Hallo an alle,
ich habe ein riesiges Problem. Ich kann über den Arbeitsplatz leider nicht auf meine Festplatten zugreifen weil mir Windows folgenden Fehler anzeigt:
"C:\resycled\boot.com keine zulässige Win32-Anwendung"
Ich kann jedoch über den Explorer auf die Festplatten zugreifen. Kann mir da bitte jemand helfen.
gruß Panther_9285
Du scheinst dir einen Virus eingefangen zu haben.
Heißt der Ordner C:\resycled\ oder doch C:\recycled\....also c statt s ???
Hast du schon mit einem Virenscanner gescannt? Ein Scan mit Spybot S&D sowie Ad-Aware wären ebenfalls angebracht.
Wenn das keine Abhilfe schafft dann poste mal dein HtjackThis.log hier ins Forum.
das Problem ist ein kleiner Schädling sich auf den Datenträgern einen Autorun.inf Eintrag erstellt, der zu besagter Boot.com führt.
Wenn der Arbeitsplatz geöffnet wird wird auf die autorun.inf Einträge zugeriffen, bei der betrachtung über den Explorer nicht.
Hier ist ne Anleitung wie man's wegbekommt - find ich ehrlich geasgt aber etwas umständlich: http://extreme.pcgameshardware.de/windows-xp-vista-seven-windows-allgemein/24344-beseitigungs-tutorial-fuer-resycled-boot-com-im-arbeitsplatz.html
Falls Du im Hauptverzeichnis von der Festplatte eine "Autorun.ini" findest, liegt hier vielleicht das Problem. Am Besten die Datei mit einem Editor mal öffnen und hier im Forum den Inhalt posten, wahrscheinlich brauchst Du diesen nur zu löschen.
Ggf. vorher in den Ordneroptionen --> Ansicht --> "Alle Dateien und Ordner anzeigen" markieren und das Häkchen bei "Geschützte Systemdateien ausblenden" entfernen, damit Dir alle Dateien im Hauptverzeichnis auch angezeigt bekommst.
...waren wohl ein paar Leute schneller als ich. 8)
Meine autorum.ini sieht so aus:
[autorun]
shellexecute="resycled\boot.com d:"
shell\Open\command="resycled\boot.com d:"
shell=Open
Das Problem mit dem Tutorial ist das WinSpeedUp bei mir nicht funktioniert und ich damit das tutorial nicht richtig ausführen kann.
Ich kann Schritt 4 nicht richtig ausführen:
Schritt 4:
Nun muss man seine Ordneroptionen so ändern, dass Systemdateien angezeigt werden.
Ich habe hierzu "WinSpeedUp" verwendet (dort findet man die Option im Menü "Tuning" unter Policies "Systemdateien anzeigen")
Bitte um Hilfe.
Panther_9285
..dann würde ich von der autorun.ini zur Sicherheit ein backup irgendwo ablegen und dann die Datei löschen. Anschließend den Rechner neu starten.
das mit winspeedup ist nicht notwendig.
Du kannst in jedem Explorerfenster auf Extras, Ordneroptionen, Ansicht klicken und dort in der Liste einen Haken bei "Alle Dateien und Ornder anzeigen machen".
@tmk: ein backup bei dem Inhalt find ich überflüssig - zumal die Autorun.inf keine wichtige Datei ist.
Neben der Autorun.inf existieren aber vermutlich noch weitere Reste des Schädliching wie die Datei boot.com selber und registry bzw. Startup Einträge. Von daher reicht einfach nur löschen (was ohne google meine spontane Lösung gewesen wäre) nicht ganz aus. Die Suche nach der Boot.com und Startup-Eintrgäe aus dem Tutorial find ich nciht verkehrt.
Supi dies dahin ist alles ok.
Ich habe mal aber eine Frage zu Schritt 8:
Schritt 8:
In den C:\WINDOWS Ordner und dort auf die Suchfunktion gehen und nach "boot.com" suchen, wenn man bei "Weitere Optionen", den Haken" versteckte Dateien" aktiviert.
Alle gefunden Dateien löschen.
Jetzt noch in C:\WINDOWS\Prefetch gehen und dort alle Dateien löschen.
Meint man damit wirklich ALLE Datiene löschen oder nur die mit BOOT???
gruß Panther_9285
in prefetch können ohne Sorge alle Dateien gelöscht werden.
Windows sammelt dort Daten von häufig gestarteten Programmen, damit diese ein klein wenig schneller starten können.
Nach dem ersten Start der jeweiligen Programme legt Windows diese Dateien aber eh wieder neu an.
Super danke hat alles super geklappt. Funzt jetzt wieder alles wunderbar dann kann ich mir das neuinstallieren sparen!!!!!
Das ist schön zu hören :D
Mach aber zur Sicheheit abschließend noch einen Intensiv Scan mit deinem Anti-Virenprogramm.
Ein HijackThis Logfile, wie von Tyco vorgeschlagen wäre als Kontrolle auch nicht verkehrt.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:29:40, on 15.11.2008
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\ZoneAlarm\zlclient.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S30RP1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ircdown.com/index.php?rvs=hompag&hl=de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O3 - Toolbar: TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TERRAT~1\THCDES~1.DLL
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [C:\WINDOWS\system32\kddxj.exe] C:\WINDOWS\system32\kddxj.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Remote Control Editor] C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WinPerfectAutoRun] C:\Programme\CleanDisk Pro\WinPerfect.exe -boot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1207861406968
O17 - HKLM\System\CCS\Services\Tcpip\..\{619302B8-8736-4E4A-B35E-E3AFE3C5AB32}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{B2CF8FF7-8E45-44CD-BC40-67AFA260A132}: NameServer = 192.168.0.1
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S30RP1.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Würde diese Einträge noch fixen:
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKLM\..\Run: [C:\WINDOWS\system32\kddxj.exe] C:\WINDOWS\system32\kddxj.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\system32\shdocvw.dll
Ok werde ich machen, aber wie kann ich die fixen?????????
In Hijackthis ein Häckchen bei den entsprechenden Einträgen setzen, und auf "Fix checked" klicken.
Ok danke hat geklappt!!!!