PC Ekspert Forum - View Single Post - SpySheriff mrcina

zippo · 14.05.2006., 18:00

UVOD
Prateći postove na forumu vidio sam da su neki naletili na famozni SpySheriff ili u novije vrijeme SpywareNo. Vidjeli ste na nekim stranicama iskačuće pop up poruke o tome kako je vaš komp zaražen spywareom i kako ga treba očistiti. I tu u priču upada SpySheriff. Predstavlja se kao program za čišćenje spyware/adware/malware napasnika i to zna zavarati ljude. Instalirajući ga na komp instalirate malware program sa kojim dolaze problemi. Tvrdokorna mrcina koju je teško skinuti pogotovo ako niste vični takvim stvarima. On aktiviranjem doista počisti nešto ali obično to budu komponente programa koji njega ugrožavaju. Kada shvatite što se zapravo instalirali pokušavate beštiju skinuti sa svog kompa ali on je tu nakon svakog restarta. Čini vam se da je borba uzaludna i da je jedino riješenje format c: ali ipak nije tako. Googlajući malo našao sam više metoda ali sve se svode zapravo na isto : skinuti odgovarajuće programe za čišćenje, njima počistiti mrcinu i na kraju zakrpati registry. Krenimo na posao !
POTREBNI PROGRAMI
1.HijackThis – Atha je stručnjak za njega pa se sa njime možete konzultirati postajući logove na forumu

ljink : http://www.majorgeeks.com/download3155.html
2.Ccleaner – CrapCleaner, samo ime dovoljno govori. Oprez: prilikom njegove instalacije skinite oznaku sa Yahoo toolbara da vam ga ne instalira ukoliko ga ne želite. Dobro pratite i čitajte što se instalira. Yahoo Toolbar je 6 po redu http://www.slibe.com/image/111c15bb-Ccleaner__Medium/
ljink : http://www.majorgeeks.com/download4191.html
3.Registry zakrpa

REGEDIT4

[HKEY_CURRENT_USER\Control Panel\Desktop]
"Wallpaper"=-
"WallpaperStyle"=-

[HKEY_CURRENT_USER\Control Panel\Colors]
"Background"="0 78 152"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoChangingWallPaper"=-
"NoComponents"=-
"NoAddingComponents"=-
"NoDeletingComponents"=-
"NoEditingComponents"=-
"NoHTMLWallpaper"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoViewContextMenu"=-
"NoActiveDesktop"=-
"NoActiveDesktopChanges"=-
"ForceActiveDesktopOn"=-
"NoSaveSettings"=dword:00000000
"ClassicShell"=dword:00000000
"NoThemesTab"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispAppearancePage"=-
"Wallpaper"=-
"WallpaperStyle"=-
"NoDispBackgroundPage"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager]
"ThemeActive"="1"
"DllName"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,72,00,65,00,73,00,6f,00,75,00,72,00,63,00,65,00,73,00,5c,\
00,54,00,68,00,65,00,6d,00,65,00,73,00,5c,00,6c,00,75,00,6e,00,61,00,5c,00,\
6c,00,75,00,6e,00,61,00,2e,00,6d,00,73,00,73,00,74,00,79,00,6c,00,65,00,73,\
00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Desktop\General]
"WallpaperFileTime"=-
"WallpaperLocalFileTime"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoViewContextMenu"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"notepad.exe"=-
"notepad2.exe"=-
"winlogon.exe"=-
"paint.exe"=-

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Explorer\Browser Helper Objects\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Explorer\Browser Helper Objects\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search]
"SearchAssistant"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"
"CustomizeSearch"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Bar"="Search Bar"="http://search.msn.com/intl/searchpane/en-au/prov2.htm"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl]
""="http://home.microsoft.com/access/autosearch.asp?p=%s"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\main]
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Bar"="http://search.msn.com/spbasic.htm"
"Use Custom Search URL"= dword:00000000
"Use Search Asst"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}]
[-HKEY_CLASSES_ROOT\CLSID\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}]
[-HKEY_CLASSES_ROOT\CLSID\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}]
[-HKEY_CLASSES_ROOT\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}]
[-HKEY_CLASSES_ROOT\CLSID\VMHomepage]
[-HKEY_CLASSES_ROOT\CLSID\VMHomepage.1]
[-HKEY_CLASSES_ROOT\Interface\{1E1B2878-88FF-11D2-8D96-D7ACAC95951F}]
[-HKEY_CLASSES_ROOT\TypeLib\{1E1B286C-88FF-11D2-8D96-D7ACAC95951F}]
[-HKEY_CLASSES_ROOT\VMHomepage]
[-HKEY_CLASSES_ROOT\VMHomepage.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\HTTP\Parameters\S]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\HTTP\Parameters\S]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\r]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Intel system tool"=-
"WindowsFZ"=-

POSTUPAK
1. Najprije počistite komp AV i antispyware programima (AdAware, S&D, SpySweeper itd)
2. Pomoću Add/Remove u Control Panelu nađite SpySheriff pokrenite postupak deinstalacije
3. Napravite folder za HijackThis--> C: \Pogram Files\HJT i extrahirajte ga u stvoreni folder. Nemojte pokretati HijackThis iz ZIP foldera, sa desktopa, iz temp foldera ili iz recimo C

ocuments and Settings.
Prije pokretanja HijackThis morate zatvoriti internet browser, e-mail klijent, messenger i sve programe kao World, Notepad i sl. Također zatvorite sve programe koji vam nisu potrebni.
4. Pokrenite HijackThis i u njemu Do a system scan only.
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [SNInstall] C:\winstall.exe
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
Pogledajte je li vam našao neku od gore navedenih stvari. Uvjerite se da ste zatvorili gore spomenute programe i onda pokrenite Fix. Kad je gotovo zatvorite HijackThis.
5. Restartajte komp i dignite ga u Safe modu (F8). Windows Explorerom pobrišite sve što nađete od ovog
C:\winstall.exe
C:\WINDOWS\Web\wallpaper.html
C:\WINDOWS\Web\desktop.html
C:\Windows\Desktop.html
C:\wp.exe
C:\wp.bmp
C:\Program Files\SpySheriff <--- cijeli folder
C:\Documents and Settings\username\Start Menu\Programs\SpySheriff <-cijeli folder
C:\Documents and Settings\username\Application Data\Install.dat
PS. Zamjenite username sa trenutnim username accounta kojeg čistite. Npr. C:\Documents and Settings\zippo61\Start Menu\Programs\SpySheriff
6. Pokrenite Ccleaner. Ukoliko koristite WinXP (a većina koristi) otvorite Ccleanerom foder c:\windows\Prefetch i obrišite sve što nađete u njemu. Folder ne brišite, on je dio XP-a
7. Restartajte i dignite komp u Normal modu . Registry zakrpu kopirajte (copy/paste) i otvorite u Notepadu. Kliknite File-->Save As , u File name stavite fixadt.reg a u Save as type All Files.
http://www.slibe.com/image/bfefa2e2-fixadt__Medium__/
Memorirajte, najbolje na desktopu. Otvorite memorirani fajl i kada se otvori Add in to the registry, potvrdite.
8. Restartajte i provjerite rad kompa. Ukoliko ste točno postupali po uputama SpySheriff vas više ne bi trebao gnjaviti. Uživajte ali ubuduće pripazite što instalirate na kantu.

Ovo je sinteza većine postupaka koji se mogu naći na internetu. Stvar je u finesama, netko je koristio umjesto Ccleanera nesto drugo ali princip je isti. Našao sam i da bi trebalo ukoliko je SpySheriff aktivan u Task Manager-->Processes ugasiti winstall.exe. Možete i to iskoristiti. Postoji i problem nemogućnosti pristupa u Registry zbog SpySheriffa. Ovo je rijetko, međutim ukoliko bude trebalo opisat ću i kako se može ispraviti taj problem.
Vaše prijedloge, nadopune, sugestije i ostalo rado primam pa ukoliko netko ima svojih iskustava u borbi sa ovom mrcinom neka posta. Sve je dobrodošlo

14.05.2006., 18:00	#1
zippo herr Flick Moj komp Datum registracije: Oct 2005 Lokacija: Umag Postovi: 2,085	SpySheriff mrcina - how to UVOD Prateći postove na forumu vidio sam da su neki naletili na famozni SpySheriff ili u novije vrijeme SpywareNo. Vidjeli ste na nekim stranicama iskačuće pop up poruke o tome kako je vaš komp zaražen spywareom i kako ga treba očistiti. I tu u priču upada SpySheriff. Predstavlja se kao program za čišćenje spyware/adware/malware napasnika i to zna zavarati ljude. Instalirajući ga na komp instalirate malware program sa kojim dolaze problemi. Tvrdokorna mrcina koju je teško skinuti pogotovo ako niste vični takvim stvarima. On aktiviranjem doista počisti nešto ali obično to budu komponente programa koji njega ugrožavaju. Kada shvatite što se zapravo instalirali pokušavate beštiju skinuti sa svog kompa ali on je tu nakon svakog restarta. Čini vam se da je borba uzaludna i da je jedino riješenje format c: ali ipak nije tako. Googlajući malo našao sam više metoda ali sve se svode zapravo na isto : skinuti odgovarajuće programe za čišćenje, njima počistiti mrcinu i na kraju zakrpati registry. Krenimo na posao ! POTREBNI PROGRAMI 1.HijackThis – Atha je stručnjak za njega pa se sa njime možete konzultirati postajući logove na forumu ljink : http://www.majorgeeks.com/download3155.html 2.Ccleaner – CrapCleaner, samo ime dovoljno govori. Oprez: prilikom njegove instalacije skinite oznaku sa Yahoo toolbara da vam ga ne instalira ukoliko ga ne želite. Dobro pratite i čitajte što se instalira. Yahoo Toolbar je 6 po redu http://www.slibe.com/image/111c15bb-Ccleaner__Medium/ ljink : http://www.majorgeeks.com/download4191.html 3.Registry zakrpa REGEDIT4 [HKEY_CURRENT_USER\Control Panel\Desktop] "Wallpaper"=- "WallpaperStyle"=- [HKEY_CURRENT_USER\Control Panel\Colors] "Background"="0 78 152" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop] "NoChangingWallPaper"=- "NoComponents"=- "NoAddingComponents"=- "NoDeletingComponents"=- "NoEditingComponents"=- "NoHTMLWallpaper"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoViewContextMenu"=- "NoActiveDesktop"=- "NoActiveDesktopChanges"=- "ForceActiveDesktopOn"=- "NoSaveSettings"=dword:00000000 "ClassicShell"=dword:00000000 "NoThemesTab"=dword:00000000 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "NoDispAppearancePage"=- "Wallpaper"=- "WallpaperStyle"=- "NoDispBackgroundPage"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager] "ThemeActive"="1" "DllName"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,72,00,65,00,73,00,6f,00,75,00,72,00,63,00,65,00,73,00,5c,\ 00,54,00,68,00,65,00,6d,00,65,00,73,00,5c,00,6c,00,75,00,6e,00,61,00,5c,00,\ 6c,00,75,00,6e,00,61,00,2e,00,6d,00,73,00,73,00,74,00,79,00,6c,00,65,00,73,\ 00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Desktop\General] "WallpaperFileTime"=- "WallpaperLocalFileTime"=- [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoViewContextMenu"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] "notepad.exe"=- "notepad2.exe"=- "winlogon.exe"=- "paint.exe"=- [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Explorer\Browser Helper Objects\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Explorer\Browser Helper Objects\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}] [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search] "SearchAssistant"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm" "CustomizeSearch"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm" "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main] "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" "Search Bar"="Search Bar"="http://search.msn.com/intl/searchpane/en-au/prov2.htm" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl] ""="http://home.microsoft.com/access/autosearch.asp?p=%s" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\main] "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" "Search Bar"="http://search.msn.com/spbasic.htm" "Use Custom Search URL"= dword:00000000 "Use Search Asst"=- [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}] [-HKEY_CLASSES_ROOT\CLSID\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}] [-HKEY_CLASSES_ROOT\CLSID\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}] [-HKEY_CLASSES_ROOT\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}] [-HKEY_CLASSES_ROOT\CLSID\VMHomepage] [-HKEY_CLASSES_ROOT\CLSID\VMHomepage.1] [-HKEY_CLASSES_ROOT\Interface\{1E1B2878-88FF-11D2-8D96-D7ACAC95951F}] [-HKEY_CLASSES_ROOT\TypeLib\{1E1B286C-88FF-11D2-8D96-D7ACAC95951F}] [-HKEY_CLASSES_ROOT\VMHomepage] [-HKEY_CLASSES_ROOT\VMHomepage.1] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\HTTP\Parameters\S] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\HTTP\Parameters\S] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\r] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "Intel system tool"=- "WindowsFZ"=- POSTUPAK 1. Najprije počistite komp AV i antispyware programima (AdAware, S&D, SpySweeper itd) 2. Pomoću Add/Remove u Control Panelu nađite SpySheriff pokrenite postupak deinstalacije 3. Napravite folder za HijackThis--> C: \Pogram Files\HJT i extrahirajte ga u stvoreni folder. Nemojte pokretati HijackThis iz ZIP foldera, sa desktopa, iz temp foldera ili iz recimo Cocuments and Settings. Prije pokretanja HijackThis morate zatvoriti internet browser, e-mail klijent, messenger i sve programe kao World, Notepad i sl. Također zatvorite sve programe koji vam nisu potrebni. 4. Pokrenite HijackThis i u njemu Do a system scan only. O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe O4 - HKCU\..\Run: [SNInstall] C:\winstall.exe O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe Pogledajte je li vam našao neku od gore navedenih stvari. Uvjerite se da ste zatvorili gore spomenute programe i onda pokrenite Fix. Kad je gotovo zatvorite HijackThis. 5. Restartajte komp i dignite ga u Safe modu (F8). Windows Explorerom pobrišite sve što nađete od ovog C:\winstall.exe C:\WINDOWS\Web\wallpaper.html C:\WINDOWS\Web\desktop.html C:\Windows\Desktop.html C:\wp.exe C:\wp.bmp C:\Program Files\SpySheriff <--- cijeli folder C:\Documents and Settings\username\Start Menu\Programs\SpySheriff <-cijeli folder C:\Documents and Settings\username\Application Data\Install.dat PS. Zamjenite username sa trenutnim username accounta kojeg čistite. Npr. C:\Documents and Settings\zippo61\Start Menu\Programs\SpySheriff 6. Pokrenite Ccleaner. Ukoliko koristite WinXP (a većina koristi) otvorite Ccleanerom foder c:\windows\Prefetch i obrišite sve što nađete u njemu. Folder ne brišite, on je dio XP-a 7. Restartajte i dignite komp u Normal modu . Registry zakrpu kopirajte (copy/paste) i otvorite u Notepadu. Kliknite File-->Save As , u File name stavite fixadt.reg a u Save as type All Files. http://www.slibe.com/image/bfefa2e2-fixadt__Medium__/ Memorirajte, najbolje na desktopu. Otvorite memorirani fajl i kada se otvori Add in to the registry, potvrdite. 8. Restartajte i provjerite rad kompa. Ukoliko ste točno postupali po uputama SpySheriff vas više ne bi trebao gnjaviti. Uživajte ali ubuduće pripazite što instalirate na kantu. Ovo je sinteza većine postupaka koji se mogu naći na internetu. Stvar je u finesama, netko je koristio umjesto Ccleanera nesto drugo ali princip je isti. Našao sam i da bi trebalo ukoliko je SpySheriff aktivan u Task Manager-->Processes ugasiti winstall.exe. Možete i to iskoristiti. Postoji i problem nemogućnosti pristupa u Registry zbog SpySheriffa. Ovo je rijetko, međutim ukoliko bude trebalo opisat ću i kako se može ispraviti taj problem. Vaše prijedloge, nadopune, sugestije i ostalo rado primam pa ukoliko netko ima svojih iskustava u borbi sa ovom mrcinom neka posta. Sve je dobrodošlo __________________ .:S:T:A:L:K:E:R:.. :2 u ocekivanju nema vise zippacha ...... Zadnje izmijenjeno od: zippo. 14.05.2006. u 20:02.