autoexec.bat wird gelöscht

7000charly · 04.11.2004, 10:53

Hi, ich habe das Problem dass beim hochfahren oder bei einem Neustart des PC´s die autoexec.bat gelöscht wird. Ich habe Windows 98 SE und brauche die autoexec.bat dringend.
Wer kann mir helfen ?
Gruß :-) 7000charly

Shadowdance · 04.11.2004, 11:56

Hallo 7000charly,

öffne die "autoexec.bat" mit einem Editor und poste den Inhalt dieser Datei und der "config.sys" hier ins Forum.

Erstelle des Weiteren ein Hijack This Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html und poste es mittels copy&paste.

SD

7000charly · 04.11.2004, 12:53

HI,
welche autoexec.bat ? die wurde gelöscht. Ich habe mir von einem anderen Pc die autoexec.bat geholt. Hier ist auf jeden Fall mal die config.sys :

; ************** CDROM **********************
; device=c:\cdrom\asuscd.sys /D:MSCD001
device=C:\WINDOWS\COMMAND\display.sys con=(ega,,1)
Country=049,850,C:\WINDOWS\COMMAND\country.sys

Nichts besonders, oder ?
Das Scan vom escan läuft noch. Ich kann dann aber auch mal den anderen Scanner drüberlaufen lassen.

Bis jetzt hat er dass hier gefunden :

File C:\WINDOWS\exc.exe tagged as not-a-virus:PornWare.Dialer.Star. No Action Taken.
File C:\WINDOWS\installer[wgr-10002,de].exe tagged as not-a-virus:PornWare.Dialer.Star. No Action Taken.
File C:\WINDOWS\SYSTEM\SetHomepage.exe infected by "Trojan.Win32.StartPage.ee" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\SetHomepage.exe infected by "Trojan.Win32.StartPage.ee" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File C:\WINDOWS\TEMP\~alstmp.exe_ tagged as not-a-virus:PornWare.Dialer.Generic. No Action Taken.
File C:\WINDOWS\TEMP\~alstmp.exe tagged as not-a-virus:PornWare.Dialer.Generic. No Action Taken.

Kannst Du damit schon etwas anfangen ?

Gruß :-)
7000charly

Shadowdance · 04.11.2004, 14:33

Hallo 7000charly,

"Das Scan vom escan läuft noch." Läuft der eScan auf Deinem zweiten Computer? Er soll nämlich offline im abgesicherten Modus durchgeführt werden.

Du hast etliche Dialer auf dem System. Je nachdem wie Du ins Netz gehst (Dialer-Hinweis), solltest Du diese Dialer-Dateien vor dem löschen auf Diskette sichern.

Lade bitte das Clear Prog runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf.

Erstelle dann auch ein Hijack This Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html und poste es. Und zeig uns den Rest des Ergebnisses aus dem eScan.

SD

7000charly · 04.11.2004, 14:51

HI,
nein, ich habe den escan im normalen modus laufen lassen.
Das mit den Dialern habe ich schon behoben
Welche Taste ist denn für den abgesicherten Modus ? F3, F5 oder F8 ?
Ich weiß blöde frage, aber ich vergesse das immer.
Was ich auch schon festgestellt habe, dass ich Webrebates auf dem PC habe ich hoffe aber dass ich auch dieses Problem gelöst habe.
Ich lasse jetzt nochmal den Hijack this im abg Modus laufen und melde mich dann nochmal.

Gruß :-)
7000charly

Shadowdance · 04.11.2004, 15:03

@ 7000charly,

gut, dann lass den eScan bitte im abgesicherten Modus laufen und erstelle das Hijack This Logfile aus dem normalen Modus.

SD

7000charly · 04.11.2004, 15:10

HI Shadowdance,
hier ist das HijackThis Logfile vom normalen Modus , nachdem ich die Temp internetfiles usw. gelöscht habe:

Logfile of HijackThis v1.98.2
Scan saved at 15:07:35, on 04.11.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\MSDTCW.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAM FILES\WINDOWS ADTOOLS\WINADTOOLS.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\PROGRAM FILES\WINDOWS ADTOOLS\WINRATCHET.EXE
C:\PROGRAMME\FRITZ!\IWATCH.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\PROGRAMME\COREL\GRAPHICS9\REGISTER\REMIND32.EXE
C:\PROGRAMME\MICROSOFT SQL SERVER\80\TOOLS\BINN\SQLMANGR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://ok-search.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ok-search.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ok-search.com/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fashion-strubel.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startseite.de/searchbar
O1 - Hosts: 66.159.20.52 www1.ndhosting.com
O1 - Hosts: 66.159.20.52 www3.ndhosting.com
O1 - Hosts: 66.159.20.52 www2.ndhosting.com
O1 - Hosts: 66.159.20.52 www.ndhosting.com
O1 - Hosts: 66.159.20.52 www.kinghost.com
O1 - Hosts: 66.159.20.52 kinghost.com
O1 - Hosts: 66.159.20.52 www1.kinghost.com
O1 - Hosts: 66.159.20.52 www2.kinghost.com
O1 - Hosts: 66.159.20.52 www3.kinghost.com
O1 - Hosts: 66.159.20.52 www4.kinghost.com
O1 - Hosts: 66.159.20.52 www5.kinghost.com
O1 - Hosts: 66.159.20.52 www6.kinghost.com
O1 - Hosts: 66.159.20.52 www7.kinghost.com
O1 - Hosts: 66.159.20.52 www8.kinghost.com
O1 - Hosts: 66.159.20.52 www9.kinghost.com
O1 - Hosts: 66.159.20.52 www10.kinghost.com
O1 - Hosts: 66.159.20.52 www.smutserver.com
O1 - Hosts: 66.159.20.52 smutserver.com
O1 - Hosts: 66.159.20.52 www1.smutserver.com
O1 - Hosts: 66.159.20.52 www2.smutserver.com
O1 - Hosts: 66.159.20.52 www16.smutserver.com
O1 - Hosts: 66.159.20.52 www3.smutserver.com
O1 - Hosts: 66.159.20.52 www4.smutserver.com
O1 - Hosts: 66.159.20.52 www5.smutserver.com
O1 - Hosts: 66.159.20.52 www6.smutserver.com
O1 - Hosts: 66.159.20.52 www7.smutserver.com
O1 - Hosts: 66.159.20.52 www8.smutserver.com
O1 - Hosts: 66.159.20.52 www9.smutserver.com
O1 - Hosts: 66.159.20.52 www10.smutserver.com
O1 - Hosts: 66.159.20.52 www11.smutserver.com
O1 - Hosts: 66.159.20.52 www12.smutserver.com
O1 - Hosts: 66.159.20.52 www13.smutserver.com
O1 - Hosts: 66.159.20.52 www14.smutserver.com
O1 - Hosts: 66.159.20.52 www15.smutserver.com
O1 - Hosts: 66.159.20.52 www17.smutserver.com
O1 - Hosts: 66.159.20.52 www18.smutserver.com
O1 - Hosts: 66.159.20.52 www19.smutserver.com
O1 - Hosts: 66.159.20.52 www20.smutserver.com
O1 - Hosts: 66.159.20.52 www21.smutserver.com
O1 - Hosts: 66.159.20.52 www22.smutserver.com
O1 - Hosts: 66.159.20.52 www23.smutserver.com
O1 - Hosts: 66.159.20.52 www24.smutserver.com
O1 - Hosts: 66.159.20.52 www25.smutserver.com
O1 - Hosts: 66.159.20.52 www26.smutserver.com
O1 - Hosts: 66.159.20.52 www27.smutserver.com
O1 - Hosts: 66.159.20.52 www28.smutserver.com
O1 - Hosts: 66.159.20.52 www29.smutserver.com
O1 - Hosts: 66.159.20.52 www30.smutserver.com
O1 - Hosts: 66.159.20.52 www31.smutserver.com
O1 - Hosts: 66.159.20.52 www32.smutserver.com
O1 - Hosts: 66.159.20.52 agreathost.net
O1 - Hosts: 66.159.20.52 www.agreathost.net
O1 - Hosts: 66.159.20.52 hotfreehost.com
O1 - Hosts: 66.159.20.52 www.hotfreehost.com
O1 - Hosts: 66.159.20.52 greatfreehost.com
O1 - Hosts: 66.159.20.52 www.greatfreehost.com
O1 - Hosts: 66.159.20.52 freesmutpages.com
O1 - Hosts: 66.159.20.52 www.freesmutpages.com
O1 - Hosts: 66.159.20.52 apornhost.com
O1 - Hosts: 66.159.20.52 www.apornhost.com
O1 - Hosts: 66.159.20.52 nasty-pages.com
O1 - Hosts: 66.159.20.52 www.nasty-pages.com
O1 - Hosts: 66.159.20.52 sexyfreehost.com
O1 - Hosts: 66.159.20.52 www.sexyfreehost.com
O1 - Hosts: 66.159.20.52 x4web.com
O1 - Hosts: 66.159.20.52 www.x4web.com
O1 - Hosts: 66.159.20.52 sexplanets.com
O1 - Hosts: 66.159.20.52 www.sexplanets.com
O1 - Hosts: 66.159.20.52 maxismut.com
O1 - Hosts: 66.159.20.52 www.maxismut.com
O1 - Hosts: 66.159.20.52 tgpfriendly.com
O1 - Hosts: 66.159.20.52 www.tgpfriendly.com
O1 - Hosts: 66.159.20.52 tgp-server.com
O1 - Hosts: 66.159.20.52 www.tgp-server.com
O1 - Hosts: 66.159.20.52 magnaplza.com
O1 - Hosts: 66.159.20.52 www.magnaplza.com
O1 - Hosts: 66.159.20.52 free-xxx-server.com
O1 - Hosts: 66.159.20.52 www.free-xxx-server.com
O1 - Hosts: 66.159.20.52 libereco.net
O1 - Hosts: 66.159.20.52 www.libereco.net
O1 - Hosts: 66.159.20.52 0190-dialer.com
O1 - Hosts: 66.159.20.52 www.0190-dialer.com
O1 - Hosts: 66.159.20.52 xxxod.net
O1 - Hosts: 66.159.20.52 www.xxxod.net
O1 - Hosts: 66.159.20.52 altsights.com
O1 - Hosts: 66.159.20.52 www.altsights.com
O1 - Hosts: 66.159.20.52 adulthosting.com
O1 - Hosts: 66.159.20.52 www.adulthosting.com
O1 - Hosts: 66.159.20.52 superhova.com
O1 - Hosts: 66.159.20.52 www.superhova.com
O1 - Hosts: 66.159.20.52 bestpornhost.com
O1 - Hosts: 66.159.20.52 www.bestpornhost.com
O1 - Hosts: 66.159.20.52 hostingfree.com
O1 - Hosts: 66.159.20.52 www.hostingfree.com
O1 - Hosts: 66.159.20.52 xfreehosting.com
O1 - Hosts: 66.159.20.52 www.xfreehosting.com
O1 - Hosts: 66.159.20.52 blinghosting.com
O1 - Hosts: 66.159.20.52 www.blinghosting.com
O1 - Hosts: 66.159.20.52 x-x-x-hosting.com
O1 - Hosts: 66.159.20.52 www.x-x-x-hosting.com
O1 - Hosts: 66.159.20.52 pornparks.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [Windows AdTools] C:\PROGRAM FILES\WINDOWS ADTOOLS\WINADTOOLS.EXE
O4 - HKLM\..\Run: [PCDRealtime] C:\WINDOWS\realtime.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Mass Storage Check Registry] rundll32.exe C:\WINDOWS\SYSTEM\ShellExt\MSDServ.dll,CheckRegistry
O4 - HKLM\..\RunServices: [MSDTC] msdtcw -start
O4 - Startup: WinZip Quick Pick.lnk = C:\PROGRA~1\WINZIP\wzqkpick.exe
O4 - Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Corel Registration.lnk = C:\Programme\Corel\Graphics9\Register\Remind32.exe
O4 - Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - User Startup: WinZip Quick Pick.lnk = C:\PROGRA~1\WINZIP\wzqkpick.exe
O4 - User Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - User Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - User Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - User Startup: Corel Registration.lnk = C:\Programme\Corel\Graphics9\Register\Remind32.exe
O4 - User Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - http://webinstall.tscash.com/webinstall.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.stardialer.de/StarInstall.ocx
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...ab2292e6aa4d79
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 195.3.96.67,195.3.96.68

Der HijackThis war der Meinugn dass ich bei 01 alle files löschen sollte die die gleiche IP haben !?

Gruß :-)
7000Charly

Shadowdance · 04.11.2004, 15:35

@ 7000charly

überprüfe mit virusscan.jotti.dhs.org:

C:\WINDOWS\SYSTEM\MSDTCW.EXE
C:\PROGRAM FILES\WINDOWS ADTOOLS\WINADTOOLS.EXE
C:\PROGRAM FILES\WINDOWS ADTOOLS\WINRATCHET.EXE

--->> Ergebnis?

Boote in den abgesicherten Modus und fixe dann mit Hijack This:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = ht*p://ok-search.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = ht*p://ok-search.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ht*p://ok-search.com/search.html

O1 - Hosts: 66.159.20.52 **w1.ndhosting.com
O1 - Hosts: 66.159.20.52 **w3.ndhosting.com
O1 - Hosts: 66.159.20.52 **w2.ndhosting.com
O1 - Hosts: 66.159.20.52 **w.ndhosting.com
O1 - Hosts: 66.159.20.52 **w.kinghost.com
O1 - Hosts: 66.159.20.52 kinghost.com
O1 - Hosts: 66.159.20.52 **w1.kinghost.com
O1 - Hosts: 66.159.20.52 **w2.kinghost.com
O1 - Hosts: 66.159.20.52 **w3.kinghost.com
O1 - Hosts: 66.159.20.52 **w4.kinghost.com
O1 - Hosts: 66.159.20.52 **w5.kinghost.com
O1 - Hosts: 66.159.20.52 **w6.kinghost.com
O1 - Hosts: 66.159.20.52 **w7.kinghost.com
O1 - Hosts: 66.159.20.52 **w8.kinghost.com
O1 - Hosts: 66.159.20.52 **w9.kinghost.com
O1 - Hosts: 66.159.20.52 **w10.kinghost.com
O1 - Hosts: 66.159.20.52 **w.smutserver.com
O1 - Hosts: 66.159.20.52 smutserver.com
O1 - Hosts: 66.159.20.52 **w1.smutserver.com
O1 - Hosts: 66.159.20.52 **w2.smutserver.com
O1 - Hosts: 66.159.20.52 **w16.smutserver.com
O1 - Hosts: 66.159.20.52 **w3.smutserver.com
O1 - Hosts: 66.159.20.52 **w4.smutserver.com
O1 - Hosts: 66.159.20.52 **w5.smutserver.com
O1 - Hosts: 66.159.20.52 **w6.smutserver.com
O1 - Hosts: 66.159.20.52 **w7.smutserver.com
O1 - Hosts: 66.159.20.52 **w8.smutserver.com
O1 - Hosts: 66.159.20.52 **w9.smutserver.com
O1 - Hosts: 66.159.20.52 **w10.smutserver.com
O1 - Hosts: 66.159.20.52 **w11.smutserver.com
O1 - Hosts: 66.159.20.52 **w12.smutserver.com
O1 - Hosts: 66.159.20.52 **w13.smutserver.com
O1 - Hosts: 66.159.20.52 **w14.smutserver.com
O1 - Hosts: 66.159.20.52 **w15.smutserver.com
O1 - Hosts: 66.159.20.52 **w17.smutserver.com
O1 - Hosts: 66.159.20.52 **w18.smutserver.com
O1 - Hosts: 66.159.20.52 **w19.smutserver.com
O1 - Hosts: 66.159.20.52 **w20.smutserver.com
O1 - Hosts: 66.159.20.52 **w21.smutserver.com
O1 - Hosts: 66.159.20.52 **w22.smutserver.com
O1 - Hosts: 66.159.20.52 **w23.smutserver.com
O1 - Hosts: 66.159.20.52 **w24.smutserver.com
O1 - Hosts: 66.159.20.52 **w25.smutserver.com
O1 - Hosts: 66.159.20.52 **w26.smutserver.com
O1 - Hosts: 66.159.20.52 **w27.smutserver.com
O1 - Hosts: 66.159.20.52 **w28.smutserver.com
O1 - Hosts: 66.159.20.52 **w29.smutserver.com
O1 - Hosts: 66.159.20.52 **w30.smutserver.com
O1 - Hosts: 66.159.20.52 **w31.smutserver.com
O1 - Hosts: 66.159.20.52 **w32.smutserver.com
O1 - Hosts: 66.159.20.52 agreathost.net
O1 - Hosts: 66.159.20.52 **w.agreathost.net
O1 - Hosts: 66.159.20.52 hotfreehost.com
O1 - Hosts: 66.159.20.52 **w.hotfreehost.com
O1 - Hosts: 66.159.20.52 greatfreehost.com
O1 - Hosts: 66.159.20.52 **w.greatfreehost.com
O1 - Hosts: 66.159.20.52 freesmutpages.com
O1 - Hosts: 66.159.20.52 **w.freesmutpages.com
O1 - Hosts: 66.159.20.52 apornhost.com
O1 - Hosts: 66.159.20.52 **w.apornhost.com
O1 - Hosts: 66.159.20.52 nasty-pages.com
O1 - Hosts: 66.159.20.52 **w.nasty-pages.com
O1 - Hosts: 66.159.20.52 sexyfreehost.com
O1 - Hosts: 66.159.20.52 **w.sexyfreehost.com
O1 - Hosts: 66.159.20.52 x4web.com
O1 - Hosts: 66.159.20.52 **w.x4web.com
O1 - Hosts: 66.159.20.52 sexplanets.com
O1 - Hosts: 66.159.20.52 **w.sexplanets.com
O1 - Hosts: 66.159.20.52 maxismut.com
O1 - Hosts: 66.159.20.52 **w.maxismut.com
O1 - Hosts: 66.159.20.52 tgpfriendly.com
O1 - Hosts: 66.159.20.52 **w.tgpfriendly.com
O1 - Hosts: 66.159.20.52 tgp-server.com
O1 - Hosts: 66.159.20.52 **w.tgp-server.com
O1 - Hosts: 66.159.20.52 magnaplza.com
O1 - Hosts: 66.159.20.52 **w.magnaplza.com
O1 - Hosts: 66.159.20.52 free-xxx-server.com
O1 - Hosts: 66.159.20.52 **w.free-xxx-server.com
O1 - Hosts: 66.159.20.52 libereco.net
O1 - Hosts: 66.159.20.52 **w.libereco.net
O1 - Hosts: 66.159.20.52 0190-dialer.com - Dialer-Hinweis
O1 - Hosts: 66.159.20.52 **w.0190-dialer.com - Dialer-Hinweis
O1 - Hosts: 66.159.20.52 xxxod.net
O1 - Hosts: 66.159.20.52 **w.xxxod.net
O1 - Hosts: 66.159.20.52 altsights.com
O1 - Hosts: 66.159.20.52 **w.altsights.com
O1 - Hosts: 66.159.20.52 adulthosting.com
O1 - Hosts: 66.159.20.52 **w.adulthosting.com
O1 - Hosts: 66.159.20.52 superhova.com
O1 - Hosts: 66.159.20.52 **w.superhova.com
O1 - Hosts: 66.159.20.52 bestpornhost.com
O1 - Hosts: 66.159.20.52 **w.bestpornhost.com
O1 - Hosts: 66.159.20.52 hostingfree.com
O1 - Hosts: 66.159.20.52 **w.hostingfree.com
O1 - Hosts: 66.159.20.52 xfreehosting.com
O1 - Hosts: 66.159.20.52 **w.xfreehosting.com
O1 - Hosts: 66.159.20.52 blinghosting.com
O1 - Hosts: 66.159.20.52 **w.blinghosting.com
O1 - Hosts: 66.159.20.52 x-x-x-hosting.com
O1 - Hosts: 66.159.20.52 **w.x-x-x-hosting.com
O1 - Hosts: 66.159.20.52 pornparks.com

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - ht*p://webinstall.tscash.com/webinstall.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - ht*p://install.stardialer.de/StarInstall.ocx
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ht*p://public.windupdates.com/get_f...8ab2292e6aa4d79

wenn Du diese Einträge nicht kennst/brauchst, bitte fixen:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://www.fashion-strubel.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = ht*p://www.startseite.de/searchbar

wenn dies nicht IP oder Domain Deines Providers ist, bitte fixen:

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 195.3.96.67,195.3.96.68

boote in den normalen Modus.

Erstelle ein neues Hijack This Logfile und poste es.

SD

7000charly · 04.11.2004, 17:24

HI,
gefunden wurde bei nichts, aber bei Winadtools.exe und Winratchet.exe kam diese Meldung :

MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.)
Packers detected : UPX

Die beiden R0 einträge brauche ich, das ist unser Online-Shop !!!

Ich gehe jetzt in den abg Modus. Ich denke fixen heißt so etwas wie entfernen, oder ?

Gruß :-)
7000charly

Shadowdance · 04.11.2004, 17:32

@ 7000charly

mit Hijack This fixen heisst: Häk'chen setzen und auf fix checked klicken.

Sende diese beiden Dateien

C:\PROGRAM FILES\WINDOWS ADTOOLS\WINADTOOLS.EXE
C:\PROGRAM FILES\WINDOWS ADTOOLS\WINRATCHET.EXE

bitte an partytime-germany.ice@web.de zu Forschungszwecken, mit Verweis auf diesen Thread.

SD

7000charly · 04.11.2004, 18:05

HI Shadowdance,

vielen Dank. Hat etwas gedauert da ich den Key für meinen Provider gelöscht habe und ihn erst wieder anlegen mußte.
Eigentlich habe ich nachgeschaut dass es ja nicht der Key für den Provider ist aber irgendwie hatte ich falsche Unterlagen in der Hand.

Die Dateien schicke ich mal rüber.

Aber mein Problem ist leider immer noch nicht gelöst.
Die autoexec.bat verschwindet immer noch.
Unser Programmierer und ich dachten dass es an einem Trojaner liegt aber anscheinend nicht.

Die autoexec.bat ist das 1. mal verschwunden nachdem ich mir Dreamweaver MX heruntergeladen habe.
Ich habe dafür eine andere autoexec.abt gefunden allerdings in einem ganz andere Ordner. Ich schicke Sie Dir gleich mit.

Im Ordner c:/windows/command/EBD

@ECHO OFF
set EXPAND=YES
SET DIRCMD=/O:N
set LglDrv=27 * 26 Z 25 Y 24 X 23 W 22 V 21 U 20 T 19 S 18 R 17 Q 16 P 15
set LglDrv=%LglDrv% O 14 N 13 M 12 L 11 K 10 J 9 I 8 H 7 G 6 F 5 E 4 D 3 C
cls
call setramd.bat %LglDrv%
set temp=c:\
set tmp=c:\
path=%RAMD%:\;a:\;%CDROM%:\
copy command.com %RAMD%:\ > NUL
set comspec=%RAMD%:\command.com
copy extract.exe %RAMD%:\ > NUL
copy readme.txt %RAMD%:\ > NUL

:ERROR
IF EXIST ebd.cab GOTO EXT
echo Legen Sie die Windows 98 Startdiskette 2 ein
echo.
pause
GOTO ERROR

:EXT
%RAMD%:\extract /y /e /l %RAMD%: ebd.cab > NUL
echo Die Diagnoseprogramme wurden auf Laufwerk %RAMD% geladen.
echo.

IF "%config%"=="NOCD" GOTO QUIT
IF "%config%"=="HELP" GOTO HELP
LH %ramd%:\MSCDEX.EXE /D:mscd001 /L:%CDROM%
echo.
GOTO QUIT

:HELP
cls
call help.bat
echo Der Computer wird neu gestartet und das Startmen wird angezeigt.
echo.
echo.
echo.
echo.
echo.
echo.
echo.
echo.
echo.
echo.
restart.com
GOTO QUIT

:QUIT
echo Geben Sie HELP ein und drcken Sie die Eingabetaste, um die Hilfe anzuzeigen.
echo.
rem clean up environment variables
set CDROM=
set LglDrv=

Ich brauche nämlich dringend diese zuordnung beim Systemstart :
set factarbnr=0146

und das war eigentlich in der autoexec.bat gestanden.

Sorry für die viele Arbeit, aber ich danke recht herzlich, ich habe dabei viel gelernt.

Gruß :-)
7000charly

Shadowdance · 04.11.2004, 18:42

@ 7000charly

mit diesem Problem kenne ich mich leider nicht aus. Sei bitte so nett und wende Dich an unser Unterforum "Alles rund um Windows". Schildere dort Dein Problem und verweise auf diesen Thread.

SD

autoexec.bat wird gelöscht

Plagegeister aller Art und deren Bekämpfung: autoexec.bat wird gelöscht