SpySheriff mrcina - how to
 

UVOD
Prateći postove na forumu vidio sam da su neki naletili na famozni SpySheriff ili u novije vrijeme SpywareNo. Vidjeli ste na nekim stranicama iskačuće pop up poruke o tome kako je vaš komp zaražen spywareom i kako ga treba očistiti. I tu u priču upada SpySheriff. Predstavlja se kao program za čišćenje spyware/adware/malware napasnika i to zna zavarati ljude. Instalirajući ga na komp instalirate malware program sa kojim dolaze problemi. Tvrdokorna mrcina koju je teško skinuti pogotovo ako niste vični takvim stvarima. On aktiviranjem doista počisti nešto ali obično to budu komponente programa koji njega ugrožavaju. Kada shvatite što se zapravo instalirali pokušavate beštiju skinuti sa svog kompa ali on je tu nakon svakog restarta. Čini vam se da je borba uzaludna i da je jedino riješenje format c: ali ipak nije tako. Googlajući malo našao sam više metoda ali sve se svode zapravo na isto : skinuti odgovarajuće programe za čišćenje, njima počistiti mrcinu i na kraju zakrpati registry. Krenimo na posao !
POTREBNI PROGRAMI
1.HijackThis – Atha je stručnjak za njega pa se sa njime možete konzultirati postajući logove na forumu


ljink : http://www.majorgeeks.com/download3155.html
2.Ccleaner – CrapCleaner, samo ime dovoljno govori. Oprez: prilikom njegove instalacije skinite oznaku sa Yahoo toolbara da vam ga ne instalira ukoliko ga ne želite. Dobro pratite i čitajte što se instalira. Yahoo Toolbar je 6 po redu http://www.slibe.com/image/111c15bb-Ccleaner__Medium/
ljink : http://www.majorgeeks.com/download4191.html
3.Registry zakrpa

REGEDIT4

[HKEY_CURRENT_USER\Control Panel\Desktop]
"Wallpaper"=-
"WallpaperStyle"=-

[HKEY_CURRENT_USER\Control Panel\Colors]
"Background"="0 78 152"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoChangingWallPaper"=-
"NoComponents"=-
"NoAddingComponents"=-
"NoDeletingComponents"=-
"NoEditingComponents"=-
"NoHTMLWallpaper"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoViewContextMenu"=-
"NoActiveDesktop"=-
"NoActiveDesktopChanges"=-
"ForceActiveDesktopOn"=-
"NoSaveSettings"=dword:00000000
"ClassicShell"=dword:00000000
"NoThemesTab"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispAppearancePage"=-
"Wallpaper"=-
"WallpaperStyle"=-
"NoDispBackgroundPage"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager]
"ThemeActive"="1"
"DllName"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,72,00,65,00,73,00,6f,00,75,00,72,00,63,00,65,00,73,00,5c,\
00,54,00,68,00,65,00,6d,00,65,00,73,00,5c,00,6c,00,75,00,6e,00,61,00,5c,00,\
6c,00,75,00,6e,00,61,00,2e,00,6d,00,73,00,73,00,74,00,79,00,6c,00,65,00,73,\
00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Desktop\General]
"WallpaperFileTime"=-
"WallpaperLocalFileTime"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoViewContextMenu"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"notepad.exe"=-
"notepad2.exe"=-
"winlogon.exe"=-
"paint.exe"=-

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Explorer\Browser Helper Objects\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Explorer\Browser Helper Objects\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search]
"SearchAssistant"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"
"CustomizeSearch"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Bar"="Search Bar"="http://search.msn.com/intl/searchpane/en-au/prov2.htm"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl]
""="http://home.microsoft.com/access/autosearch.asp?p=%s"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\main]
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Bar"="http://search.msn.com/spbasic.htm"
"Use Custom Search URL"= dword:00000000
"Use Search Asst"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}]
[-HKEY_CLASSES_ROOT\CLSID\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}]
[-HKEY_CLASSES_ROOT\CLSID\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}]
[-HKEY_CLASSES_ROOT\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}]
[-HKEY_CLASSES_ROOT\CLSID\VMHomepage]
[-HKEY_CLASSES_ROOT\CLSID\VMHomepage.1]
[-HKEY_CLASSES_ROOT\Interface\{1E1B2878-88FF-11D2-8D96-D7ACAC95951F}]
[-HKEY_CLASSES_ROOT\TypeLib\{1E1B286C-88FF-11D2-8D96-D7ACAC95951F}]
[-HKEY_CLASSES_ROOT\VMHomepage]
[-HKEY_CLASSES_ROOT\VMHomepage.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\HTTP\Parameters\S]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\HTTP\Parameters\S]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\r]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Intel system tool"=-
"WindowsFZ"=-

POSTUPAK
1. Najprije počistite komp AV i antispyware programima (AdAware, S&D, SpySweeper itd)
2. Pomoću Add/Remove u Control Panelu nađite SpySheriff pokrenite postupak deinstalacije
3. Napravite folder za HijackThis--> C: \Pogram Files\HJT i extrahirajte ga u stvoreni folder. Nemojte pokretati HijackThis iz ZIP foldera, sa desktopa, iz temp foldera ili iz recimo C:Documents and Settings.
Prije pokretanja HijackThis morate zatvoriti internet browser, e-mail klijent, messenger i sve programe kao World, Notepad i sl. Također zatvorite sve programe koji vam nisu potrebni.
4. Pokrenite HijackThis i u njemu Do a system scan only.
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [SNInstall] C:\winstall.exe
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
Pogledajte je li vam našao neku od gore navedenih stvari. Uvjerite se da ste zatvorili gore spomenute programe i onda pokrenite Fix. Kad je gotovo zatvorite HijackThis.
5. Restartajte komp i dignite ga u Safe modu (F8). Windows Explorerom pobrišite sve što nađete od ovog
C:\winstall.exe
C:\WINDOWS\Web\wallpaper.html
C:\WINDOWS\Web\desktop.html
C:\Windows\Desktop.html
C:\wp.exe
C:\wp.bmp
C:\Program Files\SpySheriff <--- cijeli folder
C:\Documents and Settings\username\Start Menu\Programs\SpySheriff <-cijeli folder
C:\Documents and Settings\username\Application Data\Install.dat
PS. Zamjenite username sa trenutnim username accounta kojeg čistite. Npr. C:\Documents and Settings\zippo61\Start Menu\Programs\SpySheriff
6. Pokrenite Ccleaner. Ukoliko koristite WinXP (a većina koristi) otvorite Ccleanerom foder c:\windows\Prefetch i obrišite sve što nađete u njemu. Folder ne brišite, on je dio XP-a
7. Restartajte i dignite komp u Normal modu . Registry zakrpu kopirajte (copy/paste) i otvorite u Notepadu. Kliknite File-->Save As , u File name stavite fixadt.reg a u Save as type All Files.
http://www.slibe.com/image/bfefa2e2-fixadt__Medium__/
Memorirajte, najbolje na desktopu. Otvorite memorirani fajl i kada se otvori Add in to the registry, potvrdite.
8. Restartajte i provjerite rad kompa. Ukoliko ste točno postupali po uputama SpySheriff vas više ne bi trebao gnjaviti. Uživajte ali ubuduće pripazite što instalirate na kantu.

Ovo je sinteza većine postupaka koji se mogu naći na internetu. Stvar je u finesama, netko je koristio umjesto Ccleanera nesto drugo ali princip je isti. Našao sam i da bi trebalo ukoliko je SpySheriff aktivan u Task Manager-->Processes ugasiti winstall.exe. Možete i to iskoristiti. Postoji i problem nemogućnosti pristupa u Registry zbog SpySheriffa. Ovo je rijetko, međutim ukoliko bude trebalo opisat ću i kako se može ispraviti taj problem.
Vaše prijedloge, nadopune, sugestije i ostalo rado primam pa ukoliko netko ima svojih iskustava u borbi sa ovom mrcinom neka posta. Sve je dobrodošlo

Nemam problema sa spywareom, ali svaka čast na trudu!!! Živio

svaka ti dala,pa i ona naljepsa :D

isto nemam problema s tim sranjima,ali svaka cast.

BTW kaj radi to smece?!krade promet il kaj?

Svaka čast : goood : . Ja sam za sticky

Smece ti ometa rad na kompu, javlja se svako malo, dosadan je ko proliv a i zablokira kantu. Gdje salje podatke, kome otvara portove na kompu pitanje je. Mislim da je preko njega moguce de ti neko na komp instalira sve i svasta bez tvog znanja. Uglavnom nimalo lijepa i za ciscenje tvrda mrcina

Konacno i od ovog "upaljacha" neshto korisno:p :D

EDIT: Zaljepite ovo!

Zivio ti meni kapetane ! Gdje ti je podmornica ? Veslate jos ili ste presli na jedra ? Kad ces isplivat na obalu da odemo na kavu ? :D :D :D
@edit
daj povecaj sticki, ovako je bez veze

U Trstu sam, vidimo se na kavi 16.10.2006. u 08,15 na starom mjestu:D

To kapetane pa ajde onda bog do 16.10. u 8 i 15 :D

Užas, pokupih spysheriffa, mamicu mu.... otkad sam na pce, stalno neki problemi.... pa di me samo nađu, najgora bagra interneta... :(

Napravi ovako kako ti je napisano gore pa postaj da vidimo koliko je uspjesna terapija. Ako zatrebas pomoc samo javi
POZZ :D