C:\resycled\boot.com keine zulässige Win32-Anwendung

Begonnen von Lu4ap, 15. November 2008, 11:44:07 Uhr

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

Lu4ap

15. November 2008, 11:44:07 Uhr Letzte Bearbeitung: 15. November 2008, 12:44:39 Uhr von TMK
Hallo an alle,

ich habe ein riesiges Problem. Ich kann über den Arbeitsplatz leider nicht auf meine Festplatten zugreifen weil mir Windows folgenden Fehler anzeigt:

"C:\resycled\boot.com keine zulässige Win32-Anwendung"

Ich kann jedoch über den Explorer auf die Festplatten zugreifen. Kann mir da bitte jemand helfen.

gruß Panther_9285
...Weißt du was Chaos eigentlich st?...Es ist Fair!!!!!!...

tyco

Du scheinst dir einen Virus eingefangen zu haben.

Heißt der Ordner C:\resycled\ oder doch C:\recycled\....also c statt s  ???

Hast du schon mit einem Virenscanner gescannt? Ein Scan mit Spybot S&D sowie Ad-Aware wären ebenfalls angebracht.

Wenn das keine Abhilfe schafft dann poste mal dein HtjackThis.log hier ins Forum.

Bitte keine Supportanfragen per PM stellen.

J.C.

das Problem ist ein kleiner Schädling sich auf den Datenträgern einen Autorun.inf Eintrag erstellt, der zu besagter Boot.com führt.

Wenn der Arbeitsplatz geöffnet wird wird auf die autorun.inf Einträge zugeriffen, bei der betrachtung über den Explorer nicht.

Hier ist ne Anleitung wie man's wegbekommt - find ich ehrlich geasgt aber etwas umständlich: http://extreme.pcgameshardware.de/windows-xp-vista-seven-windows-allgemein/24344-beseitigungs-tutorial-fuer-resycled-boot-com-im-arbeitsplatz.html









C2D 6420 // 3,2Ghz @Nexxxos XP
Gigabyte  P35 DS3P
4096 MB DDR-800 CL4 A-Data Vitesta Ex.
Sapphire HD4890 Vapor-X
60 GB OCZ Vertex
80 GB WD Caviar SE
    
Enermax Liberty 400W
Black ICE Stealth GT360 @ SilenX
                                                      





AMD X2 240 @ Shuriken
Asrock M3A785GMH
2048 MB MDT DDR-800
SkyStar 2HD
Cinergy DT USB XS Diversity
WD15EADS
Seasonic S12II 330W
OrigenAE S10V

TMK

Falls Du im Hauptverzeichnis von der Festplatte eine "Autorun.ini" findest, liegt hier vielleicht das Problem. Am Besten die Datei mit einem Editor mal öffnen und hier im Forum den Inhalt posten, wahrscheinlich brauchst Du diesen nur zu löschen.

Ggf. vorher in den Ordneroptionen --> Ansicht --> "Alle Dateien und Ordner anzeigen" markieren und das Häkchen bei "Geschützte Systemdateien ausblenden" entfernen, damit Dir alle Dateien im Hauptverzeichnis auch angezeigt bekommst.

...waren wohl ein paar Leute schneller als ich.  8)

Lu4ap

Meine autorum.ini sieht so aus:

[autorun]
shellexecute="resycled\boot.com d:"
shell\Open\command="resycled\boot.com d:"
shell=Open


Das Problem mit dem Tutorial ist das WinSpeedUp bei mir nicht funktioniert und ich damit das tutorial nicht richtig ausführen kann.


Ich kann Schritt 4 nicht richtig ausführen:

Schritt 4:

Nun muss man seine Ordneroptionen so ändern, dass Systemdateien angezeigt werden.

Ich habe hierzu "WinSpeedUp" verwendet (dort findet man die Option im Menü "Tuning" unter Policies "Systemdateien anzeigen")

Bitte um Hilfe.

Panther_9285
...Weißt du was Chaos eigentlich st?...Es ist Fair!!!!!!...

TMK

..dann würde ich von der autorun.ini zur Sicherheit ein backup irgendwo ablegen und dann die Datei löschen. Anschließend den Rechner neu starten.

J.C.

15. November 2008, 12:43:44 Uhr #6 Letzte Bearbeitung: 15. November 2008, 12:47:03 Uhr von J.C.
das mit winspeedup ist nicht notwendig.

Du kannst in jedem Explorerfenster auf Extras, Ordneroptionen, Ansicht klicken und dort in der Liste einen Haken bei "Alle Dateien und Ornder anzeigen machen".

@tmk: ein backup bei dem Inhalt find ich überflüssig - zumal die Autorun.inf keine wichtige Datei ist.
Neben der Autorun.inf existieren aber vermutlich noch weitere Reste des Schädliching wie die Datei boot.com selber und registry bzw. Startup Einträge. Von daher reicht einfach nur löschen (was ohne google meine spontane Lösung gewesen wäre) nicht ganz aus. Die Suche nach der Boot.com und Startup-Eintrgäe aus dem Tutorial find ich nciht verkehrt.







C2D 6420 // 3,2Ghz @Nexxxos XP
Gigabyte  P35 DS3P
4096 MB DDR-800 CL4 A-Data Vitesta Ex.
Sapphire HD4890 Vapor-X
60 GB OCZ Vertex
80 GB WD Caviar SE
    
Enermax Liberty 400W
Black ICE Stealth GT360 @ SilenX
                                                      





AMD X2 240 @ Shuriken
Asrock M3A785GMH
2048 MB MDT DDR-800
SkyStar 2HD
Cinergy DT USB XS Diversity
WD15EADS
Seasonic S12II 330W
OrigenAE S10V

Lu4ap

Supi dies dahin ist alles ok.

Ich habe mal aber eine Frage zu Schritt 8:

Schritt 8:

In den C:\WINDOWS Ordner und dort auf die Suchfunktion gehen und nach "boot.com" suchen, wenn man bei "Weitere Optionen", den Haken" versteckte Dateien" aktiviert.

Alle gefunden Dateien löschen.

Jetzt noch in C:\WINDOWS\Prefetch gehen und dort alle Dateien löschen.

Meint man damit wirklich ALLE Datiene löschen oder nur die mit BOOT???

gruß Panther_9285



...Weißt du was Chaos eigentlich st?...Es ist Fair!!!!!!...

J.C.

in prefetch können ohne Sorge alle Dateien gelöscht werden.

Windows sammelt dort Daten von häufig gestarteten Programmen, damit diese ein klein wenig schneller starten können.
Nach dem ersten Start der jeweiligen Programme legt Windows diese Dateien aber eh wieder neu an.







C2D 6420 // 3,2Ghz @Nexxxos XP
Gigabyte  P35 DS3P
4096 MB DDR-800 CL4 A-Data Vitesta Ex.
Sapphire HD4890 Vapor-X
60 GB OCZ Vertex
80 GB WD Caviar SE
    
Enermax Liberty 400W
Black ICE Stealth GT360 @ SilenX
                                                      





AMD X2 240 @ Shuriken
Asrock M3A785GMH
2048 MB MDT DDR-800
SkyStar 2HD
Cinergy DT USB XS Diversity
WD15EADS
Seasonic S12II 330W
OrigenAE S10V

Lu4ap

Super danke hat alles super geklappt. Funzt jetzt wieder alles wunderbar dann kann ich mir das neuinstallieren sparen!!!!!
...Weißt du was Chaos eigentlich st?...Es ist Fair!!!!!!...

J.C.

Das ist schön zu hören :D

Mach aber zur Sicheheit abschließend noch einen Intensiv Scan mit deinem Anti-Virenprogramm.

Ein HijackThis Logfile, wie von Tyco vorgeschlagen wäre als  Kontrolle auch nicht verkehrt.







C2D 6420 // 3,2Ghz @Nexxxos XP
Gigabyte  P35 DS3P
4096 MB DDR-800 CL4 A-Data Vitesta Ex.
Sapphire HD4890 Vapor-X
60 GB OCZ Vertex
80 GB WD Caviar SE
    
Enermax Liberty 400W
Black ICE Stealth GT360 @ SilenX
                                                      





AMD X2 240 @ Shuriken
Asrock M3A785GMH
2048 MB MDT DDR-800
SkyStar 2HD
Cinergy DT USB XS Diversity
WD15EADS
Seasonic S12II 330W
OrigenAE S10V

Lu4ap

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:29:40, on 15.11.2008
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\ZoneAlarm\zlclient.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S30RP1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ircdown.com/index.php?rvs=hompag&hl=de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O3 - Toolbar: TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TERRAT~1\THCDES~1.DLL
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [C:\WINDOWS\system32\kddxj.exe] C:\WINDOWS\system32\kddxj.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Remote Control Editor] C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WinPerfectAutoRun] C:\Programme\CleanDisk Pro\WinPerfect.exe -boot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1207861406968
O17 - HKLM\System\CCS\Services\Tcpip\..\{619302B8-8736-4E4A-B35E-E3AFE3C5AB32}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{B2CF8FF7-8E45-44CD-BC40-67AFA260A132}: NameServer = 192.168.0.1
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S30RP1.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
...Weißt du was Chaos eigentlich st?...Es ist Fair!!!!!!...

TMK

Würde diese Einträge noch fixen:

O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)

O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)

O4 - HKLM\..\Run: [C:\WINDOWS\system32\kddxj.exe] C:\WINDOWS\system32\kddxj.exe

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\system32\shdocvw.dll

Lu4ap

Ok werde ich machen, aber wie kann ich die fixen?????????
...Weißt du was Chaos eigentlich st?...Es ist Fair!!!!!!...

TMK

In Hijackthis ein Häckchen bei den entsprechenden Einträgen setzen, und auf "Fix checked" klicken.

Lu4ap

...Weißt du was Chaos eigentlich st?...Es ist Fair!!!!!!...