Riesiges Problem mit Spysheriff!!!!!!

Dieses Thema im Forum "Sicherheit" wurde erstellt von Bladion, 20. November 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Bladion

    Bladion Byte

    Registriert seit:
    25. Juli 2005
    Beiträge:
    41
    erstmals hallo,

    und tschuldigung falls es bereits einen thread gibt der sich mit diesem thema befasst.

    hab heute dummerweise einige sachen (updates für spiele) aus dem internet geladen (natürlich ohne firewall) und jetzt ein großes problem.

    zunächst einmal bekam ich einige meldungen von antivir die besagten, dass ich einen trojaner besitze.
    hab darauf nicht sonderlich überrascht reagiert, allerdings meldete sich dann ein mir bis dato völlig unbekanntes program namens "spysheriff".
    der führte einen scan durch und zeigte mir alle möglichen bedrohungen an.
    desweiteren habe ich jetzt so eine wunderbare meldung am desktop stehen (bildschirmhintergrund lässt sich nicht ändern)[​IMG]

    daraufhin habe ich mich dann via internet darüber informiert und eig. nichts positives gelesen.
    da wurden als lösungsvorschläge neu aufsetzen, etc. genannt.
    muss das wirklich sein oder gehts auch anders?

    ich habe auch gelesen, dass durch diesen trojaner tastatureingaben, passwörter und ähnliches an eine unbekannte dritte person geliefert werden.
    stimmt das?

    würde mich sehr freuen eine prombte antwort zu erhalten um das problem zu lösen.
    außerdem stelle ich mir nun die frage ob spysheriff nun ein anti-trojaner-programm oder ein trojaner oder ähnliches ist.


    danke im vorraus!!!!



    ps: betriebssystem winows xp home (sp2)
    virenschutz: antivir
    firewall: momentan leider keine - auch nicht die windowsfirewall
     
  2. Jpw

    Jpw Megabyte

    Registriert seit:
    26. Februar 2005
    Beiträge:
    1.448
  3. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    vorneweg, Spysheriff ist ein Trojaner der ausgibt ein Antispywareprogramm zu sein.
    Die sicherste Variante ist es, da sehr viele Dateien an den unterschiedlichsten Stellen abgelegt werden, und der Trojaner auch sehr tief eindringt, ist aber im Endeffekt deine Entscheidung, garantieren, dass ich da alles wieder wegkratzen kann, kann ich leider nicht.
    Also, so du dich nicht für eine Neuinstallation entscheidest, erstelle mal ein HijackThis Logfile wie hier beschrieben und poste den Link.
    Dann besorgst du dir folgendes Tool, entpackst es, gehst in den abgesicherten Modus (F8 beim booten) und startest das Programm durch Doppelklick auf die runthis.bat.
    Dann postest du den Inhalt der von dem Programm erstellten C:\smitfiles.txt


    Grüße Jasager
     
  4. Bladion

    Bladion Byte

    Registriert seit:
    25. Juli 2005
    Beiträge:
    41
    zunächst mal danke für die schnellen antworten.

    hier die dateien:

    smitfiles:


    smitRem © log file
    version 2.7

    by noahdfear


    Microsoft Windows XP [Version 5.1.2600]

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    checking for ShudderLTD key

    ShudderLTD key not present!

    checking for PSGuard.com key


    PSGuard.com key not present!

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    Existing Pre-run Files


    ~~~ Program Files ~~~



    ~~~ Shortcuts ~~~



    ~~~ Favorites ~~~



    ~~~ system32 folder ~~~



    ~~~ Icons in System32 ~~~



    ~~~ Windows directory ~~~

    desktop.html


    ~~~ Drive root ~~~


    ~~~ Miscellaneous Files/folders ~~~




    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



    Remaining Post-run Files


    ~~~ Program Files ~~~



    ~~~ Shortcuts ~~~



    ~~~ Favorites ~~~



    ~~~ system32 folder ~~~



    ~~~ Icons in System32 ~~~



    ~~~ Windows directory ~~~



    ~~~ Drive root ~~~



    ~~~ Miscellaneous Files/folders ~~~




    ~~~ Wininet.dll ~~~

    CLEAN! :)




    hijackthis:

    http://www.hijackthis.de/logfiles/9fc6f4ac3a38f6ca9ac09760fbea28f3.html


    und was jetzt?
     
  5. whisky

    whisky Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2001
    Beiträge:
    11.014
    du hast zwei Schädliche Programme laufen von denen du nicht weißt was sie zur Laufzeit gemacht haben.

    Ändere deine Passwörter und laß am PC verwendete Kreditkarten sperren.

    Setz den PC neu und lad keine "updates für spiele" mehr aus dem Internet.

    Eine Frage: Was soll die Firewall da machen wenn du dir den Trojaner selbst runterlädst und startest ...
     
  6. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    jetzt werden wir etwas frankophiler, besorge die diese Programm, entpacke es auf dem Desktop, dadurch wird ein Ordner Smitfraudfix erstellt werden, diesen öffnest du und führst die Smitfraudfix.cmd aus, dann "1" eingeben und bestäteigen. Dann wird eine rapport.txt in dem Ordner erstellt, den Inhalt postest du.

    Ach ja, das Programm "no spy" hat auch eher einen zweifelhaften Ruf, also deinstalliere es besser.

    Grüße Jasager
     
  7. Bladion

    Bladion Byte

    Registriert seit:
    25. Juli 2005
    Beiträge:
    41
    ok, smitfraudfix ausgeführt:

    SmitFraudFix v1.96

    Rapport fait à 21:22:34,73 le 20.11.2005
    Executé à partir de E:\Dokumente und Einstellungen\ROBERT\Desktop\SmitfraudFix\SmitfraudFix
    OS: Microsoft Windows XP [Version 5.1.2600]

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\


    »»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\WINDOWS

    E:\WINDOWS\kl.exe PRESENT !
    E:\WINDOWS\tool2.exe PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\WINDOWS\system


    »»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\WINDOWS\Web


    »»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\WINDOWS\system32

    E:\WINDOWS\system32\paytime.exe PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\Dokumente und Einstellungen\ROBERT\Application Data


    »»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer


    »»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau

    E:\Dokumente und Einstellungen\ROBERT\Desktop\SpySheriff.lnk PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\Programme


    »»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues


    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


    »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport


    und "no spy" ist auch weg!
     
  8. whisky

    whisky Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2001
    Beiträge:
    11.014
    Wer garantiert dir das? :rolleyes:
     
  9. Bladion

    Bladion Byte

    Registriert seit:
    25. Juli 2005
    Beiträge:
    41
    sagen wir, dass es deinstalliert ist.......
     
  10. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    jetzt beendest du alle anderen Programme und führst Smitfraudfix mit "2" aus mit "o" bestärigen, wieder die rapport.txt posten.
    Dann nochmal mit "3" und "o" ausführen.

    Falls du übrigens einen Eintrag unter Systemsteuerung>>Software von Spysheriff hast, diesen deinstallieren.
    Dann nochmal ein HijackThis Log erstellen und den Link posten.

    @whisky
    "No spy" ist relativ harmlos, das läßt sich wirklich durch bloßes deinstallieren beseitigen, was man von Spysheriff nicht behaupten kann :rolleyes:

    Grüße Jasager
     
  11. Bladion

    Bladion Byte

    Registriert seit:
    25. Juli 2005
    Beiträge:
    41
    entweder steh ich auf der leitung, oder ich weiß nicht.....

    mit "o" bestätigen????????
    da steht dann höchstens eine "o"...
     
  12. whisky

    whisky Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2001
    Beiträge:
    11.014
    Immer vorrausgesetzt es handelt sich ums Original Programm und alle Funktionen sind bekannt... und da der er das Programm anscheinen durch einen Crack ..... äh Update für ein Spiel bekommen hat würde ich mich nicht darauf verlassen
     
  13. Bladion

    Bladion Byte

    Registriert seit:
    25. Juli 2005
    Beiträge:
    41
    also entwerder steh ich grad auf der leitung oder ich weiß nicht....

    aber mit "o" bestätigen?
    da steht dann ein "o" dort....
     
  14. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    also erst "2" eingeben, dann "enter, wenn dann eine Frage o/n kommt mit "o" bestätigen.

    @whisky
    Ich glaube nicht das no spy durch einen crack installiert wurde, sondern eher vom TE um das Problem wieder los zu werden, der Hauptübeltäter ist Spysheriff.


    Grüße Jasager
     
  15. Bladion

    Bladion Byte

    Registriert seit:
    25. Juli 2005
    Beiträge:
    41
    also "2" "o" ergibt:

    SmitFraudFix v1.96

    Rapport fait à 21:47:56,82 le 20.11.2005
    Executé à partir de E:\Dokumente und Einstellungen\ROBERT\Desktop\SmitfraudFix\SmitfraudFix
    OS: Microsoft Windows XP [Version 5.1.2600]

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés



    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport



    und "3" "o" ergibt:

    keine rapport.txt, aber ich denke das passt schon so.


    bei software gibt es nichts von spysheriff...

    und @ euch beide:

    no spy hab ich mal downgeloadet und installiert:)
     
  16. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    dann jetzt noch mal das neue HijackThis log.


    Grüße Jasager
     
  17. Bladion

    Bladion Byte

    Registriert seit:
    25. Juli 2005
    Beiträge:
    41
  18. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    Erstmal gehst du mit Rechtsklick "Speichern unter" auf diesen Link und wählst den Desktop.
    Jetzt gehst du wieder in den abgesicherten Modus, dann folgendes fixen (Haken davor und auf fix checked" klicken):
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
    O4 - HKLM\..\Run: [stnospy] E:\Programme\SinEspias\no-spy.exe /autorun

    dann die C:\secure32.html löschen.

    Dann führst du die sheriff.reg aus und fügst sie der Registry bei.
    Dann wieder in den normalen Modus und bericht erstatten und abermalig ein neues Log posten.


    Grüße Jasager
     
  19. Bladion

    Bladion Byte

    Registriert seit:
    25. Juli 2005
    Beiträge:
    41
    was fixen ist weiß ich schon, aber wie komm ich dorthin wo ich was fixen soll....?
     
  20. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    ups, vergessen zu erwähnen, du sollst die Sachen mit HijackThis fixen, also Programm öffnen, und die Haken vor die jeweiligen Einträge machen.


    Grüße Jasager
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen