Spysheriff nach Download und Wallpaper geändert

#0
17.11.2005, 14:35
...neu hier

Beiträge: 10
#1 Hallo liebe Protecus-Gemeinde.

Gestern Nacht habe ich eine Freeware runtergeladen und dann ist mir folgendes passiert. Nach der Installation wurde von AntiVir dieser Trojaner entdeckt

TR/Dldr.Sma.bfy.5.B

Danach hat sich eine komisch Software die sich als Spysheriff nannte installiert (diese konnte ich wieder entfernen).
Danach wurde mein Hintergrundbild geändert, das Bild macht einen Hinweis darauf, dass ich eine Spyware Infection habe. Dieses Bild lässt sich wie normal nicht mehr durch die Desktop-Einstellung ändern.

was ratet ihr mir zu tun. Habe schon ein paar Foren durchforstet aber da habe ich gelesen, dass man den PC komplett neu aufsetzen muss. Gibt es eine andere möglichkeit?

Danke
Seitenanfang Seitenende
17.11.2005, 15:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo tschifu

du musst nicht formatieren...das bekommt man sauber ;)

CCleaner
lösche alle temp-Dateien
http://virus-protect.org/temp.html

kopiere hier die 4 Textdateien
http://virus-protect.org/datfindbat.html

kopiere das Log vom Silentrunner
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.11.2005, 15:55
...neu hier

Themenstarter

Beiträge: 10
#3 1:

17.11.2005 03:29 14.848 BASSMOD.dll
17.11.2005 01:15 531.752 FNTCACHE.DAT
17.11.2005 01:11 219.648 uxtheme.dll ???
16.11.2005 22:14 2.262 wpa.dbl
11.11.2005 12:19 36.864 autoupdatev2.exe ??
09.11.2005 21:21 320 results.txt
09.11.2005 00:25 8.925 rundll32.exe.Z-missing.txt???
02.11.2005 10:49 2.377.568 MRT.exe
17.10.2005 20:58 65.536 QuickTimeVR.qtx
17.10.2005 20:57 49.152 QuickTime.qts
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
04.10.2005 17:26 3.013.120 mshtml.dll
23.09.2005 04:06 8.491.520 shell32.dll
10.09.2005 02:54 2.067.968 cdosys.dll
03.09.2005 00:53 664.064 wininet.dll
03.09.2005 00:53 605.696 urlmon.dll
03.09.2005 00:53 251.392 iepeers.dll
03.09.2005 00:53 146.432 msrating.dll
03.09.2005 00:53 96.768 inseng.dll
03.09.2005 00:53 39.424 pngfilt.dll
03.09.2005 00:53 1.484.288 shdocvw.dll
03.09.2005 00:53 205.312 dxtrans.dll
03.09.2005 00:53 474.112 shlwapi.dll
03.09.2005 00:53 448.512 mshtmled.dll
03.09.2005 00:53 530.432 mstime.dll
03.09.2005 00:53 55.808 extmgr.dll
03.09.2005 00:53 152.064 cdfview.dll
03.09.2005 00:53 1.019.904 browseui.dll
03.09.2005 00:53 1.055.744 danim.dll
01.09.2005 02:44 292.352 winsrv.dll
01.09.2005 02:44 19.968 linkinfo.dll
30.08.2005 04:55 1.292.800 quartz.dll
23.08.2005 04:39 124.416 umpnpmgr.dll
22.08.2005 19:31 197.632 netman.dll
11.08.2005 16:11 65.024 nwwks.dll

------
2.

Verzeichnis von C:\DOKUME~1\TRINHA~1\LOKALE~1\Temp

10.11.2006 12:45 339.968 MWAVReg.EXE
17.11.2005 15:52 0 Perflib_Perfdata_300.dat
17.11.2005 14:20 620.369 MWAV.LOG
17.11.2005 14:20 1.334 mwXface.log
17.11.2005 14:09 241.664 MYDB.DLL
17.11.2005 13:59 16.384 ~DFEE64.tmp
17.11.2005 13:59 16.384 ~DFE2F6.tmp
17.11.2005 13:57 379.110 GRD$LOGFILE.LOG
17.11.2005 13:01 59.964 Adobelm_Cleanup.0001
17.11.2005 03:13 66.109 bb.exe
17.11.2005 01:20 16.384 ~DFA75C.tmp
17.11.2005 01:20 16.384 ~DF97C5.tmp


------
3.

Verzeichnis von C:\WINDOWS

17.11.2005 15:55 20.184 ntbtlog.txt
17.11.2005 15:53 0 0.log
17.11.2005 15:52 1.467 ODBC.INI
17.11.2005 15:51 54 MININU.LOG
17.11.2005 15:51 2.048 bootstat.dat
17.11.2005 15:50 708 WindowsUpdate.log
17.11.2005 14:09 0 Lic.xxx
17.11.2005 13:54 883 win.ini
17.11.2005 13:54 227 system.ini
17.11.2005 03:13 2.033 hosts
17.11.2005 03:13 1.999 desktop.html
17.11.2005 03:13 1.024 degbes.exe
17.11.2005 03:13 1.024 de.exe
17.11.2005 03:13 28.672 tool2.exe
17.11.2005 03:13 3.584 kl.exe
17.11.2005 03:13 0 uniq

17.11.2005 01:13 8.010 RestoreFlyakiteOSX.txt
11.11.2005 22:39 253.952 Setup1.exe
11.11.2005 22:39 74.752 ST6UNST.EXE
10.11.2005 21:35 107.132 UninstallFirefox.exe
10.11.2005 21:35 27.189 mozver.dat
10.11.2005 21:25 1.125 Winamp.ini
10.11.2005 12:49 117 CMMIXER.INI
09.11.2005 21:41 74.818 _detmp.3
09.11.2005 17:54 74.818 _detmp.1
09.11.2005 17:34 36.958 CFSETUP.TXT
07.11.2005 22:29 0 Explorer.EXE.Z-missing.txt
28.09.2005 12:56 13.346 ModemLog_SmartUSB56 Voice Modem.txt
19.09.2005 14:15 50.451 CSTBox.INI
13.09.2005 13:30 8.766 ModemLog_Typhoon Silver Crest USB Modem 56K.txt
13.09.2005 13:29 1.560 sllights.tnl
13.09.2005 12:59 8.350 ModemLog_SmartUSB56 Modem #2.txt
13.09.2005 01:04 3.618 Ascd_tmp.ini
31.08.2005 00:39 359.236 1015.zip

------
4.

Verzeichnis von C:\

17.11.2005 15:56 0 sys.txt
17.11.2005 15:56 7.156 system.txt
17.11.2005 15:55 14.319 systemtemp.txt
17.11.2005 15:55 113.959 system32.txt
17.11.2005 15:51 1.072.484.352 hiberfil.sys
17.11.2005 15:51 838.860.800 pagefile.sys
17.11.2005 15:12 1.024 $@sdntvt_optimize.tmp--> ????

17.11.2005 14:56 0 checkfw.log
17.11.2005 14:17 5 AVPCallback.log
17.11.2005 13:54 221 boot.ini
10.11.2005 21:15 27.874.912 048_Cafe del Mar Dreams 2 - Titel 8.wav
10.11.2005 21:15 44.253.968 062_Various Artists - A New Funky Genera.wav
10.11.2005 21:15 74.590.612 013_Almagamation Of Soundz - Enchant Me (Original Version).wav
10.11.2005 21:15 51.635.680 025_Tony Stevens - Good Night The Sun.wav
10.11.2005 21:15 74.959.824 003_Dimitri from Paris - love love mode.wav
10.11.2005 21:14 57.752.180 007_Deep & Wide - Seven Seas.wav
10.11.2005 21:14 59.476.912 004_Dimitri from Paris - Sacre Francais (Bob Sinclair P.wav
10.11.2005 21:14 71.833.200 063_Various Artists - Swollen.wav
10.11.2005 21:14 45.678.556 001_Dimitri from Paris - Cerrone _ Give Me Love.wav
10.11.2005 20:50 79.158.544 018_Solaris Heights - Elementis.wav
10.11.2005 20:50 43.772.000 077_Trio Mafua - Quente.wav
10.11.2005 20:50 66.545.476 061_Various Artists - Beautifu.wav
10.11.2005 20:50 49.746.700 044_Cafe del Mar Dreams 2 - Titel 4.wav
10.11.2005 20:50 52.105.552 066_Various Artists - Slow Pulse feat_ C.wav
10.11.2005 20:50 45.892.476 021_Dave A_ Stewart Feat_ Candy Dulfer - Lily Was Here.wav
10.11.2005 20:49 65.199.460 023_Foundland - Cloud Pattern.wav
10.11.2005 20:49 51.915.184 057_Various Artists - Easy.wav
10.11.2005 20:49 64.427.900 056_Various Artists - Whispering .wav
10.11.2005 20:49 74.363.876 031_Various Artists - D'voti.wav
10.11.2005 20:49 57.128.604 058_Various Artists - Letting The.wav
10.11.2005 20:49 67.488.064 012_The Horns Of Plenty - Altogether Blue.wav
27.08.2005 13:29 856 flashplayer.xpt
------------------


das Log von silentrunner kann nicht erstellt werden.---> da was mit WMI-Service nicht stimmt
was mache ich nun?
Seitenanfang Seitenende
17.11.2005, 16:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 du solltest ausfuehren, was ich schreibe...sonst bekommen wir den PC nicht sauber......................

CCleaner
lösche alle temp-Dateien
http://virus-protect.org/temp.html

C:\DOKUME~1\TRINHA~1\LOKALE~1\Temp muss leer sein, dann poste noch mal das 2.Log
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.11.2005, 16:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 gehe in die Registry
Start-->Ausfuehren--> regedit

HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Policies\System\
"Wallpaper" ="C:\WINDOWS\desktop.html"<---loeschen

------------------------------------------------------------------------
rechtsklick auf den Link --> Ziel speichern unter--> waehle Desktop --> es erscheint eine sheriff.reg

http://virus-protect.org/reg/sheriff.reg

-----------------------------------------------------------------------------

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"


C:\WINDOWS\System32\autoupdatev2.exe
C:\WINDOWS\System32\rundll32.exe.Z-missing.txt
C:\DOKUME~1\TRINHA~1\LOKALE~1\Temp\bb.exe
C:\WINDOWS\hosts
C:\WINDOWS\desktop.html
C:\WINDOWS\degbes.exe
C:\WINDOWS\de.exe
C:\WINDOWS\tool2.exe
C:\WINDOWS\kl.exe
C:\WINDOWS\uniq
C:\WINDOWS\Explorer.EXE.Z-missing.txt

PC neustarten
Boote in den abgesicherten Modus und klicke die sheriff.reg doppelt und fuege sie der Registry bei. Dann funktioniert wieder alles auf dem Desktop

----------------------------------------------------------------------------------

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

Lade :smitRem TOOL (Entfernungstool)
http://noahdfear.geekstogo.com/
- Oeffne smitRem folder, Doppelklick: RunThis.bat
- warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
- suche smitfiles.txt und poste die Textdatei in den Thread

scanne mit Kaspersky und Panda und poste den scanreport
http://virus-protect.org/onlinescan.html

--------
Info:SpySheriff
http://virus-protect.org/artikel/spyware/spysheriff.html
http://virus-protect.org/artikel/spyware/secure_32.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.11.2005, 18:10
...neu hier

Themenstarter

Beiträge: 10
#6 Hoster.zip---> erledigt
----------
smitfiles.txt :

smitRem © log file
version 2.7

by noahdfear
Microsoft Windows XP [Version 5.1.2600]
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
checking for ShudderLTD key
ShudderLTD key not present!
checking for PSGuard.com key
PSGuard.com key not present!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files
~~~ Program Files ~~~
~~~ Shortcuts ~~~
~~~ Favorites ~~~
~~~ system32 folder ~~~

logfiles
~~~ Icons in System32 ~~~
~~~ Windows directory ~~~
~~~ Drive root ~~~
~~~ Miscellaneous Files/folders ~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Remaining Post-run Files
~~~ Program Files ~~~
~~~ Shortcuts ~~~
~~~ Favorites ~~~
~~~ system32 folder ~~~
~~~ Icons in System32 ~~~
~~~ Windows directory ~~~
~~~ Drive root ~~~
~~~ Miscellaneous Files/folders ~~~
~~~ Wininet.dll ~~~

CLEAN! ;)
-----------
step 3 und 4 im gang
Seitenanfang Seitenende
17.11.2005, 18:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 poste dann die Scanreporte hier (denn was gefunden wird, muss manuell geloescht werden)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.11.2005, 20:03
...neu hier

Themenstarter

Beiträge: 10
#8 Das ist der Scanreport von Panda:


Incident Status Location

Adware:adware/secure32 No disinfected Windows Registry
Adware:Adware/SpySheriff No disinfected C:\!KillBox\desktop.html
Virus:W32/Sober.AG.worm Disinfected C:\Dokumente und Einstellungen\Tri Nhan\Anwendungsdaten\Thunderbird\Profiles\xm02nyug.default\Mail\Local Folders\Inbox[auto-mail_Daten.zip][mail-packed_password.exe]
Virus:W32/Sober.AG.worm Disinfected C:\Dokumente und Einstellungen\Tri Nhan\Anwendungsdaten\Thunderbird\Profiles\xm02nyug.default\Mail\Local Folders\Trash[auto-mail_Daten.zip][mail-packed_password.exe]
Adware:Adware/SpySheriff No disinfected C:\Program Files\SpySheriff\Uninstall.exe
Adware:Adware/Secure32 No disinfected C:\Programme\AntiVir\INFECTED\paytime.VIR
Adware:Adware/Secure32 No disinfected C:\Programme\AntiVir\INFECTED\paytime.VIR00
Adware:Adware/WinTools No disinfected C:\Programme\ASUS
Features\insthlp.dat


---------------------


Kaspersky kann irgendwie nicht scannen, da die Probleme mit AktiveX haben.
Es ging doch auch mit Panda?
Seitenanfang Seitenende
18.11.2005, 00:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 loesche:

C:\Program Files\SpySheriff
C:\!KillBox\desktop.html

TuneUp 2006 (30 Tage free) Shareware
http://virus-protect.org/reinigungstoolsregistry.html
wende an:
Cleanup repair -- TuneUp Diskcleaner
Cleanup repair -- Registry Cleaner

scanne mit Counterspy
http://virus-protect.org/counterspy.html
nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab und ins Sicherheitsforum)

und berichte, ob der Desktophintergrund wieder o.k. ist..............
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.11.2005, 02:58
...neu hier

Themenstarter

Beiträge: 10
#10 C:\Program Files\SpySheriff
C:\!KillBox\desktop.html

----gelöscht----

TuneUp2006-->done
counterspy--> ungefährliche Spy removed

--------------

Es läuft jetzt alles wieder stabil. Der Desktop ist jetzt auch wieder normal.
Vielen Dank für deine Hilfe. Habe bisher immer hier auf dem Board und von dir direkt Hilfe und Lösung gefunden. Weiter so für ein sichere/s Internet und PC
Seitenanfang Seitenende
19.11.2005, 06:09
...neu hier

Beiträge: 1
#11 Hallo liebe Leidensgenossen.
Genau wie Du "tschifu",hatte ich an dem selben Tag den gleichen Fehler,sowie auch ein Arbeitskollege.
Ich behaupte mal das ich ein bischen Ahnung habe von Rechnern was Hard & Software angeht da ich sehr viel damit arbeite.
Dennoch war ich ratlos und wollte schon zähneknirschend alles neu machen.
Als mein Arbeitskollege dann den selben Fehler hatte und dann noch am gleichen Tag ,dachte ich mir"...das muss ein neuer Virus sein!"
Leider fande ich nix,bis ich nach einiger Suche auf Deinen Artikel gestoßen bin und auf dieses Board hier !
Und nun bin ich dank der netten Sabine endlich den Mist los.
Ich denke man kann den Leuten dieses Forums und vor allem Sabine gar nicht genug danken,da solche Sachen einfach unbezahlbar sind.Von meiner Seite aus absoluten Respekt !!!
Ich wollte nicht meine ganzen Logs senden ,sondern habe mir so einiges rausgesucht,was dann zum Erfolg führte.
Erst habe ich eine "http://www.hijackthis.de/" Auswertung vorgenommen und so dieses Wininstall Toll losgeworden so wie einiges anderes.
Dann die Tempdateien gelöscht,später mit der Killbox und der Sherifreg gearbeitet,und natürlich die desktop.html manuell in der Reg .gelöscht.
Ich werde die Tage den Spysweeper drüberjagen und den Kaspersky,mal sehen was die so noch finden.

Meine Frage:Es gibt soviele Programme ,die einen machen dies ,die anderen das usw.........."Gibt es nicht ein Programm was alles findent und löschen kann?"
Wenn ich eine Kaspersky Log machen würde ,könntest du die Auswerten ob da noch was ist bei mir?
Viele Grüße
Sascha
Seitenanfang Seitenende
19.11.2005, 14:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Hallo@Suneater

es sind neue Viren und es kommen (wie stets) staendig neue dazu....dazu kommt, dass sich die Verseuchungen "vermischen", man kann sie also nicht mehr "in Schubfaecher" stecken......
Zu Beginn muss man also manuell suchen (siehe datfindbat) .
Erst spaeter, wenn sich alle Virenscanner drauf eingestellt habe, braucht man unsere Hilfe hier im Forum nicht mehr lol
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.11.2005, 17:50
...neu hier

Beiträge: 2
#13 grüße
auch ich muss Sabina danken.
Wircklich schön das es Menschen wie dich gibt ;)
ich hatte das selbe Problem und konnte es auch größtenteils beheben.
Allerdings ist da jetzt noch dieses kleine Problem das die Icons BLAU sind.
So als wenn man sie markiert hat.
Ich hoffe auch hierbei kann mir jemande helfen, ich wäre euch dankbar.
Seitenanfang Seitenende
19.11.2005, 19:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 D_Cry

dafuer muss ich mal tiefer graben ;)

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

kopiere die 4 logs
http://virus-protect.org/datfindbat.html

das log vom silentrunner ;)
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.11.2005, 19:31
...neu hier

Beiträge: 2
#15 k habs anders hingekriegt^^
mit Style XP einfach den alten ursprüngliche Windows-Style raufspielen lassen, den Style Xp glücklicherweise in seiner unveränderten Form mit sich bringt ;)

danke trotzdem Sabina
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: