Anleitung gegen Spysheriff (Spyware)

    Neue Spyware – „SpySheriff“

    Zurzeit gibt es häufiger Meldungen über den sogenannten „SpySheriff“, ein recht hartnäckiges Programm, was sich nicht so leicht aus dem System entfernen läst.

    1. Wie kommt das Programm auf den PC?
    Das Programm installiert sich selbst im Hintergrund von diversen Websites (Besonders betroffen sind Crack Seiten & Co).

    2. Was tut das Programm?
    Was sofort auffällt, ist, dass der Desktophintergrund verschwunden ist. Anstelle des Hintergrundbildes wird folgendes Bild angezeigt:

    Weiterhin wird der Task-Manager deaktiviert.
    Es gibt sich als ein Spyware-Remove Tool aus; wenn man sein System mit Spysheriff scannen lässt, kommt recht viel Spyware zum Vorschein. Will man nun die gefundenen Dateien entfernen, öffnet sich ein Fenster, in dem sich Spysherrif registrieren lassen will. Das auf KEINEN FALL tun!

    3. Spysherrif deinstallieren
    Kann man die obengenannten Symptome auf seinem PC beobachten, muss sofort Spybot – Search and Destroy her (Zu bekommen unter http://fileforum.betanews.com/detail/Sp ... 809773/1). Am besten ist es, sich das Programm von einem Bekannten geben zu lassen und alle Internetaktivitäten solange einzustellen, bis das Programm vollständig entfernt ist. Sobald das Programm installiert ist, startet man es und lässt den Computer scannen. Sobald er fertig ist, löscht man alles, was Spybot gefunden hat. Es öffnet sich eventuell ein Fenster, dass das System neugestartet werden muss, um alle Änderungen zu übernehmen.
    Danach ein Neustart, danach sollte der normale Desktophintergrund wieder zu sehen sein. Wenn dies nicht der Fall ist, dann wie folgt vorgehen:
    Über Start -> Suchen den Begriff „Spysherrif.exe“ und „SpysherrifNo.exe“ eingeben. Falls etwas gefunden wird, diese Dateien löschen. Wenn nicht, dann unten weiter.
    Über Start -> Ausführen -> „regedit“ den Registrierungseditor öffnen. Danach folgende Schlüssel durchsuchen:
    (ACHTUNG! Bevor in der Registry etwas geändert wird, zuerst über Datei -> Exportieren eine Sicherheitskopie anlegen!)

    HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
    oder
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
    NoActiveDesktop
    NoActiveDesktopChanges
    ForceActiveDesktopOn
    NoViewContextMenu
    NoThemesTab
    (falls vorhanden)
    Wert = 0 oder löschen

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
    oder
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
    NoDispAppearancePage
    NoDispBackgroundPage
    NoDispScrSavPage
    NoDispSettingsPage
    (falls vorhanden)
    Wert = 0 oder löschen

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
    oder
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
    NoChangingWallPaper
    NoComponents
    NoAddingComponents
    NoDeletingComponents
    NoEditingComponents
    NoHTMLWallpaper
    (falls vorhanden)
    Wert = 0 oder löschen

    Danach zum Schlüssel „HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\\policies\Wallpaper“ hangeln und am besten den ganzen Ordner „Wallpaper“ löschen (Rechtsklick -> Löschen).

    HKEY_CURRENT_USER\Control Panel\Desktop\Wallpaper
    "C:\windows\xxxxx.bmp”
    Diesen Wert ebenfalls löschen.

    Eventuell legt Spysherrif auch ein HTML File unter „C:\Windows\Web\Wallpaper\xxxxx.html“ an. Falls dieses vorhanden ist: LÖSCHEN!

    Falls die Desktopsymbole noch verschwunden sind:
    Wieder in den Registrierungseditor wechseln,
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    oder
    HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-100x\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    HideIcons
    (falls vorhanden)
    Wert = 0 oder löschen

    Jetzt noch den Spysherrif aus der Registry löschen:
    Über Bearbeiten -> Suchen den Begriff „Spysherrif“ eingeben und suchen lassen. Alle Einträge mit ENTF löschen.

    Den Spysherrif aus dem Autostart entfernen:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run, dort den Begriff „Spysherrif.exe“ suchen und wieder löschen.

    Falls der Task-Manager weiterhin deaktiviert sein sollte:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\
    DisableTaskMgr
    Wert = 0 oder löschen

    <center>Ich bin ich
    Anders will nich nicht!
    Schau in mein Gesicht,
    dann erkennst Du mich.</center>

    Ja, aber falls Spybot mal nicht greift, man es nicht laden kann, man kein Internet hat, und keine Freunde, es nichts mehr installieren geht....
    Na was sagste jetzt? *g*

    <center>Ich bin ich
    Anders will nich nicht!
    Schau in mein Gesicht,
    dann erkennst Du mich.</center>

    Hallo Enemy,
    dieser Beitrag ist Top. Las dich nicht beirren.

    Ferry

    Zitat

    .. Um Spysherrif zu löschen muss man Spybot benutzen..

    Das musste nicht sein. Denn: Um keinen Virus zu bekommen, kann man ja auch den Rechner aus lassen.

    Acer Aspire Quad Q9300 2,5 GHz
    HDD 750 GB
    Ram 4 GB
    Vista Home Prem. SP2 64-bit

    Ja Ferry hat schon recht, Spybot räumt das Ding weg, aber besser ist es, wenn man nochma nachschaut, ob wirklich alles aus der Registry ist oder eben wie gesagt, wenn man keine Möglichkeit hat an Spybot heranzukommen.

    <center>Ich bin ich
    Anders will nich nicht!
    Schau in mein Gesicht,
    dann erkennst Du mich.</center>