsearch.net
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://allstarsearch.net
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://allstarsearch.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://allstarsearch.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://allstarsearch.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://allstarsearch.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://allstarsearch.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://allstarsearch.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://allstarsearch.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://allstarsearch.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://allstarsearch.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://allstarsearch.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://allstarsearch.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://allstarsearch.net
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: auto.search.msn.com 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Loader Class - {2E246FAE-8420-11D9-870D-000C2917DE7F} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [PadTouch] "C:\Programme\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s
O4 - HKLM\..\Run: [Disk Keeper] C:\WINDOWS\System32\Services\{537A6D57-A57D-4715-83ED-9FCFEB4A7BDF}\SECURITY.EXE
O4 - HKLM\..\Run: [2s6U3pW] gpuhrui.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [wupd] C:\WINDOWS\System32\win32.exe
O4 - HKCU\..\Run: [Drtn] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\wltr.exe
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted IP range: 67.19.178.84 (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1134901748046
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7AA2974-7551-4F85-87CF-D440DB6C34A6}: NameServer = 192.168.100.100,192.168.123.101
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Find das hier komisch:
- R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://allstarsearch.net
- O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe

Existiert wieder der ganze Ordner von

Und auch das Trusted Zones so Seite drin stehen, obwohl eigentlich gar keine eingetragen sind.

Aber ehrlichgesagt hab ich da leider kein Plan von

Gruss Micha

[acymyl]

hatte auch mal so ein problem...da war mein comp von vielen trojanern und würmen befallen. mit avast antivir, das ist ein virenscanner, konnte ich ganz gut erst mal alle viren löschen...das mit dem hintergrundbild und dem desktop-problem löste ich durch ein forumsbeitrag.bei mir funktionierte auch nicht mehr der taskmanager.bei mir mußte ich folgendes machen:

regedit:->HKEY_Current_User->Software->Microsoft->Windows->Current Version->Policies->Explorer->... hier war ein Schlüssel drin: "No active desctop" mit dem Wert 0... ich änderte ihn auf 1
"Classic Shell" ebenfalls auf 1
"Force active desctop" setzte ich auf 0

die system und die active desctop-verzeichnisse mußte ich auch auf veränderungen überprüfen.stellte sich raus das da mir unbekannte schlüssel drin waren.die werte 0 bedeuten aktiviert und die werte 1 bedeuten deaktiviert glaube ich;wenn nicht so,dann halt umgekehrt.es gibt noch 3,das bedeutet glaube ich automatisch oder so...
sag bitte ob es was bringt.andere die da drin bewanderter sind als ich sollten hier vielleicht auch mal meine aussage auf wahrheitsgehalt hin überprüfen,hinterher funktioniert was nicht mehr.

jedenfalls solltest du dringend eine gute viren-software über dein system laufen lassen!

[bla bla]

@mike02

Du hast Dir ja da einiges eingefangen

O4 - HKCU\..\Run: [wupd] C:\WINDOWS\System32\win32.exe
lässt sich aus meiner Sicht nicht eindeutig zu ordnen.

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

auch nicht koscher


O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s

Die Systemdatei liegt im System32-Verzeichnis, dies hier ist ein Schädling, sieht so aus als ob die Sicherheitsupdates fehlen.
Den Stand zum Betriebssystem hast Du ja erfolgreich verschwiegen.

Da sind ausser der Spysheriff.exe noch weitere dubiose Dateien auf deinem Rechner.

Schau mal in der verlinkten Seite nach
http://www.wintotal.de/Spyware/index.php
dort werden einige Dateien aufgeführt.

Wenn das mein Rechner wäre würde ich das System neuaufsetzen und alle meine Passwörter ändern.
Vorher Daten sichern(daten sind nicht ausführbare Dateien.
http://oschad.de/wiki/index.php/Kompromittierung

Und für die Zukunft mal darüber nachdenken, gerade für Online-Aktivitäten, einen eingeschränkten Benutzer zu nutzen.

[Grobi1301]

oh man ich habe ein ähnliches prob wie mike02,
nur das bei mir anscheinend auch noch hijackthis befallen ist und der nicht mehr so ganz klar kommt..
habe ebenfalls den dicken kasten als bg mit "system stopped"..
naja diesen spysheriff werd ich auch irgendwie nicht los und genau wie bei mike02 hab ich allstarsearch.net überall und manchmal öffnet sich wie aus dem nichts eine pornoseite.
habe standardmäßig den bit defender plus pro 8.0 und hab aber auch schon adaware und spybot s&d mehrmals durchlaufen lassen.. bringt alles nix=/
könnt ihr mir nen tipp geben, was ich da machen kann?!

[patrickb]

Hallo zusammen,

bin ich froh dass ich nicht der einzige bin dem es so geht. Hatte schon sämtliche Suchmaschinen abgegrast.
Hab mir den Spysheriff auch vor etwa 3 Tagen eingefangen, und genau wie mike sämtliche Antispyware und Antivirenprogs drüber laufen lassen.
Bringt alles nichts, die Viren zwar jetzt sohab ich weit alle löschen können aber dieses drecks Programm ist sowas von hartnäckig.

Das einzige was ich geschafft habe, ist es mit Microsoft Antispyware (Beta Version) zu blocken. Aber mein Hintergrundbild lässt sich weiterhin nicht ändern.

Wenn jemand eine Lösung wäre ich unglaublich Dankbar denn ich hab eigentlich auch keine Lust jetzt alles wieder neu aufzuspielen.

Gruß Patrick

[PCDpan_fee]

Das Programm nennt sich SpySheriff und springt andauernd auf sobald der PC neugestartet wird

oder es nennt sich SpywareNo
http://www.wintotal.de/Spyware/index.php?Filter=S#Spyware3798

http://www.lavasoftresearch.com/spywareno.shtml

pan_fee

[crazydc]

hahahah ich hab das selbe ding   keine Links zu Crackseiten<---- die sind schuld



naja bissle fummeln das muss auch so wech gehen!!!!!!

hässliger virus aba schlau gemacht!

[cutty]

Beim öffnen von XP öffnet auch immer SpySheriff .was kann ich tun um das zu löschen?

[cuttys]

Hallo!  Hast Du schon XP im abgesicherten Modus gestartet.(F8)drüchen

[slot]

habe/hatte selbiges Problem,
habe das Prog gelöscht, Adaware laufen lassen, V-scanner, registrie nach der "kernels.exe" abgesucht -> gelöscht, das gleiche für "sheriff" gemacht und für winstal*.Exe. Dann habe ich den security task manager runtergeladen (da ja der taskmanager gesperrt ist), mit dem den Kernels entfernen. Danch auf C:\ die Datei winstall löschen und wenn vorhanden io***.*exe
im System32 ist dann die noch kernels.exe (nicht zu verwechseln mit der kernel.exe) die auch löschen, dann sind da noch 2 komische Dateien die habe ich ebenfalls gelöscht. Dann habe ich mir den scanner bei avast.com runtergeladen (für home user free - registrierung kommt per mail. Der scannt dann nach einem neustart in "DOS-Modus"
Nun habe ich das lästige Problem so hoffe ich gelöst - kein Virus mehr, kein Spysheriff mehr, das einzige was ich noch habe ist der schreckliche Hintergrund - der lässt sich nicht mehr zurückzuseten. Evtl. weiß von euch noch einen Rat für dieses Problem.
Ansonsten hoffe ich das euch meine Ausführungen etwas helfen. Ich hoffe ich habe an alles gedacht, habe es beim versuchen nicht protokoliert, und bis ich hier drauf kam habe ich einige gebraucht.
Also viel Erfolg

[mw55465]

hallo,

der blöde hintergrund geht mit der html datei im system32 verzeichnis weg
http://forums.majorgeeks.com/showthread.php?p=587263
artile eine ami - letztes post ... weiss aber nicht ob das geht ...
vielleicht schaut sich das mal jemand an der da ... (gelbe seiten )

ich hab noch das problem dass dieses teil alles mögliche verbogen hat
- taskmanager nicht ausführbar
- systemsteuerung ( namen sind invers geordent)
wie kriegt man das wieder hin

... schade dass man die w....er nie in die finger kriegt
der hat mir 5 stunden meines lebens geklaut !

auch ja hab die seite erst nicht gefunden weil überall spy sheriff zusammen geschrieben war ... auf dass big G dies indexiert - spy sheriff - loswerden entfernen
die lösung spyware ... ihr verzeiht, aber u.U. hielft es dem nÄXten !

gruss mw

[Stift]

Hallo zusammen,

hatte dasselbe problem bei nem bekannten und hab folgendes gemacht:

1, computer im abgesicherten modus hochgefahren
2, regedit und einträge gelöscht
    - hkey_local_machine\software\spysheriff
    - hkey_local_machine\software\microsoft\currentversion\run (oder runonce)
      dns und winstall (dns kann auch von nem anderen virus sein und winstall.exe
      ist dafür verantwortlich das sich das ding immer wieder installiert)
3, Verzeichniss auf c:\program files\spysheriff löschen
4, c:\winstall.exe löschen

zum bild bzw die hintergrund-einstellungs-freigabe bin ich leider noch net gekommen  
aber wen´s nervt das ist nur irgend ein *.bmp im c:\windows\ verzeichniss oder
c:\windows\system\ und kann man manuell ändern in
hkey_current_user\software\microsoft\internet explorer\desktop\general -> wallpaper

cu

[fierce]

tach hab mir eben den *Mist* spysheriff eingefangen beim surfen. das dumme progamm gibt einen die möglichkeit es zu deinstalliern und ist beim nächsten start wieder da... xD. ich würd gern wissen ob schon jemand ne ahnung hat was das ding anrichtet oder ob es einfach nur nervt. zudem denke ich dass das teil ziemlich neu ist, wegen der aufmachung. und das teil zeigt, glaube ich,die trojaner richtig an habs zwar net genau untersucht aber so im gefühl weil ich sie mit antivir bei mir gesehen hab. ich werd windows neuinstall0rn habs es eh in dieser woche zum 5. mal neuinstalliert wegen irgend welcher *Mist* viren abstürze und sonst wat. cu