Riesiges Problem mit Spysheriff!!!!!!

erstmals hallo,

und tschuldigung falls es bereits einen thread gibt der sich mit diesem thema befasst.

hab heute dummerweise einige sachen (updates für spiele) aus dem internet geladen (natürlich ohne firewall) und jetzt ein großes problem.

zunächst einmal bekam ich einige meldungen von antivir die besagten, dass ich einen trojaner besitze.
hab darauf nicht sonderlich überrascht reagiert, allerdings meldete sich dann ein mir bis dato völlig unbekanntes program namens "spysheriff".
der führte einen scan durch und zeigte mir alle möglichen bedrohungen an.
desweiteren habe ich jetzt so eine wunderbare meldung am desktop stehen (bildschirmhintergrund lässt sich nicht ändern)

daraufhin habe ich mich dann via internet darüber informiert und eig. nichts positives gelesen.
da wurden als lösungsvorschläge neu aufsetzen, etc. genannt.
muss das wirklich sein oder gehts auch anders?

ich habe auch gelesen, dass durch diesen trojaner tastatureingaben, passwörter und ähnliches an eine unbekannte dritte person geliefert werden.
stimmt das?

würde mich sehr freuen eine prombte antwort zu erhalten um das problem zu lösen.
außerdem stelle ich mir nun die frage ob spysheriff nun ein anti-trojaner-programm oder ein trojaner oder ähnliches ist.

danke im vorraus!!!!



ps: betriebssystem winows xp home (sp2)
virenschutz: antivir
firewall: momentan leider keine - auch nicht die windowsfirewall

 

Lies mal diesen Tread, vielleicht löst das dein Problem.
http://forum.pcwelt.de/forum/thread180801.html

 

Hallo,
vorneweg, Spysheriff ist ein Trojaner der ausgibt ein Antispywareprogramm zu sein.

Die sicherste Variante ist es, da sehr viele Dateien an den unterschiedlichsten Stellen abgelegt werden, und der Trojaner auch sehr tief eindringt, ist aber im Endeffekt deine Entscheidung, garantieren, dass ich da alles wieder wegkratzen kann, kann ich leider nicht.
Also, so du dich nicht für eine Neuinstallation entscheidest, erstelle mal ein HijackThis Logfile wie hier beschrieben und poste den Link.
Dann besorgst du dir folgendes Tool, entpackst es, gehst in den abgesicherten Modus (F8 beim booten) und startest das Programm durch Doppelklick auf die runthis.bat.
Dann postest du den Inhalt der von dem Programm erstellten C:\smitfiles.txt


Grüße Jasager

 

zunächst mal danke für die schnellen antworten.

hier die dateien:

smitfiles:


smitRem © log file
version 2.7

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~

desktop.html


~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN!




hijackthis:

http://www.hijackthis.de/logfiles/9fc6f4ac3a38f6ca9ac09760fbea28f3.html


und was jetzt?

 

du hast zwei Schädliche Programme laufen von denen du nicht weißt was sie zur Laufzeit gemacht haben.

Ändere deine Passwörter und laß am PC verwendete Kreditkarten sperren.

Setz den PC neu und lad keine "updates für spiele" mehr aus dem Internet.

Eine Frage: Was soll die Firewall da machen wenn du dir den Trojaner selbst runterlädst und startest ...

 

Hallo,
jetzt werden wir etwas frankophiler, besorge die diese Programm, entpacke es auf dem Desktop, dadurch wird ein Ordner Smitfraudfix erstellt werden, diesen öffnest du und führst die Smitfraudfix.cmd aus, dann "1" eingeben und bestäteigen. Dann wird eine rapport.txt in dem Ordner erstellt, den Inhalt postest du.

Ach ja, das Programm "no spy" hat auch eher einen zweifelhaften Ruf, also deinstalliere es besser.

Grüße Jasager

 

ok, smitfraudfix ausgeführt:

SmitFraudFix v1.96

Rapport fait à 21:22:34,73 le 20.11.2005
Executé à partir de E:\Dokumente und Einstellungen\ROBERT\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\


»»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\WINDOWS

E:\WINDOWS\kl.exe PRESENT !
E:\WINDOWS\tool2.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\WINDOWS\system32

E:\WINDOWS\system32\paytime.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\Dokumente und Einstellungen\ROBERT\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau

E:\Dokumente und Einstellungen\ROBERT\Desktop\SpySheriff.lnk PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport


und "no spy" ist auch weg!

 

Wer garantiert dir das?

 

sagen wir, dass es deinstalliert ist.......

 

Hallo,
jetzt beendest du alle anderen Programme und führst Smitfraudfix mit "2" aus mit "o" bestärigen, wieder die rapport.txt posten.
Dann nochmal mit "3" und "o" ausführen.

Falls du übrigens einen Eintrag unter Systemsteuerung>>Software von Spysheriff hast, diesen deinstallieren.
Dann nochmal ein HijackThis Log erstellen und den Link posten.

@whisky
"No spy" ist relativ harmlos, das läßt sich wirklich durch bloßes deinstallieren beseitigen, was man von Spysheriff nicht behaupten kann

Grüße Jasager

 

entweder steh ich auf der leitung, oder ich weiß nicht.....

mit "o" bestätigen????????
da steht dann höchstens eine "o"...

 

Immer vorrausgesetzt es handelt sich ums Original Programm und alle Funktionen sind bekannt... und da der er das Programm anscheinen durch einen Crack ..... äh Update für ein Spiel bekommen hat würde ich mich nicht darauf verlassen

 

also entwerder steh ich grad auf der leitung oder ich weiß nicht....

aber mit "o" bestätigen?
da steht dann ein "o" dort....

 

Hallo,
also erst "2" eingeben, dann "enter, wenn dann eine Frage o/n kommt mit "o" bestätigen.

@whisky
Ich glaube nicht das no spy durch einen crack installiert wurde, sondern eher vom TE um das Problem wieder los zu werden, der Hauptübeltäter ist Spysheriff.


Grüße Jasager

 

also "2" "o" ergibt:

SmitFraudFix v1.96

Rapport fait à 21:47:56,82 le 20.11.2005
Executé à partir de E:\Dokumente und Einstellungen\ROBERT\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés



»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport



und "3" "o" ergibt:

keine rapport.txt, aber ich denke das passt schon so.


bei software gibt es nichts von spysheriff...

und @ euch beide:

no spy hab ich mal downgeloadet und installiert

 

Hallo,
dann jetzt noch mal das neue HijackThis log.


Grüße Jasager

 

...ganz vergessen....

http://www.hijackthis.de/logfiles/9fc6f4ac3a38f6ca9ac09760fbea28f3.html

 

Hallo,
Erstmal gehst du mit Rechtsklick "Speichern unter" auf diesen Link und wählst den Desktop.
Jetzt gehst du wieder in den abgesicherten Modus, dann folgendes fixen (Haken davor und auf fix checked" klicken):
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O4 - HKLM\..\Run: [stnospy] E:\Programme\SinEspias\no-spy.exe /autorun

dann die C:\secure32.html löschen.

Dann führst du die sheriff.reg aus und fügst sie der Registry bei.
Dann wieder in den normalen Modus und bericht erstatten und abermalig ein neues Log posten.


Grüße Jasager

 

was fixen ist weiß ich schon, aber wie komm ich dorthin wo ich was fixen soll....?

 

Hallo,
ups, vergessen zu erwähnen, du sollst die Sachen mit HijackThis fixen, also Programm öffnen, und die Haken vor die jeweiligen Einträge machen.


Grüße Jasager