Riesiges Problem mit Spysheriff!!!!!!

wie meinst das jetzt??

ich geh auf hijackthis.exe und dann?

 

Hallo,
dann gehst du auf "do a system scan only"
Dann erscheinen die ganzen Einträge, vor die von mir genannten Einträge setzt du ein Haken und dann klickst du auf "Fix checked"
Aber nicht vergessen das ganze im abgesicherten Modus zu machen.


Grüße Jasager

 

ein neuer tag, ein neuer anfang..........

tut mir leid hatte gestern keine zeit mehr.

da gibts folgendes problem:
ich hab das nicht dort stehen. (z.b. R0 und R1 bze. HKCU und HKLM, etc. stimmen nicht)

was jetzt?

 

Hallo,
poste mal nochmal einen Link zu deinem neuen HijackThis Logfile.


Grüße Jasager

 

http://www.hijackthis.de/logfiles/fab6655b16121183ebca67dfde142b89.html
das wäre die neueste datei, aber ohne den gefixten.

hab mir mal die hijackthis - datei durchgelesen und kann es sein, dass das was ich fixen soll, die punkte sind die possibly nasty sind??
wenn ja, vielleicht hast dich nur verschrieben.....

 

Hallo,
ja ich meine alles wo posibly nasty steht, aber das sind doch die Einträge die ich oben gepostet habe. Hauptsache du weißt jetzt welche gemeint sind.
Also dann das alles abarbeiten und wieder melden:

Grüße Jasager

 

fast gänzlich ausgeführt:
http://www.hijackthis.de/logfiles/9fc6f4ac3a38f6ca9ac09760fbea28f3.html

aber
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
und
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
gibt es nicht.

entweder fehlt am schluss das "c:\secure32.html" oder HKCU ist HKLM.

 

Hallo,
wir machen das jetzt anders, alles bei dem R0 oder R1 davor steht wird gefixt. Hast du den Teil mit der sheriff.reg eigentlich schon gemacht?


Grüße Jasager

 

ja habs schon der registry hinzugefügt und C:\secure32.html gelöscht.

also alles fixen bei dem ein R0 oder R1 davor steht...?

 

Ja,
das sollten insgesammt drei Einträge sein.
Wie siehts eigentlich mit deinem Desktop aus, immernoch in blau +Warnmeldung?


Grüße Jasager

 

irgendwas versteh ich da nicht ganz:

wenn ich auf die gespeicherte analyse klicke
(http://www.hijackthis.de/logfiles/fab6655b16121183ebca67dfde142b89.html)
kommt das.

lasse ich mir hingegen auf www.hijackthis.de nur folgende ausgabe analysieren kommen keine "possible nasty"s mehr:

Logfile wieder entfernt....



also ich durchblick das nicht ganz, weil dann wieder die "possible nasty"s kommen die ich bereits gefixt habe.
also hat da www.hijackthis.de was oder kenn ich mich nur nicht aus?


bzgl. meinem desktop:
ist wieder alles in ordnung!

 

Hallo,
lösche mal wieder das Logfile, wird hier nicht so gerne gesehen wenn man es direkt postet. Sieht jetzt ganz gut aus. Mach zur Kontrolle mal noch einen Onlinescan bei Panda (mit dem IE) Und falls was gefunden wird, poste es.


Grüße Jasager

 

panda sagt folgendes: (lokaler datenträger gescant)


Incident Status Location

Adware:Adware/SaveNow Not desinfected C:\Documents and Settings\Robert2\Local Settings\Temp\saveinstwm.exe
Adware:Adware/SpySheriff Not desinfected C:\Program Files\SpySheriff\heur002.dll
Adware:Adware/SpywareNo Not desinfected C:\Program Files\SpySheriff\IESecurity.dll
Adware:Adware/SpywareNo Not desinfected C:\Program Files\SpySheriff\ProcMon.dll
Adware:Adware/SpySheriff Not desinfected C:\Program Files\SpySheriff\Uninstall.exe
Adware:Adware/SaveNow Not desinfected C:\Program Files (x86)\BearShare\Installer\saveinstwm.exe
Adware:Adware/Secure32 Not desinfected C:\RECYCLER\S-1-5-21-1844237615-162531612-1801674531-500\Dc1.html
Adware:Adware/SpywareNo Not desinfected C:\winstall.exe
Virus:Bck/Tunnel.B Disinfected E:\Dokumente und Einstellungen\ROBERT\Desktop\tunnel\tunnel.zip[zebedee.exe]
Virus:Bck/Tunnel.B Disinfected E:\Dokumente und Einstellungen\ROBERT\Desktop\tunnel\zebedee.exe
Adware:Adware/Secure32 Not desinfected E:\Dokumente und Einstellungen\ROBERT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MV2X4ZIJ\secure32[1].htm
Adware:Adware/Secure32 Not desinfected E:\Dokumente und Einstellungen\ROBERT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NOWCF6YG\paytime[1].txt
Adware:Adware/SpywareNo Not desinfected E:\Dokumente und Einstellungen\ROBERT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NOWCF6YG\tool2[1].txt
Adware:Adware/SpySheriff Not desinfected E:\RECYCLER\S-1-5-21-1844237615-162531612-1801674531-1005\De38.exe
Adware:Adware/SpySheriff Not desinfected E:\RECYCLER\S-1-5-21-1844237615-162531612-1801674531-1005\De41.exe[run.exe]
Adware:Adware/Secure32 Not desinfected E:\WINDOWS\secure32.html

 

Hallo,
besorge dir mal Killbox und lösche folgende Dateien on reboot, erst bei der letzten die Frage nach dem Neustart mit Ja beantworten:
C:\Documents and Settings\Robert2\Local Settings\Temp\saveinstwm.exe
C:\Program Files (x86)\BearShare\Installer\saveinstwm.exe
C:\winstall.exe
E:\WINDOWS\secure32.html
Danach löschst du auch mit Killbox(deltree) diesen Ordner:
C:\Program Files\SpySheriff


Grüße Jasager

 

die seite ist irgendwie nicht erreichbar......

 

Hallo,
komisch bei mir ohne Probleme. Direktdownload Killbox


Grüße Jasager

 

hat funktioniert, allerdings existiert C:\Documents and Settings\Robert2\Local Settings\Temp\saveinstwm.exe nicht.
(hab nicht mal den ordner "local settings")

und was ist mit deltree gemeint???

schon verstanden und erledigt....!!!

 

Hallo,
die Datei müßte aber da sein, hast du diese Einstellungen bei der Ordneransicht?
So, das sollte es jetzt aber gewesen sein, war ja auch schwer genug die Geburt. Noch zwei Sachen, erstens Finger weg von Cracks Keygens und Ähnlichem, zweitens ist es eine hervorragende Schutzmaßnahme nur mit eingeschränkten Rechten zu surfen, weiteres dazu hier.


Grüße Jasager

 

super danke!!!

ich meinte, dass killbox diese datei nicht fand (im auswahlfenster)
und gibt es eig. irgendwelche empfehlenswerten antispywareprogramme??

mfg,
bladion

 

Hallo,
also welche die sowas platt machen gibt es nicht, für den Hausgebrauch reicht eigentlich die Mischung Spybot und Ad-Aware, du solltest schauen das du dir sowas gar nicht erst einfängst. Z.B. wie schon oben geschrieben durch eingeschränkte Rechte beim surfen.


Grüße Jasager