Supprimer le spyware SpySherrif

phpMyVisites | Open source web analytics

Le Spyware SpySherrif


Le Spyware SpySherrif est un spyware qui installe :
  • Une nouvelle page de démarrage sur Internet Explorer (ça ne sert à rien de remettre la précédente, il vous la rechangera)
  • Change votre fond d’écran (voir plus bas). Ce dernier active l’option ActiveDesktop afin d’y charger un fond d’écran avec une page HTML, il empèche aussi de désactiver l’option ActiveDesktop en vous supprimant l’onglet dans Panneau de configuration/Affichage
  • Il vous installe un « anti-spyware » SpySherrif qui détecte les spywares mais vous demandent une clef d’activation pour les supprimer. C’est un faux anti-spyware..
  • Il installe aussi plusieurs trojans (Troj/Orse-L) (Troj/Paymite-B) (Troj/Jupdrop-A) et envoie entre autre des mails avec les informations sur vos connexions, habitudes d’utilisations du système, informations systèmes etc.. et doit aussi ouvrir une porte dérobée sur votre ordinateur pour en faire un serveur de mail à SPAM / pouvoir effectuer des attaques DOS sur des site WEB etc.. voir ici
  • Comme tout spyware, il ouvre plein de popup (porn, casinos etc..) et ralentit considérablement le système.

En règle général, on attrape ce spywares en allant sur des sites de cracks ou pornographiques avec Internet Explorer.
Capture d'un fond d'écran modifié par le malware SpySherrif

ICI on peut voir beacoup de connexions à des serveurs SMTP (connexions à des serveurs mails d’envoies), votre machine est devenu une belle machine à SPAM : Captures des connexions SMTP

Détecter SpySherrif

Voici la liste des processus et clefs du registre utilisés par SpySherrif

    • Spysheriff.exe
    • exeha2.exe*
    • iexplorer.exe (Variante de evivinv.virus, rapid Blaster)*
    • mm.exe*
    • z*.exe (z11, z12, z13.exe ect.)*
    • sywsvcs.exe (Troj/Orse-L)*
    • msupdate32.dll* (Troj/Jupdrop-A)
    • paytime.exe* (Troj/Paymite-B)
    • tool2.exe* (Troj/Paymite-B)
    • ms1.exe*
    • C:WINDOWSinet20003services.exe
    • C:\Windows\System32dllcacheIExplore.exe
       
    • Logs HijackThis :
      R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = c:secure32.html
      R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = c:secure32.html
      R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = c:secure32.html
      R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = c:secure32.html
      R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page = c:secure32.html
      R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page = c:secure32.html
      R3 – URLSearchHook: (no name) – {8B07E983-0D32-519E-4345-5850D7543797} – C:\Windows\System32khs.dll
      R3 – URLSearchHook: (no name) – _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} – (no file)
      F3 – REG:win.ini: run=C:WINDOWSinet20003services.exe
      O2 – BHO: HBO Class – {5321E378-FFAD-4999-8C62-03CA8155F0B3} – C:WINDOWSinet200033.00.13.dll
      O2 – BHO: (no name) – {8B07E983-0D32-519E-4345-5850D7543797} – C:\Windows\System32khs.dll
      O4 – HKLM..Run: [PayTime] C:\Windows\System32paytime.exe
      O4 – HKLM..Run: [enewsletterpro] c:windowsenewsletterpro.exe
      O4 – HKLM..Run: [xp_system] C:WINDOWSinet20003services.exe
      O4 – HKCU..Run: [Windows installer] C:winstall.exe
      O4 – HKCU..Run: [PayTime] C:\Windows\System32paytime.exe
      O4 – HKCU..Run: [SpySheriff] C:Program FilesSpySheriffSpySheriff.exe
      O4 – HKCU..Run: [xp_system] C:WINDOWSinet20003services.exe
      O4 – HKCU..Run: [CU1] C:\Program Files\Common FilesVCClientVCClient.exe
      O4 – HKCU..Run: [CU2] C:\Program Files\Common FilesVCClientVCMain.exe
      O4 – HKCU..Run: [Uora] « C:\Program Files\etlorrnw.exe » -vt yazr 

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 14 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *