Malware Removal Information

Hoofdmenu

Home
Malware info
- Malware - Securitysuites
- Waarom?
Scanners
Infecties
- Archief 0 - E
- Archief F - N
- Archief O - S
- Archief T - Z
  - TDL3
  - VirusBursters
  - VirusHeat
  - VirusProtect
  - VirusRay
  - Vundo
  - VX2 - Look2Me
  - WAIE
- DNS-hijackers
- Sinowal
- TDL4
- Ukash
- Ransomware
- Virut
- Whistler
- Zeroaccess
Tools
- Hijackthis
  - Hijackthis
  - Hijackthis handleiding
- Rootkitscanners
- AdwCleaner
- ComBoFix
- DDS
- HaxFix
- LSPFix
- Reglooks
- Roguescanfix
- Shortcut Cleaner
- SmitfraudFix
Informatie
Preventie
- De computer is malware vrij
- Infecties voorkomen
Facebook

SpySheriff

Infecties > Archief O - S

Infectie getest op 08/07/05.
Variant van Smitfraud.

Kenmerken:
SpySheriff wordt zonder medeweten van de computergebruiker geïnstalleerd.

De bureaubladachtergrond wordt gewijzigd.

Volgende melding verschijnt op je bureaublad:
Crtitical Warning!
System has been stopped due to a serious malfunction.<br>Spyware activity has been detected.
It is recommeded to use spyware removal tool to prevent data loss.<br>
Do not use the computer before all spyware removed.

Winstall.exe zorgt dat de infectie opnieuw gebeurd na dat de computer opnieuw gestart is.
Oorzaak is deze registersleutel
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows installer"="C:\\winstall.exe"
In een Hijackthislog zie je:
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe

Info:
Wanneer de infectie uitgevoerd wordt gebeuren volgende zaken op de computer:
Toegevoegde registersleutels en -waarden:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoChangingWallpaper"=dword:00000000
"NoComponents"=dword:00000000
"NoAddingComponents"=dword:00000000
"NoDeletingComponents"=dword:00000000
"NoEditingComponents"=dword:00000000
"NoHTMLWallPaper"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoActiveDesktop"=dword:00000000
"ClassicShell"=dword:00000000
"ForceActiveDesktopOn"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"Wallpaper"="C:\\WINDOWS\\desktop.html"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows installer"="C:\\winstall.exe"
"SpySheriff"="C:\\Program Files\\SpySheriff\\SpySheriff.exe"

[HKEY_CURRENT_USER\Software\SNO]

[HKEY_CURRENT_USER\Software\SpySheriff]
"ScanOnStartup"=dword:00000001
"PlaySounds"=dword:00000001
"ScheduledScan"=dword:00000000
"ScheduledScanHour"=dword:00000000
"ScheduledScanMin"=dword:00000000
"SecurityLevel"=dword:00000002
"Uninstall"="C:\\Program Files\\SpySheriff"
"Security"=hex:1a,ab,62,5c,f4,83,c5,01

[HKEY_CURRENT_USER\Software\SpySheriff\IE Security]
"BlockIframeTags"=dword:00000000
"BlockJavascripts"=dword:00000000
"BlockLocations"=dword:00000000
"BlockPopupWindows"=dword:00000000
"BlockTags"=dword:00000000
"ProtectHomepage"=dword:00000000

[HKEY_CURRENT_USER\Software\SpySheriff\Process Security\Policies]
"Active Policy"=dword:00000000
"Process Security"=dword:00000000

[HKEY_CURRENT_USER\Software\SpySheriff\Process Security\Policies\Allowed]
"C:\\Program Files\\SpySheriff\\SpySheriff.exe"=dword:00000001

[HKEY_CURRENT_USER\Software\SpySheriff\Process Security\Policies\Restricted]

[HKEY_CURRENT_USER\Software\SpySheriff\Scan]
"DeleteFoundThreats"=dword:00000000

[HKEY_CURRENT_USER\Software\SpySheriff\System Security]
"ProtectActiveDesktop"=dword:00000000
"ProtectAutorun"=dword:00000000
"ProtectHosts"=dword:00000000

[HKEY_CURRENT_USER\Software\SpySheriff\Updates]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Desktop]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Desktop\General]
"WallpaperFileTime"=hex:32,15,16,4b,df,83,c5,01
"WallpaperLocalFileTime"=hex:32,e5,9e,0e,f0,83,c5,01

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpySheriff]
"DisplayIcon"="C:\\Program Files\\SpySheriff\\SpySheriff.exe"
"DisplayName"="SpySheriff"
"URLInfoAbout"="http://www.spysheriff.com/"
"HelpLink"="http://www.spysheriff.com/"
"UninstallString"="C:\\Program Files\\SpySheriff\\Uninstall.exe"

Volgende waarden zijn gewijzigd:
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]
Van: "GeneralFlags"=dword:00000001
Naar "GeneralFlags"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
Van: "CurrentState"=hex:04,00,00,40
Naar: "CurrentState"=dword:40000004

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General]
Van: "WallpaperFileTime"=hex:30,a4,02,d4,c6,80,c5,01
Naar: "WallpaperFileTime"=hex:32,15,16,4b,df,83,c5,01
Van: "WallpaperLocalFileTime"=hex:0t‹-×€Å
Naar: "WallpaperLocalFileTime"=hex:32,e5,9e,0e,f0,83,c5,01
Van: "ComponentsPositioned"=dword:00000001
Naar: "ComponentsPositioned"=dword:00000002

Volgende mappen werden toegevoegd:
c:\Documents and Settings\Marc\Menu Start\Programma's\SpySheriff
c:\Program Files\SpySheriff

Volgende bestanden werden toegevoegd:
c:\winstall.exe     Size: 24.295 bytes
c:\Documents and Settings\Marc\Application Data\Install.dat     Size: 917.721 bytes
c:\Documents and Settings\Marc\Bureaublad\SpySheriff.lnk     Size: 1.566 bytes
c:\Documents and Settings\Marc\Menu Start\Programma's\SpySheriff\SpySheriff.lnk     Size: 1.566 bytes
c:\Program Files\SpySheriff\found.wav      Size: 7.304 bytes
c:\Program Files\SpySheriff\IESecurity.dll      Size: 42.496 bytes
c:\Program Files\SpySheriff\notfound.wav      Size: 21.126 bytes
c:\Program Files\SpySheriff\ProcMon.dll     Size: 32.768 bytes
c:\Program Files\SpySheriff\removed.wav     Size: 18.132 bytes
c:\Program Files\SpySheriff\SpySheriff.dvm     Size: 100 bytes
c:\Program Files\SpySheriff\SpySheriff.exe     Size: 288.768 bytes
c:\Program Files\SpySheriff\SpySheriff_1.dat     Size: 2.362 bytes
c:\Program Files\SpySheriff\SpySheriff_2.dat     Size: 467.288 bytes
c:\Program Files\SpySheriff\Uninstall.exe     Size: 36.864 bytes
c:\WINDOWS\desktop.html     Size: 1.999 bytes

Deïnstallatie van SpySheriff:
Volgende registersleutels en -waarden worden verwijderd:
[HKEY_CURRENT_USER\Software\SpySheriff]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpySheriff]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"SpySheriff"="C:\\Program Files\\SpySheriff\\SpySheriff.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpySheriff]

Volgende map wordt verwijderd:
c:\Documents and Settings\Marc\Menu Start\Programma's\SpySheriff

Volgende bestanden worden verwijderd:
c:\Documents and Settings\Marc\Bureaublad\SpySheriff.lnk
c:\Documents and Settings\Marc\Menu Start\Programma's\SpySheriff\SpySheriff.lnk
c:\Program Files\SpySheriff\found.wav
c:\Program Files\SpySheriff\IESecurity.dll
c:\Program Files\SpySheriff\notfound.wav
c:\Program Files\SpySheriff\ProcMon.dll
c:\Program Files\SpySheriff\removed.wav
c:\Program Files\SpySheriff\SpySheriff.dvm
c:\Program Files\SpySheriff\SpySheriff.exe
c:\Program Files\SpySheriff\SpySheriff_1.dat
c:\Program Files\SpySheriff\SpySheriff_2.dat

Hoe verwijderen:
Deïnstallatie van SpySheriff:
Met Hijackthis fix je deze sleutel:
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

Door deze sleutel weg te halen zorg je ervoor dat de infectie niet meer uitgevoerd wordt na dat de computer opnieuw gestart is.

In de systemtray rechtsklik je op het icoon van SpySheriff en kies je voor "Exit SpySheriff (disables run-time protection)".

In het scherm dat verschijnt, klik je op "Continue Unprotected".

Zoek met windows verkenner het bestand C:\Program Files\SpySheriff\Uninstall.exe.
Dubbelklik op Uninstall.exe.

Download deze regfile. Unzip het en dubbelklik op de regfile (spysheriffdesktopfix.reg).
Laat de wijzigingen aan het register toevoegen.

Verwijder de volgende map
C:\Program Files\SpySheriff

Verwijder de volgende bestanden:
C:\winstall.exe
C:\windows\desktop.html

Herstart de computer.