Nach dem Trojahner Biprep.exe seltsame Toolbar

#0
04.08.2004, 12:43
...neu hier

Beiträge: 2
#1 Hi Ihr,

ich hatte auf meinem Rechner (Win XP) o.g. Trojahner. Er installierte Sofort eine eigene Toolbar (free casino, free date etc. als Auswahlbuttons) und jede Menge Shortcuts auf meinem Desktop. Es installierte sich ebenfalls eine IE- Startsite Namens Search200.com. Habe AntiVir laufen lassen, Search&Destroy, Adware 6.0 und habe auch dieses .dll exekutionsprogramm (ich weiss grad nicht wie das heisst) von cexx.org laufen lassen. Das letzte Programm fand 3 dll. Datein, wovon ich eine gefixt habe, da diese mit HiJackThis als böse erkannt wurde. Die anderen 2 habe ich nicht angefasst, da ich Bedenken habe einfach so dll´s zu löschen.
Habe auch schon in der regedit versucht die Startsite zu ändern, das ging 2 Tage gut. Danach hat sich alles wieder von selbst installiert.
Meine Fragen:
1. Was macht sdiese Biprep.exe? (dich kann ich mit "suchen" nirgends finden.)
2. Wie bekomme ich die Toolbar wieder gelöscht?
3. Kann ich alle dll´s bedenkelos löschen, die mir dieses Programm von cexx.org anzeigt?

Danke für Eure Hilfe, ich verzweifle hier regelrecht.
by the way: ich bin kein PC crack, also bitte drückt Euch bei Antworten einfach aus ;)

Gruss
cruzZz

hier mein Logfile:

Logfile of HijackThis v1.98.1
Scan saved at 12:51:25, on 04.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Dokumente und Einstellungen\Michel\Eigene Dateien\Antivir Programm\Neuer
Ordner\AVWUPSRV.EXE
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\LXSUPMON.EXE
E:\Clone Cd\CloneCD\CloneCDTray.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\Mixer.exe
C:\Dokumente und Einstellungen\Michel\Eigene
Dateien\Bockwurst\Winamp\winampa.exe
C:\Programme\Sound\PCI Audio Applications\Bin\EchoCtrl.exe
C:\Programme\Messenger\msmsgs.exe
F:\sierra\cs\counter-strike 1.6\steam.exe
E:\Telekom-DSL\monitordt.exe
E:\photoexpress\CalCheck.exe
c:\progra~1\intern~1\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
E:\Anti Viren\HiJack This 1.98.1\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://search200.com/passthrough/index.html?http://www.patriciarichardson.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
http://www.gnloypdnnmpd.com/9k5KlaFGByJsXUsahcIOSudGxoh3Wfp1xUwSetn7S4uPtCz76Muoz5a68BZS1Y04.html
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE
C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "E:\Clone Cd\CloneCD\ElbyCheck.exe" /L
ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "E:\Clone Cd\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE
C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [EnvyHFCPL] C:\Programme\Envy24\EnMixCPL.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [avast!] E:\Avast\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] E:\Avast\ashmaisv.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Dokumente und Einstellungen\Michel\Eigene
Dateien\Bockwurst\Winamp\winampa.exe
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programme\Sound\PCI Audio
Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [Mp3 Beep] C:\PROGRA~1\PROXYD~1\Procbash.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "f:\sierra\cs\counter-strike 1.6\steam.exe"
-silent
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE
C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft
Office\Office10\OSA.EXE
O4 - Global Startup: T-Sinus 130data WLAN USB Monitor.lnk = ?
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk =
E:\photoexpress\CalCheck.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren -
res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} -
C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} -
C:\PROGRA~1\ICQ\ICQ.exe
O17 -
HKLM\System\CCS\Services\Tcpip\..\{07DE7FC5-98ED-423E-A0DA-EBA3BD3217D7}:
NameServer = 192.168.1.100
Dieser Beitrag wurde am 04.08.2004 um 12:54 Uhr von cruzZz editiert.
Seitenanfang Seitenende
04.08.2004, 23:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo cruzZz

Fixe mit dem HijackThis
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://search200.com/passthrough/index.html?http://www.patriciarichardson.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
http://www.gnloypdnnmpd.com/9k5KlaFGByJsXUsahcIOSudGxoh3Wfp1xUwSetn7S4uPtCz76Muoz5a68BZS1Y04.html
O4 - HKLM\..\Run: [Mp3 Beep] C:\PROGRA~1\PROXYD~1\Procbash.exe


neustarten
Gehe in den abgesicherten Modus WICHTIG !!!
http://www.bsi.de/av/texte/winsave.htm

Konfiguriere den Antivirus:
alle Dateien< scanne und <Heuristik:hoch)
Mache einen Vollscann mit dem Antivirus.
http://www.bullguard.com/forum/8/biprepexe_230.html
um den Trojaner Spy.BI (Biprep.exe)zu loeschen

#Loesche C:\PROGRA~1\PROXYD~1\Procbash.exe , falls du nicht absolut weisst, was das ist.
Ich habe nichts dazu gefunden.


normal neustarten

#Lade mwav.exe (escann) und scanne <alle Dateien<poste, ob der Scanner was als <Infiziert<gefunden hat
http://www.mwti.net/antivirus/free_utilities.asp

#Lade Cwshredder
http://www.chip.de/downloads/c_downloads_11353799.html

##Loesche mit Hilfe von ClearProg
http://www.clearprog.de/
-Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

.............................................................................................................

Click this link to download Lavasoft's Vx2 Cleaner plug-in.

The VX2 Cleaner works with all editions of Ad-Aware 6 build 181.

How to use Lavasoft’s VX2 Cleaner plug-in:

Close Ad-Aware 6 build 181 and Ad-Watch (if running)
Download the free VX2 Cleaner here
Install the VX2 Cleaner
Start Ad-Aware 6 build 181
Go to “Plug-ins”
Select the VX2 Cleaner plug-in and click “Run Plugin”
If your computer isn’t infected, click “Close”.


If your computer is infected

Select “Clean system”
Reboot your computer
Scan your computer with Ad-Aware
Remove any VX2 objects detected
Reboot your computer again
Run a second scan to make sure the files have been removed from your computer

More information about VX2 can be found here............Klicke die unten gepostete Site an und lade von dort das Tool.... ;)
http://www.lavasoftsupport.com/index.php?showtopic=35682

#und stelle unter <InternetOptionen< und in allen anderen Browsern eine neue Startseite ein.

Dann poste das Log noch mal.
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 04.08.2004 um 23:54 Uhr von Sabina editiert.
Seitenanfang Seitenende
07.08.2004, 15:17
...neu hier

Themenstarter

Beiträge: 2
#3 Also, die BSI Datei gibts nicht mehr. Bei eScan habe ich die eScan.exe nicht gefunden (wohl meine eigene Dummheit) CWShredder hat nichts gefunden. Mit Clearprog hab ich alles gelöscht.

Wenn ich jetzt aber wieder ins INet geh, kommt wieder diese Dumme search200.com Toolbar. Die Seite www.patriciarichardson.de ist gewollt.
Mit Adware im agesicherten Modus habe ich nichts gefunden (neuestes Update ist Drauf) AntiVir komplett Scan hat zwar jede MEnge Hinweise (ca. 3500 !!!) und Warnungen (ca. 300 alle "coolwwwsearch" o.ä.) ausgespuckt, aber nichts weltbewegendes.
Hier mein jetziges HiJackThis Log:

Logfile of HijackThis v1.98.1
Scan saved at 15:11:06, on 07.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Dokumente und Einstellungen\Michel\Eigene Dateien\Antivir Programm\Neuer Ordner\AVWUPSRV.EXE
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\LXSUPMON.EXE
E:\Clone Cd\CloneCD\CloneCDTray.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\Mixer.exe
C:\Dokumente und Einstellungen\Michel\Eigene Dateien\Bockwurst\Winamp\winampa.exe
C:\Programme\Sound\PCI Audio Applications\Bin\EchoCtrl.exe
C:\Programme\Messenger\msmsgs.exe
F:\sierra\cs\counter-strike 1.6\steam.exe
E:\Telekom-DSL\monitordt.exe
E:\photoexpress\CalCheck.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\WINDOWS\System32\cidaemon.exe
E:\Anti Viren\HiJack This 1.98.1\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search200.com/passthrough/index.html?http://www.patriciarichardson.de/
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "E:\Clone Cd\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "E:\Clone Cd\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [EnvyHFCPL] C:\Programme\Envy24\EnMixCPL.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [avast!] E:\Avast\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] E:\Avast\ashmaisv.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Dokumente und Einstellungen\Michel\Eigene Dateien\Bockwurst\Winamp\winampa.exe
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programme\Sound\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "f:\sierra\cs\counter-strike 1.6\steam.exe" -silent
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: T-Sinus 130data WLAN USB Monitor.lnk = ?
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = E:\photoexpress\CalCheck.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{07DE7FC5-98ED-423E-A0DA-EBA3BD3217D7}: NameServer = 192.168.1.100

Naja´...ich werde das Ding wohl nie los

Gruss
cruzZz
Seitenanfang Seitenende
07.08.2004, 15:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 fixe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search200.com/passthrough/index.html?http://www.patriciarichardson.de/

#Dieses Tool ist kostenfrei und kann unter http://www.adwareaway.com/ heruntergeladen werden.

1. Downloaden
2. Installieren und Starten
3. Links in der Menüführung in der Rubrik "Specialized Remover" den Eintrag "Hijacker Away" markieren
4. Rechts im Übersichtsfenster "Ssearch.biz" markieren
5. Icon mit dem "Besen" unten ganz rechts anklicken
6. Dauert ein paar Sekündchen
7. Rechner neu Booten

#Lade dieses Tool, und entpacke
http://www.snapfiles.com/download/dlminiremovalcw.html

#Dann loesche noch mal die TemporaryInternetfiles und stelle eine andere Startseite ein , vielleicht Google

#dann lade Spybot, mache einen Scann und :
http://www.safer-networking.org/de/download/index.html
und hake an unter <Imunisieren< :
<Lock Hosts file read only ..<


Dann poste das Log noch mal.

(man kann dann noch was anders versuchen, aber mache erst mal das )

Gruss
Sabina
;)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 07.08.2004 um 15:48 Uhr von Sabina editiert.
Seitenanfang Seitenende