Nach dem Trojahner Biprep.exe seltsame Toolbar |
||
---|---|---|
#0
| ||
04.08.2004, 12:43
...neu hier
Beiträge: 2 |
||
|
||
04.08.2004, 23:29
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo cruzZz
Fixe mit dem HijackThis R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search200.com/passthrough/index.html?http://www.patriciarichardson.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.gnloypdnnmpd.com/9k5KlaFGByJsXUsahcIOSudGxoh3Wfp1xUwSetn7S4uPtCz76Muoz5a68BZS1Y04.html O4 - HKLM\..\Run: [Mp3 Beep] C:\PROGRA~1\PROXYD~1\Procbash.exe neustarten Gehe in den abgesicherten Modus WICHTIG !!! http://www.bsi.de/av/texte/winsave.htm Konfiguriere den Antivirus: alle Dateien< scanne und <Heuristik:hoch) Mache einen Vollscann mit dem Antivirus. http://www.bullguard.com/forum/8/biprepexe_230.html um den Trojaner Spy.BI (Biprep.exe)zu loeschen #Loesche C:\PROGRA~1\PROXYD~1\Procbash.exe , falls du nicht absolut weisst, was das ist. Ich habe nichts dazu gefunden. normal neustarten #Lade mwav.exe (escann) und scanne <alle Dateien<poste, ob der Scanner was als <Infiziert<gefunden hat http://www.mwti.net/antivirus/free_utilities.asp #Lade Cwshredder http://www.chip.de/downloads/c_downloads_11353799.html ##Loesche mit Hilfe von ClearProg http://www.clearprog.de/ -Cookies - Verlauf - Temporäre Internetfiles (Cache) ............................................................................................................. Click this link to download Lavasoft's Vx2 Cleaner plug-in. The VX2 Cleaner works with all editions of Ad-Aware 6 build 181. How to use Lavasoft’s VX2 Cleaner plug-in: Close Ad-Aware 6 build 181 and Ad-Watch (if running) Download the free VX2 Cleaner here Install the VX2 Cleaner Start Ad-Aware 6 build 181 Go to “Plug-ins” Select the VX2 Cleaner plug-in and click “Run Plugin” If your computer isn’t infected, click “Close”. If your computer is infected Select “Clean system” Reboot your computer Scan your computer with Ad-Aware Remove any VX2 objects detected Reboot your computer again Run a second scan to make sure the files have been removed from your computer More information about VX2 can be found here............Klicke die unten gepostete Site an und lade von dort das Tool.... http://www.lavasoftsupport.com/index.php?showtopic=35682 #und stelle unter <InternetOptionen< und in allen anderen Browsern eine neue Startseite ein. Dann poste das Log noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 04.08.2004 um 23:54 Uhr von Sabina editiert.
|
|
|
||
07.08.2004, 15:17
...neu hier
Themenstarter Beiträge: 2 |
#3
Also, die BSI Datei gibts nicht mehr. Bei eScan habe ich die eScan.exe nicht gefunden (wohl meine eigene Dummheit) CWShredder hat nichts gefunden. Mit Clearprog hab ich alles gelöscht.
Wenn ich jetzt aber wieder ins INet geh, kommt wieder diese Dumme search200.com Toolbar. Die Seite www.patriciarichardson.de ist gewollt. Mit Adware im agesicherten Modus habe ich nichts gefunden (neuestes Update ist Drauf) AntiVir komplett Scan hat zwar jede MEnge Hinweise (ca. 3500 !!!) und Warnungen (ca. 300 alle "coolwwwsearch" o.ä.) ausgespuckt, aber nichts weltbewegendes. Hier mein jetziges HiJackThis Log: Logfile of HijackThis v1.98.1 Scan saved at 15:11:06, on 07.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Dokumente und Einstellungen\Michel\Eigene Dateien\Antivir Programm\Neuer Ordner\AVWUPSRV.EXE C:\WINDOWS\System32\cisvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\htpatch.exe C:\WINDOWS\System32\LXSUPMON.EXE E:\Clone Cd\CloneCD\CloneCDTray.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\Mixer.exe C:\Dokumente und Einstellungen\Michel\Eigene Dateien\Bockwurst\Winamp\winampa.exe C:\Programme\Sound\PCI Audio Applications\Bin\EchoCtrl.exe C:\Programme\Messenger\msmsgs.exe F:\sierra\cs\counter-strike 1.6\steam.exe E:\Telekom-DSL\monitordt.exe E:\photoexpress\CalCheck.exe C:\PROGRA~1\ICQ\ICQ.exe C:\WINDOWS\System32\cidaemon.exe E:\Anti Viren\HiJack This 1.98.1\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search200.com/passthrough/index.html?http://www.patriciarichardson.de/ F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN O4 - HKLM\..\Run: [CloneCDElbyCDFL] "E:\Clone Cd\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "E:\Clone Cd\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [EnvyHFCPL] C:\Programme\Envy24\EnMixCPL.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [avast!] E:\Avast\ashDisp.exe O4 - HKLM\..\Run: [ashMaiSv] E:\Avast\ashmaisv.exe O4 - HKLM\..\Run: [WinampAgent] C:\Dokumente und Einstellungen\Michel\Eigene Dateien\Bockwurst\Winamp\winampa.exe O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programme\Sound\PCI Audio Applications\Bin\EchoCtrl.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Steam] "f:\sierra\cs\counter-strike 1.6\steam.exe" -silent O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: T-Sinus 130data WLAN USB Monitor.lnk = ? O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = E:\photoexpress\CalCheck.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{07DE7FC5-98ED-423E-A0DA-EBA3BD3217D7}: NameServer = 192.168.1.100 Naja´...ich werde das Ding wohl nie los Gruss cruzZz |
|
|
||
07.08.2004, 15:36
Ehrenmitglied
Beiträge: 29434 |
#4
fixe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search200.com/passthrough/index.html?http://www.patriciarichardson.de/ #Dieses Tool ist kostenfrei und kann unter http://www.adwareaway.com/ heruntergeladen werden. 1. Downloaden 2. Installieren und Starten 3. Links in der Menüführung in der Rubrik "Specialized Remover" den Eintrag "Hijacker Away" markieren 4. Rechts im Übersichtsfenster "Ssearch.biz" markieren 5. Icon mit dem "Besen" unten ganz rechts anklicken 6. Dauert ein paar Sekündchen 7. Rechner neu Booten #Lade dieses Tool, und entpacke http://www.snapfiles.com/download/dlminiremovalcw.html #Dann loesche noch mal die TemporaryInternetfiles und stelle eine andere Startseite ein , vielleicht Google #dann lade Spybot, mache einen Scann und : http://www.safer-networking.org/de/download/index.html und hake an unter <Imunisieren< : <Lock Hosts file read only ..< Dann poste das Log noch mal. (man kann dann noch was anders versuchen, aber mache erst mal das ) Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 07.08.2004 um 15:48 Uhr von Sabina editiert.
|
|
|
||
ich hatte auf meinem Rechner (Win XP) o.g. Trojahner. Er installierte Sofort eine eigene Toolbar (free casino, free date etc. als Auswahlbuttons) und jede Menge Shortcuts auf meinem Desktop. Es installierte sich ebenfalls eine IE- Startsite Namens Search200.com. Habe AntiVir laufen lassen, Search&Destroy, Adware 6.0 und habe auch dieses .dll exekutionsprogramm (ich weiss grad nicht wie das heisst) von cexx.org laufen lassen. Das letzte Programm fand 3 dll. Datein, wovon ich eine gefixt habe, da diese mit HiJackThis als böse erkannt wurde. Die anderen 2 habe ich nicht angefasst, da ich Bedenken habe einfach so dll´s zu löschen.
Habe auch schon in der regedit versucht die Startsite zu ändern, das ging 2 Tage gut. Danach hat sich alles wieder von selbst installiert.
Meine Fragen:
1. Was macht sdiese Biprep.exe? (dich kann ich mit "suchen" nirgends finden.)
2. Wie bekomme ich die Toolbar wieder gelöscht?
3. Kann ich alle dll´s bedenkelos löschen, die mir dieses Programm von cexx.org anzeigt?
Danke für Eure Hilfe, ich verzweifle hier regelrecht.
by the way: ich bin kein PC crack, also bitte drückt Euch bei Antworten einfach aus
Gruss
cruzZz
hier mein Logfile:
Logfile of HijackThis v1.98.1
Scan saved at 12:51:25, on 04.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Dokumente und Einstellungen\Michel\Eigene Dateien\Antivir Programm\Neuer
Ordner\AVWUPSRV.EXE
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\LXSUPMON.EXE
E:\Clone Cd\CloneCD\CloneCDTray.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\Mixer.exe
C:\Dokumente und Einstellungen\Michel\Eigene
Dateien\Bockwurst\Winamp\winampa.exe
C:\Programme\Sound\PCI Audio Applications\Bin\EchoCtrl.exe
C:\Programme\Messenger\msmsgs.exe
F:\sierra\cs\counter-strike 1.6\steam.exe
E:\Telekom-DSL\monitordt.exe
E:\photoexpress\CalCheck.exe
c:\progra~1\intern~1\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
E:\Anti Viren\HiJack This 1.98.1\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://search200.com/passthrough/index.html?http://www.patriciarichardson.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
http://www.gnloypdnnmpd.com/9k5KlaFGByJsXUsahcIOSudGxoh3Wfp1xUwSetn7S4uPtCz76Muoz5a68BZS1Y04.html
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE
C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "E:\Clone Cd\CloneCD\ElbyCheck.exe" /L
ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "E:\Clone Cd\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE
C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [EnvyHFCPL] C:\Programme\Envy24\EnMixCPL.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [avast!] E:\Avast\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] E:\Avast\ashmaisv.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Dokumente und Einstellungen\Michel\Eigene
Dateien\Bockwurst\Winamp\winampa.exe
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programme\Sound\PCI Audio
Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [Mp3 Beep] C:\PROGRA~1\PROXYD~1\Procbash.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "f:\sierra\cs\counter-strike 1.6\steam.exe"
-silent
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE
C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft
Office\Office10\OSA.EXE
O4 - Global Startup: T-Sinus 130data WLAN USB Monitor.lnk = ?
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk =
E:\photoexpress\CalCheck.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren -
res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} -
C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} -
C:\PROGRA~1\ICQ\ICQ.exe
O17 -
HKLM\System\CCS\Services\Tcpip\..\{07DE7FC5-98ED-423E-A0DA-EBA3BD3217D7}:
NameServer = 192.168.1.100