Wer kennt Spysheriff?? |
||
---|---|---|
#0
| ||
14.06.2006, 12:31
Member
Beiträge: 37 |
||
|
||
14.06.2006, 15:59
Ehrenmitglied
Beiträge: 29434 |
#2
SpySheriff ? Gut bekannt...leider.... wer das laedt...darf formatieren.........und wenn die Popups kommen, dann ist es schon auf dem rechner...also: arbeite das ab und poste alle Logs.
http://board.protecus.de/t23188.htm hier kanst du sehen, was passiert; http://virus-protect.org/artikel/spyware/mirarsearch.html http://virus-protect.org/artikel/spyware/spysheriff.html http://virus-protect.org/artikel/spyware/sheriff.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.06.2006, 19:24
Member
Themenstarter Beiträge: 37 |
#3
Hier sind die Logfiles. Vilen Dank im voraus Sabina.
Logfile of HijackThis v1.99.1 Scan saved at 19:04:57, on 14.06.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\SCardSvr.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\system32\vdmsec.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Program Files\mdhff.exe C:\WINDOWS\System32\0mcamcap.exe C:\Programme\Messenger\msmsgs.exe C:\Program Files\SpySheriff\SpySheriff.exe C:\WINDOWS\ISW\alice\signup\alicecnn.exe c:\mojkbq.exe C:\WINDOWS\System32\wuauclt.exe c:\tnxo.exe c:\Program Files\mdhff.exe C:\WINDOWS\System32\TheMatrixHasYou.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Birkenstock\Desktop\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00011.exe" O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Programme\Need2Find\bar\1.bin\ND2FNBAR.DLL O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\PROGRA~1\RXTOOL~1\sfcont.dll (file missing) O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [orderShell] C:\Dokumente und Einstellungen\Birkenstock\orderwmli.exe O4 - HKLM\..\Run: [SysTray] c:\Program Files\mdhff.exe O4 - HKLM\..\Run: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe O4 - HKLM\..\RunServices: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O17 - HKLM\System\CCS\Services\Tcpip\..\{099A8EA2-3C6B-4A14-A587-4FC000636E77}: NameServer = 192.168.1.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{8F649D38-EA8E-468A-BAA3-96A95FBAC6B6}: NameServer = 213.191.92.82 213.191.74.11 O17 - HKLM\System\CS1\Services\Tcpip\..\{099A8EA2-3C6B-4A14-A587-4FC000636E77}: NameServer = 192.168.1.1 O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\PROGRA~1\RXTOOL~1\sfcont.dll O20 - Winlogon Notify: emldvc - C:\WINDOWS\SYSTEM32\emldvc.dll O20 - Winlogon Notify: twpR32 - C:\WINDOWS\SYSTEM32\twpR32.dll O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - C:\WINDOWS\System32\dcom_23.dll O21 - SSODL: ayjgQUgjZ - {684B9620-C2E1-3C8A-3BED-66407DBBCDE2} - C:\WINDOWS\System32\kz.dll O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe System32 Log-File: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 684B-961F Verzeichnis von C:\WINDOWS\system32 14.06.2006 18:58 1.232 TheMatrixHasYou.exe 14.06.2006 18:58 443 ps.a3d 14.06.2006 12:26 0 day01847.bin 14.06.2006 12:10 1.158 wpa.dbl 12.06.2006 23:05 149.504 dcom_23.dll 12.06.2006 22:56 16.167 ordermas2.dll 12.06.2006 21:51 1 kr_done1 12.06.2006 21:51 149.504 dcom_21.dll 12.06.2006 21:51 0 ImaS3r 12.06.2006 21:51 14.736 0mcamcap.exe 12.06.2006 13:30 176.128 vdmsec.exe 12.06.2006 13:29 79 bios.rom 30.05.2006 20:44 73 i 23.05.2006 13:17 39.992 perfc009.dat 23.05.2006 13:17 48.156 perfc007.dat 23.05.2006 13:17 311.604 perfh009.dat 23.05.2006 13:17 316.594 perfh007.dat 23.05.2006 13:17 723.568 PerfStringBackup.INI 07.02.2006 22:28 4.513.120 MRT.exe 2099 Datei(en) 392.549.005 Bytes 0 Verzeichnis(se), 177.089.708.032 Bytes frei SystemTemp Log-File: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 684B-961F Verzeichnis von C:\DOKUME~1\BIRKEN~1\LOKALE~1\Temp 14.06.2006 18:56 16.384 Perflib_Perfdata_71c.dat 14.06.2006 18:56 16.384 Perflib_Perfdata_984.dat 14.06.2006 12:12 0 $b17a2e8.tmp 10.06.2006 18:36 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}22001.html 10.06.2006 18:35 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}20196.html 10.06.2006 15:13 16.384 ~DF3D74.tmp 10.06.2006 15:13 16.384 ~DF2A3F.tmp 31.05.2006 20:40 0 WER1.tmp 31.05.2006 19:39 16.384 ~DF76BD.tmp 31.05.2006 19:39 16.384 ~DF6159.tmp 30.05.2006 20:33 3.088 h2r2.tmp 30.05.2006 20:26 16.384 ~DF49BF.tmp 30.05.2006 20:26 16.384 ~DF2A92.tmp 29.05.2006 19:00 16.384 ~DFC7D8.tmp 29.05.2006 19:00 16.384 ~DFB49E.tmp 23.05.2006 22:55 16.384 ~DFA01A.tmp 23.05.2006 22:55 16.384 ~DF94EC.tmp 22.05.2006 22:41 1.487.872 InstallRtc.msi 22.05.2006 22:36 16.384 ~DF2AB.tmp 22.05.2006 22:35 16.384 ~DFEFE2.tmp 18.05.2006 18:34 16.384 ~DF35ED.tmp 18.05.2006 18:34 16.384 ~DF39D.tmp 18.05.2006 00:26 16.384 ~DFC27B.tmp 18.05.2006 00:26 512 ~DFB7D8.tmp 18.05.2006 00:26 16.384 ~DFB7CB.tmp 27.03.2006 10:05 717 control.xml 27.03.2006 10:00 16.384 ~DFA0ED.tmp 27.03.2006 10:00 16.384 ~DF8E20.tmp 27.03.2006 07:43 16.384 ~DF7E40.tmp 27.03.2006 07:43 16.384 ~DF7378.tmp 25.03.2006 20:07 0 WER8.tmp 25.03.2006 10:53 16.384 ~DF71D6.tmp 25.03.2006 10:22 16.384 ~DFB63D.tmp 24.03.2006 12:38 16.384 ~DFA59F.tmp 24.03.2006 12:38 16.384 ~DF78BC.tmp 23.03.2006 16:25 16.384 ~DF54F7.tmp 23.03.2006 16:25 16.384 ~DF4D56.tmp 23.03.2006 04:46 16.384 ~DFC6EB.tmp 23.03.2006 04:46 16.384 ~DFC6CE.tmp 23.03.2006 04:46 16.384 ~DFC694.tmp 23.03.2006 04:46 16.384 ~DFC6B1.tmp 20.03.2006 11:21 16.384 ~DFF9A5.tmp 20.03.2006 11:21 16.384 ~DFC50D.tmp 14.03.2006 20:36 16.384 ~DFD55F.tmp 14.03.2006 20:36 16.384 ~DFCE0B.tmp 14.03.2006 12:56 16.384 ~DF656.tmp 14.03.2006 12:56 16.384 ~DFAE52.tmp 13.03.2006 09:37 16.384 ~DF7B2C.tmp 13.03.2006 09:37 16.384 ~DF703F.tmp 11.03.2006 13:18 16.384 ~DFC405.tmp 11.03.2006 13:18 16.384 ~DF9BE3.tmp 10.03.2006 23:00 16.384 ~DF4739.tmp 10.03.2006 23:00 16.384 ~DF3CC6.tmp 10.03.2006 10:20 16.384 ~DF7C52.tmp 10.03.2006 10:20 16.384 ~DF6E19.tmp 09.03.2006 10:12 16.384 ~DF11F6.tmp 09.03.2006 10:12 16.384 ~DF561.tmp 08.03.2006 20:19 16.384 ~DF24E.tmp 08.03.2006 20:19 16.384 ~DF288.tmp 08.03.2006 20:19 16.384 ~DF26B.tmp 08.03.2006 20:19 16.384 ~DF231.tmp 08.03.2006 17:00 16.384 ~DF8D86.tmp 08.03.2006 17:00 16.384 ~DF660C.tmp 08.03.2006 16:14 0 WER7.tmp 07.03.2006 16:26 16.384 ~DFA739.tmp 07.03.2006 16:25 16.384 ~DF9F6A.tmp 07.03.2006 10:11 16.384 ~DF8001.tmp 07.03.2006 10:11 16.384 ~DF755B.tmp 06.03.2006 11:37 16.384 ~DFA8BA.tmp 06.03.2006 11:37 16.384 ~DF7185.tmp 05.03.2006 16:49 16.384 ~DF6FB2.tmp 05.03.2006 16:49 16.384 ~DF62E7.tmp 03.03.2006 09:37 16.384 ~DFA009.tmp 03.03.2006 09:37 16.384 ~DF92DD.tmp 02.03.2006 16:21 16.384 ~DF6B12.tmp 02.03.2006 16:21 16.384 ~DF5D9B.tmp 02.03.2006 13:43 46.586 J09HI04K.htm 02.03.2006 13:43 33.076 QTZ6WWSH.htm 02.03.2006 12:40 16.384 ~DF9FAF.tmp 02.03.2006 12:40 16.384 ~DF8B98.tmp 01.03.2006 14:40 16.384 ~DF806F.tmp 01.03.2006 14:40 16.384 ~DF7308.tmp 01.03.2006 13:59 73.276 ~e5d141.tmp 28.02.2006 17:13 16.384 ~DFBD7F.tmp 01.01.1970 02:00 2.759 xpbgfarxevonaan.ABI (1970??? Und das mit nem AMD Athlon XP???) 474 Datei(en) 41.782.249 Bytes 0 Verzeichnis(se), 177.089.695.744 Bytes frei System Log-File: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 684B-961F Verzeichnis von C:\WINDOWS 14.06.2006 19:02 1.207.453 WindowsUpdate.log 14.06.2006 18:55 1.346 OEWABLog.txt 14.06.2006 18:55 0 0.log 14.06.2006 18:54 2.048 bootstat.dat 14.06.2006 18:53 32.626 SchedLgU.Txt 11.06.2006 14:03 527.740 setupapi.log 10.06.2006 19:00 50 wiaservc.log 10.06.2006 19:00 214 wiadebug.log 10.06.2006 15:08 746 win.ini 23.05.2006 12:37 7.226 netcfg.log 18.05.2006 00:12 3.873 KB911562.log 18.05.2006 00:12 3.420 KB908531.log 18.05.2006 00:12 3.310 KB913580.log 15.05.2006 20:18 227 system.ini 15.05.2006 19:11 224 awprotoc.txt 15.05.2006 19:11 61 awerror.txt 27.03.2006 10:05 177.858 wmsetup.log 05.03.2006 16:57 14.172 svcpack.log 01.03.2006 14:40 923 spupdsvc.log 01.03.2006 14:33 70.483 iis6.log 01.03.2006 14:33 170.946 comsetup.log 01.03.2006 14:33 107.773 ntdtcsetup.log 01.03.2006 14:33 179.814 tsoc.log 01.03.2006 14:33 13.289 KB911927.log 01.03.2006 14:33 1.355 imsins.log 01.03.2006 14:33 16.236 ocmsn.log 01.03.2006 14:33 240.265 ocgen.log 01.03.2006 14:33 22.465 msgsocm.log 01.03.2006 14:33 443.081 FaxSetup.log 01.03.2006 14:33 18.131 updspapi.log 01.03.2006 14:33 6.117 KB911564.log 01.03.2006 14:33 1.355 imsins.BAK 01.03.2006 14:33 6.126 KB911565.log 01.03.2006 14:32 11.252 KB912919.log 01.03.2006 14:32 11.113 KB908519.log 01.03.2006 14:32 7.662 KB913446.log 218 Datei(en) 19.487.169 Bytes 0 Verzeichnis(se), 177.089.687.552 Bytes frei sys Log-File: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 684B-961F Verzeichnis von C:\ 14.06.2006 19:13 0 sys.txt 14.06.2006 19:12 11.100 system.txt 14.06.2006 19:11 23.104 systemtemp.txt 14.06.2006 19:08 102.509 system32.txt 14.06.2006 18:58 1.397 wwmubpwn.exe 14.06.2006 18:58 61.440 ruytgedw.exe 14.06.2006 18:58 56.964 duju.exe 14.06.2006 18:57 3.031 secure32.html 14.06.2006 18:57 30.208 gkjj.exe 14.06.2006 18:57 32.768 tnxo.exe 14.06.2006 18:57 32.768 winstall.exe 14.06.2006 18:56 74.240 mojkbq.exe 14.06.2006 18:54 536.399.872 hiberfil.sys 14.06.2006 18:54 805.306.368 pagefile.sys 12.06.2006 23:01 1.397 eldpbc.exe 12.06.2006 23:01 61.440 gwlwghe.exe 12.06.2006 23:00 30.208 dilihyb.exe 12.06.2006 23:00 32.768 tggicd.exe 12.06.2006 22:59 74.240 yqpdwjh.exe 12.06.2006 21:49 0 uniq 15.05.2006 20:18 194 boot.ini 31 Datei(en) 1.342.787.504 Bytes 0 Verzeichnis(se), 177.089.679.360 Bytes frei So das wärs. Vielen Dank für die Hilfe. Bujah |
|
|
||
14.06.2006, 19:48
Ehrenmitglied
Beiträge: 29434 |
#4
formatieren wird schneller gehen, als reinigen.
1. Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) SpySheriff in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. 2. http://www.f-secure.com/blacklight/ starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei -> hier posten (um den Haxdoor zu loeschen) 3. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\--------------------------------------------------------------------- ist fuer mich.......... C:\WINDOWS\system32\TheMatrixHasYou.exe C:\WINDOWS\system32\ps.a3d C:\WINDOWS\system32\day01847.bin C:\WINDOWS\system32\dcom_23.dll C:\WINDOWS\system32\ordermas2.dll C:\WINDOWS\system32\kr_done1 C:\WINDOWS\system32\dcom_21.dll C:\WINDOWS\system32\ImaS3r C:\WINDOWS\system32\0mcamcap.exe C:\WINDOWS\system32\vdmsec.exe C:\WINDOWS\system32\bios.rom C:\WINDOWS\system32\i C:\wwmubpwn.exe C:\ruytgedw.exe C:\duju.exe C:\secure32.html C:\gkjj.exe C:\tnxo.exe C:\winstall.exe C:\mojkbq.exe C:\eldpbc.exe C:\gwlwghe.exe C:\dilihyb.exe C:\tggicd.exe C:\yqpdwjh.exe C:\uniq c:\Program Files\mdhff.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00011.exe C:\Dokumente und Einstellungen\Birkenstock\orderwmli.exe C:\WINDOWS\System32\kz.dll C:\Program Files\SpySheriff\base.avd C:\Program Files\SpySheriff\base001.avd C:\Program Files\SpySheriff\base002.avd C:\Program Files\SpySheriff\found.wav C:\Program Files\SpySheriff\heur001.dll C:\Program Files\SpySheriff\notfound.wav C:\Program Files\SpySheriff\removed.wav C:\Program Files\SpySheriff\SpySheriff.dvm C:\Program Files\SpySheriff\SpySheriff.exe C:\Program Files\SpySheriff\Uninstall.exe C:\WINDOWS\SYSTEM32\emldvc.dll C:\WINDOWS\SYSTEM32\twpR32.dll __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.06.2006, 13:07
Member
Themenstarter Beiträge: 37 |
#5
Da ich weder die seite unter 1. noch die unter 2. aufrufen kann, werde ich wohl einfach formatieren. Dann ist das problem jawohl erledigt. Trotzdem vielen Dank für die Hilfe. Ich kann nur immerwieder sagen dieses Forum ist spitze!!!!
|
|
|
||
Ich sitze hier gerade bei ner Freundin am Rechner, und dort poppt direkt nach dem Windowsstart ein Programm namens SpySheriff auf. Sie hat es nicht installiert, sondern bekannte die das Wochenende über bei ihr gewohnt haben. Das Programm zeigt tausende Trojaner und ne Menge Spyware an (ich denke die ist hier auch drauf). Ich wollte bloß mal fragen ob einer das Prog. kennt und es vertrauenswürdig ist. Sonst würde ich es durch Antivir und Addaware ersetzen, falls sich letzteres so einstellen läßt das man als User nicht mit irgendwelchen Fragen während des Betriebes überhäuft wird.
Vielen Dank im Voraus
Bujah