Wer kennt Spysheriff??

#1 Hallo zusammen.

Ich sitze hier gerade bei ner Freundin am Rechner, und dort poppt direkt nach dem Windowsstart ein Programm namens SpySheriff auf. Sie hat es nicht installiert, sondern bekannte die das Wochenende über bei ihr gewohnt haben. Das Programm zeigt tausende Trojaner und ne Menge Spyware an (ich denke die ist hier auch drauf). Ich wollte bloß mal fragen ob einer das Prog. kennt und es vertrauenswürdig ist. Sonst würde ich es durch Antivir und Addaware ersetzen, falls sich letzteres so einstellen läßt das man als User nicht mit irgendwelchen Fragen während des Betriebes überhäuft wird.

Vielen Dank im Voraus

Bujah

#2 SpySheriff ? Gut bekannt...leider.... wer das laedt...darf formatieren.........und wenn die Popups kommen, dann ist es schon auf dem rechner...also: arbeite das ab und poste alle Logs.
http://board.protecus.de/t23188.htm

hier kanst du sehen, was passiert;
http://virus-protect.org/artikel/spyware/mirarsearch.html
http://virus-protect.org/artikel/spyware/spysheriff.html
http://virus-protect.org/artikel/spyware/sheriff.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hier sind die Logfiles. Vilen Dank im voraus Sabina.

Logfile of HijackThis v1.99.1
Scan saved at 19:04:57, on 14.06.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\vdmsec.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Program Files\mdhff.exe
C:\WINDOWS\System32\0mcamcap.exe
C:\Programme\Messenger\msmsgs.exe
C:\Program Files\SpySheriff\SpySheriff.exe
C:\WINDOWS\ISW\alice\signup\alicecnn.exe
c:\mojkbq.exe
C:\WINDOWS\System32\wuauclt.exe
c:\tnxo.exe
c:\Program Files\mdhff.exe
C:\WINDOWS\System32\TheMatrixHasYou.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Birkenstock\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00011.exe"
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Programme\Need2Find\bar\1.bin\ND2FNBAR.DLL
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\PROGRA~1\RXTOOL~1\sfcont.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [orderShell] C:\Dokumente und Einstellungen\Birkenstock\orderwmli.exe
O4 - HKLM\..\Run: [SysTray] c:\Program Files\mdhff.exe
O4 - HKLM\..\Run: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe
O4 - HKLM\..\RunServices: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{099A8EA2-3C6B-4A14-A587-4FC000636E77}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{8F649D38-EA8E-468A-BAA3-96A95FBAC6B6}: NameServer = 213.191.92.82 213.191.74.11
O17 - HKLM\System\CS1\Services\Tcpip\..\{099A8EA2-3C6B-4A14-A587-4FC000636E77}: NameServer = 192.168.1.1
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\PROGRA~1\RXTOOL~1\sfcont.dll
O20 - Winlogon Notify: emldvc - C:\WINDOWS\SYSTEM32\emldvc.dll
O20 - Winlogon Notify: twpR32 - C:\WINDOWS\SYSTEM32\twpR32.dll
O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - C:\WINDOWS\System32\dcom_23.dll
O21 - SSODL: ayjgQUgjZ - {684B9620-C2E1-3C8A-3BED-66407DBBCDE2} - C:\WINDOWS\System32\kz.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

System32 Log-File:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 684B-961F

Verzeichnis von C:\WINDOWS\system32

14.06.2006 18:58 1.232 TheMatrixHasYou.exe
14.06.2006 18:58 443 ps.a3d
14.06.2006 12:26 0 day01847.bin
14.06.2006 12:10 1.158 wpa.dbl
12.06.2006 23:05 149.504 dcom_23.dll
12.06.2006 22:56 16.167 ordermas2.dll
12.06.2006 21:51 1 kr_done1
12.06.2006 21:51 149.504 dcom_21.dll
12.06.2006 21:51 0 ImaS3r
12.06.2006 21:51 14.736 0mcamcap.exe
12.06.2006 13:30 176.128 vdmsec.exe
12.06.2006 13:29 79 bios.rom
30.05.2006 20:44 73 i
23.05.2006 13:17 39.992 perfc009.dat
23.05.2006 13:17 48.156 perfc007.dat
23.05.2006 13:17 311.604 perfh009.dat
23.05.2006 13:17 316.594 perfh007.dat
23.05.2006 13:17 723.568 PerfStringBackup.INI
07.02.2006 22:28 4.513.120 MRT.exe

2099 Datei(en) 392.549.005 Bytes
0 Verzeichnis(se), 177.089.708.032 Bytes frei


SystemTemp Log-File:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 684B-961F

Verzeichnis von C:\DOKUME~1\BIRKEN~1\LOKALE~1\Temp

14.06.2006 18:56 16.384 Perflib_Perfdata_71c.dat
14.06.2006 18:56 16.384 Perflib_Perfdata_984.dat
14.06.2006 12:12 0 $b17a2e8.tmp
10.06.2006 18:36 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}22001.html
10.06.2006 18:35 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}20196.html
10.06.2006 15:13 16.384 ~DF3D74.tmp
10.06.2006 15:13 16.384 ~DF2A3F.tmp
31.05.2006 20:40 0 WER1.tmp
31.05.2006 19:39 16.384 ~DF76BD.tmp
31.05.2006 19:39 16.384 ~DF6159.tmp
30.05.2006 20:33 3.088 h2r2.tmp
30.05.2006 20:26 16.384 ~DF49BF.tmp
30.05.2006 20:26 16.384 ~DF2A92.tmp
29.05.2006 19:00 16.384 ~DFC7D8.tmp
29.05.2006 19:00 16.384 ~DFB49E.tmp
23.05.2006 22:55 16.384 ~DFA01A.tmp
23.05.2006 22:55 16.384 ~DF94EC.tmp
22.05.2006 22:41 1.487.872 InstallRtc.msi
22.05.2006 22:36 16.384 ~DF2AB.tmp
22.05.2006 22:35 16.384 ~DFEFE2.tmp
18.05.2006 18:34 16.384 ~DF35ED.tmp
18.05.2006 18:34 16.384 ~DF39D.tmp
18.05.2006 00:26 16.384 ~DFC27B.tmp
18.05.2006 00:26 512 ~DFB7D8.tmp
18.05.2006 00:26 16.384 ~DFB7CB.tmp
27.03.2006 10:05 717 control.xml
27.03.2006 10:00 16.384 ~DFA0ED.tmp
27.03.2006 10:00 16.384 ~DF8E20.tmp
27.03.2006 07:43 16.384 ~DF7E40.tmp
27.03.2006 07:43 16.384 ~DF7378.tmp
25.03.2006 20:07 0 WER8.tmp
25.03.2006 10:53 16.384 ~DF71D6.tmp
25.03.2006 10:22 16.384 ~DFB63D.tmp
24.03.2006 12:38 16.384 ~DFA59F.tmp
24.03.2006 12:38 16.384 ~DF78BC.tmp
23.03.2006 16:25 16.384 ~DF54F7.tmp
23.03.2006 16:25 16.384 ~DF4D56.tmp
23.03.2006 04:46 16.384 ~DFC6EB.tmp
23.03.2006 04:46 16.384 ~DFC6CE.tmp
23.03.2006 04:46 16.384 ~DFC694.tmp
23.03.2006 04:46 16.384 ~DFC6B1.tmp
20.03.2006 11:21 16.384 ~DFF9A5.tmp
20.03.2006 11:21 16.384 ~DFC50D.tmp
14.03.2006 20:36 16.384 ~DFD55F.tmp
14.03.2006 20:36 16.384 ~DFCE0B.tmp
14.03.2006 12:56 16.384 ~DF656.tmp
14.03.2006 12:56 16.384 ~DFAE52.tmp
13.03.2006 09:37 16.384 ~DF7B2C.tmp
13.03.2006 09:37 16.384 ~DF703F.tmp
11.03.2006 13:18 16.384 ~DFC405.tmp
11.03.2006 13:18 16.384 ~DF9BE3.tmp
10.03.2006 23:00 16.384 ~DF4739.tmp
10.03.2006 23:00 16.384 ~DF3CC6.tmp
10.03.2006 10:20 16.384 ~DF7C52.tmp
10.03.2006 10:20 16.384 ~DF6E19.tmp
09.03.2006 10:12 16.384 ~DF11F6.tmp
09.03.2006 10:12 16.384 ~DF561.tmp
08.03.2006 20:19 16.384 ~DF24E.tmp
08.03.2006 20:19 16.384 ~DF288.tmp
08.03.2006 20:19 16.384 ~DF26B.tmp
08.03.2006 20:19 16.384 ~DF231.tmp
08.03.2006 17:00 16.384 ~DF8D86.tmp
08.03.2006 17:00 16.384 ~DF660C.tmp
08.03.2006 16:14 0 WER7.tmp
07.03.2006 16:26 16.384 ~DFA739.tmp
07.03.2006 16:25 16.384 ~DF9F6A.tmp
07.03.2006 10:11 16.384 ~DF8001.tmp
07.03.2006 10:11 16.384 ~DF755B.tmp
06.03.2006 11:37 16.384 ~DFA8BA.tmp
06.03.2006 11:37 16.384 ~DF7185.tmp
05.03.2006 16:49 16.384 ~DF6FB2.tmp
05.03.2006 16:49 16.384 ~DF62E7.tmp
03.03.2006 09:37 16.384 ~DFA009.tmp
03.03.2006 09:37 16.384 ~DF92DD.tmp
02.03.2006 16:21 16.384 ~DF6B12.tmp
02.03.2006 16:21 16.384 ~DF5D9B.tmp
02.03.2006 13:43 46.586 J09HI04K.htm
02.03.2006 13:43 33.076 QTZ6WWSH.htm
02.03.2006 12:40 16.384 ~DF9FAF.tmp
02.03.2006 12:40 16.384 ~DF8B98.tmp
01.03.2006 14:40 16.384 ~DF806F.tmp
01.03.2006 14:40 16.384 ~DF7308.tmp
01.03.2006 13:59 73.276 ~e5d141.tmp
28.02.2006 17:13 16.384 ~DFBD7F.tmp

01.01.1970 02:00 2.759 xpbgfarxevonaan.ABI (1970??? Und das mit nem AMD Athlon XP???)
474 Datei(en) 41.782.249 Bytes
0 Verzeichnis(se), 177.089.695.744 Bytes frei

System Log-File:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 684B-961F

Verzeichnis von C:\WINDOWS

14.06.2006 19:02 1.207.453 WindowsUpdate.log
14.06.2006 18:55 1.346 OEWABLog.txt
14.06.2006 18:55 0 0.log
14.06.2006 18:54 2.048 bootstat.dat
14.06.2006 18:53 32.626 SchedLgU.Txt
11.06.2006 14:03 527.740 setupapi.log
10.06.2006 19:00 50 wiaservc.log
10.06.2006 19:00 214 wiadebug.log
10.06.2006 15:08 746 win.ini
23.05.2006 12:37 7.226 netcfg.log
18.05.2006 00:12 3.873 KB911562.log
18.05.2006 00:12 3.420 KB908531.log
18.05.2006 00:12 3.310 KB913580.log
15.05.2006 20:18 227 system.ini
15.05.2006 19:11 224 awprotoc.txt
15.05.2006 19:11 61 awerror.txt
27.03.2006 10:05 177.858 wmsetup.log
05.03.2006 16:57 14.172 svcpack.log
01.03.2006 14:40 923 spupdsvc.log
01.03.2006 14:33 70.483 iis6.log
01.03.2006 14:33 170.946 comsetup.log
01.03.2006 14:33 107.773 ntdtcsetup.log
01.03.2006 14:33 179.814 tsoc.log
01.03.2006 14:33 13.289 KB911927.log
01.03.2006 14:33 1.355 imsins.log
01.03.2006 14:33 16.236 ocmsn.log
01.03.2006 14:33 240.265 ocgen.log
01.03.2006 14:33 22.465 msgsocm.log
01.03.2006 14:33 443.081 FaxSetup.log
01.03.2006 14:33 18.131 updspapi.log
01.03.2006 14:33 6.117 KB911564.log
01.03.2006 14:33 1.355 imsins.BAK
01.03.2006 14:33 6.126 KB911565.log
01.03.2006 14:32 11.252 KB912919.log
01.03.2006 14:32 11.113 KB908519.log
01.03.2006 14:32 7.662 KB913446.log

218 Datei(en) 19.487.169 Bytes
0 Verzeichnis(se), 177.089.687.552 Bytes frei

sys Log-File:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 684B-961F

Verzeichnis von C:\

14.06.2006 19:13 0 sys.txt
14.06.2006 19:12 11.100 system.txt
14.06.2006 19:11 23.104 systemtemp.txt
14.06.2006 19:08 102.509 system32.txt
14.06.2006 18:58 1.397 wwmubpwn.exe
14.06.2006 18:58 61.440 ruytgedw.exe
14.06.2006 18:58 56.964 duju.exe
14.06.2006 18:57 3.031 secure32.html
14.06.2006 18:57 30.208 gkjj.exe
14.06.2006 18:57 32.768 tnxo.exe
14.06.2006 18:57 32.768 winstall.exe
14.06.2006 18:56 74.240 mojkbq.exe
14.06.2006 18:54 536.399.872 hiberfil.sys
14.06.2006 18:54 805.306.368 pagefile.sys
12.06.2006 23:01 1.397 eldpbc.exe
12.06.2006 23:01 61.440 gwlwghe.exe
12.06.2006 23:00 30.208 dilihyb.exe
12.06.2006 23:00 32.768 tggicd.exe
12.06.2006 22:59 74.240 yqpdwjh.exe
12.06.2006 21:49 0 uniq
15.05.2006 20:18 194 boot.ini

31 Datei(en) 1.342.787.504 Bytes
0 Verzeichnis(se), 177.089.679.360 Bytes frei

So das wärs. Vielen Dank für die Hilfe.

Bujah

#4 formatieren wird schneller gehen, als reinigen.

1.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

SpySheriff

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

2.
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei -> hier posten (um den Haxdoor zu loeschen)

3.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Program Files\SpySheriff" >>files.txt
dir "C:\Dokumente und Einstellungen\Birkenstock" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders" >> files.txt
dir "C:\Programme\Gemeinsame Dateien" >> files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
notepad files.txt

---------------------------------------------------------------------
ist fuer mich..........

C:\WINDOWS\system32\TheMatrixHasYou.exe
C:\WINDOWS\system32\ps.a3d
C:\WINDOWS\system32\day01847.bin
C:\WINDOWS\system32\dcom_23.dll
C:\WINDOWS\system32\ordermas2.dll
C:\WINDOWS\system32\kr_done1
C:\WINDOWS\system32\dcom_21.dll
C:\WINDOWS\system32\ImaS3r
C:\WINDOWS\system32\0mcamcap.exe
C:\WINDOWS\system32\vdmsec.exe
C:\WINDOWS\system32\bios.rom
C:\WINDOWS\system32\i
C:\wwmubpwn.exe
C:\ruytgedw.exe
C:\duju.exe
C:\secure32.html
C:\gkjj.exe
C:\tnxo.exe
C:\winstall.exe
C:\mojkbq.exe
C:\eldpbc.exe
C:\gwlwghe.exe
C:\dilihyb.exe
C:\tggicd.exe
C:\yqpdwjh.exe
C:\uniq
c:\Program Files\mdhff.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00011.exe
C:\Dokumente und Einstellungen\Birkenstock\orderwmli.exe
C:\WINDOWS\System32\kz.dll
C:\Program Files\SpySheriff\base.avd
C:\Program Files\SpySheriff\base001.avd
C:\Program Files\SpySheriff\base002.avd
C:\Program Files\SpySheriff\found.wav
C:\Program Files\SpySheriff\heur001.dll
C:\Program Files\SpySheriff\notfound.wav
C:\Program Files\SpySheriff\removed.wav
C:\Program Files\SpySheriff\SpySheriff.dvm
C:\Program Files\SpySheriff\SpySheriff.exe
C:\Program Files\SpySheriff\Uninstall.exe

C:\WINDOWS\SYSTEM32\emldvc.dll
C:\WINDOWS\SYSTEM32\twpR32.dll
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Da ich weder die seite unter 1. noch die unter 2. aufrufen kann, werde ich wohl einfach formatieren. Dann ist das problem jawohl erledigt. Trotzdem vielen Dank für die Hilfe. Ich kann nur immerwieder sagen dieses Forum ist spitze!!!!