WinFuture-Forum.de: Internet ExplorerCoolWebSearch,Logfile - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
Seite 1 von 1

Internet ExplorerCoolWebSearch,Logfile Dringend Eure Kompetente Hilfe Gebraucht


#1 Mitglied ist offline   claudiusa 

geschrieben 27. September 2004 - 20:30

Wer hilft mir? Ich hab schon zigmal die Logfile-Auswertung gemacht und dementsprechend gelöscht, aber es kommt alles immer wieder. Der Internet Explorer öffnet sich immer mit CoolWebSEarch, Code: 213.159.117.134
und auf meinem PC kopieren sich automatisch die Datei 124839 (Bild mit einer Frau). Wenn ich Online gehe, falle ich sofort aus der Leitung wieder raus.
Ich weiß echt nicht mehr weiter. Hab schon zig Virenscanner gestartet, natürlich im ungesicherten Modus. Alles hilft nicht. Bitte helft mir!!!!!!!!! :P

Logfile of HijackThis v1.98.2
Scan saved at 21:13:18, on 27.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\dktime.exe
C:\WINDOWS\System32\dktime.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\SenseConnect! PRO\sc_pro.exe
C:\WINDOWS\System32\MDM.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Bommel\LOKALE~1\Temp\ICD1.tmp\jinstall.exe
C:\DOKUME~1\Bommel\LOKALE~1\Temp\jinstaller142.exe
C:\WINDOWS\System32\MSIEXEC.EXE
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\System32\MsiExec.exe
C:\WINDOWS\System32\MsiExec.exe
C:\Dokumente und Einstellungen\Bommel\Eigene Dateien\Virenprogramm Explorer FIX\HijackThis.exe
C:\Programme\Java\j2re1.4.2\javaws\javaws.exe
C:\Programme\Java\j2re1.4.2\bin\javaw.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MAGIXautostart] F:\setup.exe
O4 - HKLM\..\Run: [DKTime] C:\WINDOWS\System32\dktime.exe
O4 - HKCU\..\Run: [DKTime] C:\WINDOWS\System32\dktime.exe
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Kodak software updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EP...l_v1-0-3-12.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1096210028805
O16 - DPF: {9600F64D-755F-11D4-A47F-0001023E6D5A} (Shutterfly Picture Upload Plugin) - http://web1.shutterf...ds/Uploader.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg...ol_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{02643F52-A8F3-450B-B2EE-B4A3DF6D40B6}: NameServer = 62.104.191.241 62.104.196.134
O17 - HKLM\System\CS1\Services\Tcpip\..\{02643F52-A8F3-450B-B2EE-B4A3DF6D40B6}: NameServer = 62.104.191.241 62.104.196.134

Danke euch im Voraus für eure Mühe, Gruß Claudi
0

Anzeige



#2 Mitglied ist offline   solitsnake 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.586
  • Beigetreten: 14. Mai 03
  • Reputation: 5
  • Geschlecht:Männlich
  • Wohnort:NBG

geschrieben 27. September 2004 - 20:33

siehe hier Die auswertung deines Hijackthis Logs
Privat: AMD 1600+, 16 GB DDR4 3200, Asus 350 Pro, Nvidea 1060 6GB, Iiyama B2783QSU
Homeoffice: HP Elitebook G5, 32 Gb Ram, 512 + 1TB SSD, Intel i5 8250, Ipad Pro,
Mobil: Huawei P30 Pro (Privat) Iphone XR (Beruflich) - iPad Pro, Fire Tab HD 10", Teclast 98 G3
Wlan Print & Scan: Epson WorkForce WF-3530DTWF
Internet: Fritzbox 7590 - 1und1 250Mbit/s & 37Mbit/s bei 166m Tal + Mesh Via 1750 + 7530
Smarthome: Homematic IP, Philips Hue, SonOff....
NAS: QNAP 253A&TR-004 mit 16GB Ram - 8+8+6+4 TB HD´s / 2TB SSD für VM´s - Als File, Media, Download sowie TS3-Server. Als Host verschiedener VM´s
0

#3 Mitglied ist offline   Skalek 

  • Gruppe: Mitglieder
  • Beiträge: 1
  • Beigetreten: 08. Oktober 04
  • Reputation: 0

geschrieben 08. Oktober 2004 - 16:34

Zitat (claudiusa: 27.09.2004, 20:30)

Wer hilft mir? Ich hab schon zigmal die Logfile-Auswertung gemacht und dementsprechend gelöscht, aber es kommt alles immer wieder. Der Internet Explorer öffnet sich immer mit CoolWebSEarch, Code: 213.159.117.134
und auf meinem PC kopieren sich automatisch die Datei 124839 (Bild mit einer Frau). Wenn ich Online gehe, falle ich sofort aus der Leitung wieder raus.
Ich weiß echt nicht mehr weiter. Hab schon zig Virenscanner gestartet, natürlich im ungesicherten Modus. Alles hilft nicht. Bitte helft mir!!!!!!!!! :8):



There is a guide on removing this infection here:

How to Remove the -http://213.159.117.134/index.php / searchmeup.com / systime.exe hijacker

Hope this helps

Dieser Beitrag wurde von Skalek bearbeitet: 08. Oktober 2004 - 16:36

0

#4 Mitglied ist offline   The Dog 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.131
  • Beigetreten: 28. Mai 04
  • Reputation: 0
  • Geschlecht:Männlich
  • Wohnort:Kölle am Rhing

geschrieben 08. Oktober 2004 - 16:38

Haste dir ja was schönes eingefangen :8):

Lade dir mal cwshredder runter, damit müsstest du es wegbekommen.
0

#5 Mitglied ist offline   Meltdown 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.216
  • Beigetreten: 02. November 03
  • Reputation: 0
  • Geschlecht:Männlich

geschrieben 09. Oktober 2004 - 00:15

@claudiusa: Ich weiß sicher das SpyBot S&D 1.3 diesen CoolWebSearch-Müll in den Signaturen führt - also mal drüberjagen.

Nebenbei: IE6 in Rente schicken, AVK2005 aufspielen und eingeschränkten Account
zum Surfen einsetzen. Hat noch niemandem geschadet...

:P

Dieser Beitrag wurde von Meltdown bearbeitet: 09. Oktober 2004 - 00:18

0

#6 Mitglied ist offline   Wolff 

  • Gruppe: Mitglieder
  • Beiträge: 7
  • Beigetreten: 02. Oktober 04
  • Reputation: 0

geschrieben 09. Oktober 2004 - 06:56

Suchen und senden
C:\WINDOWS\System32\dktime.exe
an Symantec Security Response:
How to Submitting a file to Symantec Security Response


Computer im abgesicherten Modus starten

Löschen C:\WINDOWS\System32\dktime.exe

Benutzen Hijackthis, Fix Checked:

O4 - HKLM\..\Run: [DKTime] C:\WINDOWS\System32\dktime.exe
O4 - HKCU\..\Run: [DKTime] C:\WINDOWS\System32\dktime.exe

Dieser Beitrag wurde von Wolff bearbeitet: 09. Oktober 2004 - 06:57

0

#7 Mitglied ist offline   Wolff 

  • Gruppe: Mitglieder
  • Beiträge: 7
  • Beigetreten: 02. Oktober 04
  • Reputation: 0

geschrieben 09. Oktober 2004 - 11:04

213.159.117.134
Mein NAV erkennt ein virus: MHTMLRedir.Exploit
Das Virus kann ein Dialer(Dialer.DialPlatform) download.

Update Virus Definitions :
http://securityresponse.symantec.com/avcen...ges/US-N95.html
und prüfen das Computer

Dieser Beitrag wurde von Wolff bearbeitet: 09. Oktober 2004 - 11:10

0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0