Hi!
Habe auch diesen Spysheriff drauf.
Wollte eigentlich die Festplatte formatieren, ging aber nicht.
Weder über den Explore kann ich einige Dateien von spysheriff löschen, noch über MS-Dos.
Beim formatierungsbefehl "format C" verlangt er nach der Bestätigung, die ich auch bejahe. Dann kommt die mMeldung, dass die Formatierung abgebrochen wird, da auf C ein Progamm arbeitet..
Mehrmals versucht, unteranderem nach Löschung so viel spysheriff dateien wie möglich.
Ohne Erfolg.
Hat jemand eine Idee wir ich meine Festplatte formatieren kann?
Starten über Boot CD auch schon vergeblich versucht.
chubbide

Hallo chubbide,

lese die Neuaufsetzen Anleitung in meiner Signatur aufmerksam durch und handle danach. Das klappt's auch mit dem Formatieren.

btw:
Du kannst nicht aus dem laufenden Betrieb die Systempartition formatieren.

Servus hm ich scheine mittels löschen den spysheriff runterbekommen zu haben habe pc komplett zugemacht und alles gelöscht was nicht koscher war gut der kommt nach dem start nu nich mehr nur das mit dem destop bleibt habe ansonsten alle rechte nur nicht die ein neues hintergrundbild zu machen
gibt es noch ne andere möglichkeit das wieder wegzubekommen wie die die hier beschrieben wurde

Ich probier das auch mal aus.

So, ich hoffe, ihr könnt mir weiterhelfen.

Logfile of HijackThis v1.99.1
Scan saved at 11:39:15, on 25.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
C:\WINDOWS\System32\kernels32.exe
D:\Programme\PestPatrol\PestPatrol\PPControl.exe
C:\Programme\Softwin\BitDefender8\bdoesrv.exe
C:\progra~1\softwin\bitdef~1\bdnagent.exe
D:\Programme\PestPatrol\PestPatrol\PPMemCheck.exe
D:\Programme\PestPatrol\PestPatrol\CookiePatrol.exe
C:\WINDOWS\System\svchost.exe
C:\Programme\BullsEye Network\bin\bargains.exe
C:\WINDOWS\System32\msxct.exe
C:\windows\system32\gcbkla.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\accwiz.exe
C:\Programme\rsss\estr.exe
C:\WINDOWS\System32\r?ndll.exe
C:\Program Files\SpySheriff\SpySheriff.exe
C:\WINDOWS\System32\vxh8jkdq7.exe
C:\WINDOWS\System32\vxh8jkdq7.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Softwin\BitDefender8\bdmcon.exe
C:\WINDOWS\System32\vxgamet2.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\x\LOKALE~1\Temp\Rar$EX01.516\HijackThis.exe


R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: (no name) - _{E4733A1C-21AE-6C65-2D70-168C0FB399DF} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\kernels32.exe
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll
O2 - BHO: CeresObj Class - {00000049-8F91-4D9C-9573-F016E7626484} - C:\WINDOWS\ceres.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {74B222AC-E86B-E1B1-3DFF-C42E447C9AC8} - C:\WINDOWS\System32\qgobn.dll
O2 - BHO: (no name) - {74B222AD-E86B-E1B1-3DF5-C32E327A9ACD} - C:\WINDOWS\System32\qgobn.dll
O2 - BHO: (no name) - {7FB222A2-E86B-94B5-3DFE-C22E34799ABE} - C:\WINDOWS\System32\qgobn.dll
O2 - BHO: (no name) - {8C11C20F-29CB-B6A8-CB00-5609D8B1F596} - C:\WINDOWS\System32\drvi\vstqbiswqf.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\Programme\FlashFXP\IEFlash.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PestPatrol Control Center] D:\Programme\PestPatrol\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe"
O4 - HKLM\..\Run: [PPMemCheck] D:\Programme\PestPatrol\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] D:\Programme\PestPatrol\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe
O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe" <--kommt immer wieder
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [msxct] msxct.exe
O4 - HKLM\..\Run: [gcbkla] c:\windows\system32\gcbkla.exe
O4 - HKLM\..\Run: [ActionScr] sysconf16.exe
O4 - HKLM\..\Run: [10010] CToolBar.exe
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [BPMInit] BpmInit.exe D:\PROGRA~1\ALCATech\BPM-ST~1
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [Rlos] C:\Programme\rsss\estr.exe
O4 - HKCU\..\Run: [Brng] C:\WINDOWS\System32\r?ndll.exe
O4 - HKCU\..\Run: [WareOut] "C:\Programme\WareOut\WareOut.exe" <--hatte ich vorher nicht drauf
O4 - HKCU\..\Run: [WTFCTF] qwe.exe
O4 - HKCU\..\Run: [backd] DTOURS.exe
O4 - HKCU\..\Run: [TemplateDongle] iesetupdll.exe
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
O4 - Global Startup: BTTray.lnk = ?

O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://C:oo.mht!http://h**p:\\vxiframe.biz//adverts/...hm::/win32.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://h**p:\\software-dl.real.com/2...dxIE601_de.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://h**p:\\www.mt-download.com/Me...cab?refid=4600

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - D:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - D:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender8\vsserv.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

Hallo,
hatte den Spysheriff auch drauf und ihn, so hoffe ich, wegbekommen.
1. Internetverbindungskabel bzw. WLAN-Stick entfernt
2. PC im abgesicherten Modus gestartet.
3. Virenscanner aktiviert --> 13 Trojaner gefunden und gelöscht.
4. Ad-Aware gestartet und die gefundenen Einträge gelöscht.
4a. Die beiden Registry-Einträge mit dem deaktivierten Taskmanager und dem unveränderbaren Hintergrundbild mit Hilfe von regedit.exe gelöscht.
5. Offline alle Cookies und Offlineinhalte gelöscht.
6. Spysheriff deinstalliert
7. Die Sicherheitseinstellungen bei den Internetoptionen wieder richtig gestellt (Diese wurden durch einen der Trojaner verändert!!!)
8. Unter msconfig.exe alle Programme, die mir suspekt waren, deaktiviert. (siehe Screen)
9. Zur Sicherheit den Virenscanner nochmal drüber laufen lassen. (Keine Funde)
10. Windows neu gestartet und alles sauber(???)

Meine Fragen:
1. Wie bekommt man in der msconfig.exe die Einträge weg, die man garantiert nicht mehr haben möchte (ROT)?? Und woher weiß ich, was die mir Unbekannten für Anwendungen sind (BLAU)??



2. Auch kann ich seit dem Spysheriff meine Internetverbindungsfirewall nicht mehr aktivieren, da in den Diensten scheinbar was verändert wurde Was kann ich da tun??



Zum Schluss noch mein HijackThis Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 13:21:17, on 09.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\vsnpstd.exe
C:\Programme\ZyDAS Technology Corporation\ZyDAS Wireless LAN\ZDConfig.EXE
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\POP-UP~1\PSFree.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\GemeinsameDateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [ZDConfig] "C:\Programme\ZyDAS Technology Corporation\ZyDAS Wireless LAN\ZDConfig.EXE"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\POP-UP~1\PSFree.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Windows NT\Yahoo!\Messenger\Messenger\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Windows NT\Yahoo!\Messenger\Messenger\yhexbmesde.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 67.19.178.84
O15 - Trusted IP range: 67.19.178.84 (HKLM)
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1145d463...dxIE601_de.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F5BAB8F9-CAC1-41F6-8632-CE4F7A8FAE43}: NameServer = 192.168.2.1
O21 - SSODL: Adobe Photoshop 7.0 - {8EC7647D-FC96-33AC-516C-E909308452FB} - c:\programme\adobe\photoshop 7.0\winwfwgn32.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe

Wäre euch für jeden Hinweis dankbar!!

System neu aufsetzen trau ich mir bei den Datenmengen, die ich habe nicht zu