Thema: SpySheriff: einige Lösungsmöglichkeiten

[PCDpan_fee]

Zurzeit häufen sich die Anfragen wegen SpySheriff. Die hartnäckige Adware lässt sich schwer entfernen, deaktiviert den Taskmanager und den Desktop-Hintergrund.
Leider schaffen es bis jetzt auch die Malware-Tools nicht, diese hartnäckige Spyware zu entfernen. Wir hoffen doch, dass sich das in der nächsten Zeit ändert. Den Schädling fängt man sich nur bei aktiviertem JavaScript (Internetoptionen/Sicherheit/Active Scripting) ein.
Wir gehen davon aus, dass die "Firma" hinter diesen ganzen Programmen ein und dieselbe sein wird. Wenn zu viele Methoden gegen die Software entwickelt wurden oder der Name zu negativ belastet ist, dann "verkauft" man eben ein neues Produkt. Nicht umsonst sehen SpyTrooper und WinFixer identisch aus in der Oberfläche.

Neuer Name - selbes Produkt: Antivirus 2008 bzw. Antivirus 2008 Pro, Antivirus2009, WinAntivirusPro, WinAntiVirus 2004, WinAntiVirus 2005 Pro Trial, Windows Antivirus 2008, XP Antivirus (XPAntivirus2008), AntivirusPCSuite, AntiVirus XP 2008 (AntivirusXP2008), SystemAntivirus2008 (System Antivirus 2008), VistaAntivirus2008 (Vista Antivirus 2008), Antivir64 (Antivir 64), Power Antivirus 2009 (Power-Antivirus-2009, PowerAntivirus), SichererSchutz, AntiSpionage Pro, VirusSchlacht, PCSecureSystem, AntieSpiaDorado, AntivirusMagique, AVSystemCare, WinSpyControl, VirusGarde, ProtectionAssuree, TrustedAntivirus (TrustedProtection), AdwareDelete, AntiVirus Gold (AntivirusGold), AntivirusGolden, SpywareStrike, SpyKillerPro, TotalSecure (Total Secure), PC Drive Tool, PCPrivacyTool, etc.

Empfohlene AntiViren-Software, die ähnlich im Namen klingen und leicht verwechseln werden können: CA eTrust Antivirus (PestPatrol), AntiVirenKit (AVK), H+BEDV AntiVir (Avira), McAfee Antivirus (VORSICHT: Mcaffe Antivirus), eScan AntiVirus (MicroWorld Free AntiVirus), Etrust Antivirus, Anti-Spyware (F-Secure Internet Security, UPC SmartGuard, F-Secure Anti-Spyware), Trend Micro PC-Cillin Antivirus, PC Tools AntiVirus.

Das Tool Remove Fake Antivirus entfernt ca. 65 Rogue AntiVirus Programme (Scareware), die sich als Virenschutz ausgeben.

Einige User haben aber die Spyware erfolgreich bekämpft. Hier eine kleine Zusammenstellung, wie SpySheriff sich entfernen lässt.
Der Thread über SpySheriff: www.wintotal-forum.de/index.php/topic,83814.0.html

Wer sich nicht in der Registry auskennt oder gar nicht weiß, was die Registry ist, sollte zuerst den Registry Guide lesen.

Über Start - Ausführen - regedit (bzw. regedt32, je nach BS-Version) wird der Registryeditor (Registry) gestartet.

SpySheriff finden:
Im abgesicherten Modus (F8)

msconfig (Autostart) verdächtige Einträge?
Start - Ausführen - msconfig - Autostart bzw. Systemstart nach SpySheriff.exe, wp.bmp etc. suchen und deaktivieren.
 
Interessante Artikeln zum Thema:
Backups Teil 1
Backups Teil 2
Complete PC-Sicherung von Vista
"Sichern und Wiederherstellen" unter Windows 7

Im Windows-Explorer - Ordneroptionen - Ansicht - "Versteckte Dateien und Ordner" - Alle Dateien und Ordner anzeigen aktivieren sowie "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Unter Start (Button) - Suchen = »Spy Sheriff« und «SpySheriff» eingeben und suchen lassen, alle gefundenen Einträge löschen.

SpySheriff.exe
oder
SpywareNo.exe
im Verzeichnis C:\Programme\SpySheriff
oder
C:\Programme\SpywareNo
im Verzeichnis  C:\winstall.exe und C:\secure32.html löschen (falls vorhanden) immer noch im abgesicherten Modus (F8).
Im Verzeichnis C:\Windows\system (bzw. system32) kernels.exe oder kernels32.exe oder kernels64.exe (falls vorhanden) löschen.  
C:\WINDOWS\system32\wp.bmp
bzw.
C:\WINDOWS\system\wp.bmp <--- löschen.

Weitere Dateien, die SpySheriff anlegt:
tool2.exe = C:\Windows
tool3.exe = C:\Windows
paytime.exe = C:\Windows\system32
sywsvcs.exe = C:\Windows\system32
symcsvc.exe = C:\Windows\system32
z11.exe = C:\Windows\system32

In der "Systemsteuerung - Software" die Einträge kontrollieren.

Desktop-Hintergrund wieder herstellen:
HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
oder
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoActiveDesktop
NoActiveDesktopChanges
ForceActiveDesktopOn
NoViewContextMenu
NoThemesTab
NoSaveSettings
ClassicShell
(falls vorhanden)
Wert  = 0 oder löschen

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
oder
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
NoDispAppearancePage
NoDispBackgroundPage
NoDispScrSavPage
NoDispSettingsPage
WallpaperStyle
Wallpaper
(falls vorhanden)
Wert = 0 oder löschen

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
oder
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
NoChangingWallPaper
NoComponents
NoAddingComponents
NoDeletingComponents
NoEditingComponents
NoHTMLWallpaper
(falls vorhanden)
Wert = 0 oder löschen

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\Wallpaper
wp.bmp  = löschen (falls vorhanden), der Eintrag kann auch anders lauten - oder gleich den ganzen Unterschlüssel Wallpaper löschen (Rechtsklick und im Kontextmenü auf "Löschen" klicken)



Spy Sheriff legt evtl. ein Html-File an und speichert dies unter C:\Windows\Web\Wallpaper\xxxxx.html

Evtl. legt SpySheriff auch eine Desktop.html im Verzeichnis C:\Windows an, falls vorhanden --> löschen.

HKEY_CURRENT_USER\Control Panel\Desktop\Wallpaper
"C:\windows\xxxxx.bmp" löschen

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General
Wallpaper = hier sollte der Pfad zu Wallpaper1.bmp stehen (%USERPROFILE%\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp)
BackupWallpaper = auch hier sollte der Pfad mit "Wallpaper" identisch sein.

Für Windows 2000/XP in den Gruppenrichtlinien (Start - Ausführen - gpedit.msc) nachsehen, ob unter Benutzerkonfiguration - Administrative Vorlagen - Desktop - Active Desktop
die Richtlinie Active Desktop-Hintergrund und Active Desktop aktivieren auf "nicht konfiguriert" steht.

Unter Systemsteuerung - Anzeige - Reiter "Desktop" - Button "Desktop anpassen" - Reiter "Web" -  »Webseiten« die Häkchen, der aufgelisteten Websites, entfernen.

Desktopsymbole verschwunden:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
oder
HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-100x\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HideIcons
(falls vorhanden)
Wert = 0 oder löschen

Startseite geändert:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\
HomePage
Wert = 0 oder löschen

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Start Page = www.meineStartseite.de/
Search Page = www.meineSuchseite.com
Search Bar = www.meineSuchToolbar.com/ie



evtl. Weiterleitung statt Startseite:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix
(Standard) = http://



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes
ftp = ftp://
gopher = gopher://
home = http://
mosaic = http://
www = http://
Originalwerte
dahinter sollte rein gar nichts stehen.



Spysheriff aus der Registry löschen:
HKEY_LOCAL_MACHINE\Software\spysheriff
Unterschlüssel spysheriff löschen.

Am besten in der Registry im Menü "Bearbeiten - Suchen" - Spysheriff und Spy Sheriff oder einfach nur Sheriff eingeben und die gefundenen Einträge löschen.
Mit der Taste »F3« weitersuchen, bis die Registry nichts mehr findet.
Vorher den Schlüssel zur Vorsicht exportieren.





Registry-Autostarteinträge finden:

www.wintotal.de/Tipps/Eintrag.php?id=233

Systemstart (Winlogon) ohne SpySheriff:
SpySheriff legt evtl. eine Kopie im C:\ oder C:\Windows oder C:\Windows\System (system32) Ordner mit dem Namen Io.exe (io***.*exe) an und trägt sich in die System.ini unter "Shell=Parameter /1" ein, Beispiel: "Shell=Explorer.exe Io.exe/1". Somit ist gewährleistet, daß die Io.exe bei jedem Systemstart mit gestartet wird.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell  REG_SZ Explorer.exe C:\Windows\system32\ xxx.exe Pfad löschen (Rechtsklick "Bearbeiten" - kompletten Pfad löschen, sodass nur noch Explorer.exe da steht).

Shell  REG_SZ Explorer.exe = original



evtl. ist der Taskmanager gesperrt:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\
DisableTaskMgr
Wert = 0 oder löschen
www.wintotal.de/Tipps/Eintrag.php?id=1026

Der Taskmanager wurde durch den Administrator deaktiviert
www.wintotal.de/tipparchiv/?id=1086

Einige hilfreiche Tools:

• Microsoft Security Essentials
• Ad-Aware Free
• Spybot Search & Destroy
• smitRem
• Malwarebytes Anti-Malware

Ergänzend ist vielleicht dieser Thread noch von Interesse:
www.wintotal-forum.de/index.php/topic,90348.html


Anmerkungen bzw. andere Lösungsmöglichkeiten bitte per Mail oder KN an mich, ggf. werden sie hier mit aufgenommen. Danke

Viel Erfolg

pan_fee

(21.06.2005 für Windows XP konzipiert)

*Links korrigiert*