Neue Spyware – „SpySheriff“
Zurzeit gibt es häufiger Meldungen über den sogenannten „SpySheriff“, ein recht hartnäckiges Programm, was sich nicht so leicht aus dem System entfernen läst.
1. Wie kommt das Programm auf den PC?
Das Programm installiert sich selbst im Hintergrund von diversen Websites (Besonders betroffen sind Crack Seiten & Co).
2. Was tut das Programm?
Was sofort auffällt, ist, dass der Desktophintergrund verschwunden ist. Anstelle des Hintergrundbildes wird folgendes Bild angezeigt:
Weiterhin wird der Task-Manager deaktiviert.
Es gibt sich als ein Spyware-Remove Tool aus; wenn man sein System mit Spysheriff scannen lässt, kommt recht viel Spyware zum Vorschein. Will man nun die gefundenen Dateien entfernen, öffnet sich ein Fenster, in dem sich Spysherrif registrieren lassen will. Das auf KEINEN FALL tun!
3. Spysherrif deinstallieren
Kann man die obengenannten Symptome auf seinem PC beobachten, muss sofort Spybot – Search and Destroy her (Zu bekommen unter http://fileforum.betanews.com/detail/Sp ... 809773/1). Am besten ist es, sich das Programm von einem Bekannten geben zu lassen und alle Internetaktivitäten solange einzustellen, bis das Programm vollständig entfernt ist. Sobald das Programm installiert ist, startet man es und lässt den Computer scannen. Sobald er fertig ist, löscht man alles, was Spybot gefunden hat. Es öffnet sich eventuell ein Fenster, dass das System neugestartet werden muss, um alle Änderungen zu übernehmen.
Danach ein Neustart, danach sollte der normale Desktophintergrund wieder zu sehen sein. Wenn dies nicht der Fall ist, dann wie folgt vorgehen:
Über Start -> Suchen den Begriff „Spysherrif.exe“ und „SpysherrifNo.exe“ eingeben. Falls etwas gefunden wird, diese Dateien löschen. Wenn nicht, dann unten weiter.
Über Start -> Ausführen -> „regedit“ den Registrierungseditor öffnen. Danach folgende Schlüssel durchsuchen:
(ACHTUNG! Bevor in der Registry etwas geändert wird, zuerst über Datei -> Exportieren eine Sicherheitskopie anlegen!)
HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
oder
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoActiveDesktop
NoActiveDesktopChanges
ForceActiveDesktopOn
NoViewContextMenu
NoThemesTab
(falls vorhanden)
Wert = 0 oder löschen
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
oder
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
NoDispAppearancePage
NoDispBackgroundPage
NoDispScrSavPage
NoDispSettingsPage
(falls vorhanden)
Wert = 0 oder löschen
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
oder
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
NoChangingWallPaper
NoComponents
NoAddingComponents
NoDeletingComponents
NoEditingComponents
NoHTMLWallpaper
(falls vorhanden)
Wert = 0 oder löschen
Danach zum Schlüssel „HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\\policies\Wallpaper“ hangeln und am besten den ganzen Ordner „Wallpaper“ löschen (Rechtsklick -> Löschen).
HKEY_CURRENT_USER\Control Panel\Desktop\Wallpaper
"C:\windows\xxxxx.bmp”
Diesen Wert ebenfalls löschen.
Eventuell legt Spysherrif auch ein HTML File unter „C:\Windows\Web\Wallpaper\xxxxx.html“ an. Falls dieses vorhanden ist: LÖSCHEN!
Falls die Desktopsymbole noch verschwunden sind:
Wieder in den Registrierungseditor wechseln,
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
oder
HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-100x\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HideIcons
(falls vorhanden)
Wert = 0 oder löschen
Jetzt noch den Spysherrif aus der Registry löschen:
Über Bearbeiten -> Suchen den Begriff „Spysherrif“ eingeben und suchen lassen. Alle Einträge mit ENTF löschen.
Den Spysherrif aus dem Autostart entfernen:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run, dort den Begriff „Spysherrif.exe“ suchen und wieder löschen.
Falls der Task-Manager weiterhin deaktiviert sein sollte:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\
DisableTaskMgr
Wert = 0 oder löschen
