|
Log-Analyse und Auswertung: Resycled\boot.com Ist Keine Zulässige Win32-anwendungWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
19.09.2008, 06:26 | #1 |
| Resycled\boot.com Ist Keine Zulässige Win32-anwendung Morgen allerseits, .. habe seit gestern abend ein Problem mit meinem Rechner, und Google hat bis jetzt nichts rausgeschmissen... Wenn ich im Arbeitsplatz ein Laufwerk (ausser C öffnen will kommt nur ein Fenster resycled\boot.com ist keine zulässige Win32-Anwendung (Es handelt sich hier um KEINEN Schreibfehler, es gibt einen Ordner mit dem Namen und dem File darin auf dem Laufwerk...) Öffnen kann ich das Laufwerk nicht, im Explorer aber wohl...auch im abgesicherten Modus verhält sich mein Rechner so... Ich habe auch schon per Boot-CD und aktuellen Viren-Daten gesucht...nichts...auch ein BackUp per TrueImage brachte keinen großen Erfolg...auf C: kann ich zwar wieder zugreifen, aber nicht auf die anderen Laufwerke... hat jemand eine Ahnung was ich machen kann? Hier mal das HijackThis-Logfile, vielleicht kann jemand ja was erkennen: HiJackthis Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 07:19:04, on 19.09.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\WINDOWS\system32\CTHELPER.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\RapidSolution\Tunebite\Tunebite.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\TechniSat DVB\bin\Server4PC.exe C:\Programme\UltraMon\UltraMon.exe C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE C:\Programme\UltraMon\UltraMonTaskbar.exe C:\Programme\TechniSat DVB\bin\Server4PC.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://windowsupdate.microsoft.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [AsusStartupHelp] C:\Programme\ASUS\AASP\1.00.15\AsRunHelp.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [Tunebite] C:\Programme\RapidSolution\Tunebite\Tunebite.exe -tray O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: Server4PC.lnk = C:\Programme\TechniSat DVB\bin\Server4PC.exe O4 - Global Startup: UltraMon.lnk = ? O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1206968732406 O17 - HKLM\System\CCS\Services\Tcpip\..\{65D3ECEA-B522-46D9-96C2-AC0914D01733}: NameServer = 192.168.1.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{AE5C6B7E-D83D-48D2-AED8-D47E6BA0BA34}: NameServer = 192.168.1.1 O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Adobe Version Cue CS3 {de_DE} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 10983 bytes Besten dank Lapje |
19.09.2008, 06:41 | #2 |
| Resycled\boot.com Ist Keine Zulässige Win32-anwendung Habe gerade nochwas rausgefunden:
__________________Habe ja - -wie ich geschrieben habe - in auf Laufwerk einen Ordner namens "resycled". Ich habe auf jedem Laufwerk aber auch noch eine autorun.inf wo folgendes drinsteht (habe ich mir schon fast gedacht) [autorun] shellexecute="resycled\boot.com e:" shell\Open\command="resycled\boot.com e:" shell=Open e: ist das Laufwerk auf dem ich das gefunden habe. Wenn ich das ganze lösche und neu starte, dann funzt es wieder...weiß aber natürlich nicht wie lange...und ob sich das FIle wieder dahinschleicht... Vielleicht hilft es ja zu erkennen wo es her kommt...und wenn jemand das gleiche Problem haben sollte weiß er wie er zumindest erst mal wieder auf die laufwerke zugreifen kann... Gruß Lapje |
19.09.2008, 14:46 | #3 |
| Resycled\boot.com Ist Keine Zulässige Win32-anwendung[edit] Bitte eröffne, wie jeder andere hier auch, für dein Problem eine eigenes Thema. Nur so wird sichergestellt as jedem User übersichtlich und individuell geholfen werden kann. Danke. [/edit] Geändert von Sunny (19.09.2008 um 15:04 Uhr) Grund: geändert von [GC]Sunny |
19.09.2008, 14:48 | #4 |
Resycled\boot.com Ist Keine Zulässige Win32-anwendung Hi monrose1, bitte erstell für dein Problem einen eigenen Thread, da es sonst zu Verwechslungen kommen kann.
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
03.11.2008, 15:29 | #5 |
| Resycled\boot.com Ist Keine Zulässige Win32-anwendung Ich hatte das selbe problem, nur das bei auto-inf und boot.com und seine ordner nirgends angezeigt wurden, hier meine anleitung falls ihr das selbe problem habt: - FAR runterladen - regedit in "ausführen" eingeben und nach autorun.inf und boot.com suchen und alles löschen was sich darauf findet (am besten die überordner auch, wenn es der einzige reg im ordner ist) - far starten (muss natürlich installiert werden ) - und dann laufwerksbuchstaben und ":" ohne " eingebe (beispiel: C: oder D - jetzt zeigt euch far den gesamten inhalt an und da kann man autorun.inf und $resycl... und resycled sehen - einfach mit den pfeiltasten den balken auf sie bewegen und mit F8 löschen - dann nochmal im roten fenster auf dem linken button das löschen bestätigen - jetzt solltet ihr von dem mist befreit sein! zur sicherheit rechner neustarten und nochmal in der regisrty datenbank danach suchen und mit far nachschauen obs weg ist. jetzt hatte ich das problem das mein desktop inhalt verschwunden war,a lso einfach rechtsklick auf die freie fläche und symbole anordnen nach und desktopsymbole anzeigen ich lasse far weiterhin auf meinem system, das ist nämlich n richtig geiles oldschool programm, mit dem man auch im normalen betriebsmodus sachen wie im abgesichertenmodus ändern kann und nochwas, wenn ihr 2 festplatten habt und eins ist befallen und ihr das system formatiert und neuinstalliert, dann kann es sehr gut sein, dass auch auf der adneren festplatte was sein kann, also imerm vorsichtig sein und vorher alles rauslöschen ich hoffe ich konnte einigen von euch damit helfen, mein account kann gelöscht werden da ich nur mal leuten wie mir, die sich 3 tage abgequält haben etwas abhile verschaffen wollte. ob mir jemand eventuel die adresse von dem programmierer von diesem blöden virus zuokmmen lassen kann, damit ich ihm meine beiden freunde righty und lefty vorstellen darf, die brennen förmlich ihn zu sehen |
17.01.2009, 13:55 | #6 |
| Resycled\boot.com Ist Keine Zulässige Win32-anwendung der tip von mister power ist sehr hilfreich, allerdings sollte man auch stiks mit der methode untersuchen, denn diese werden auch infiziert. wenn man alles nach der mister power methode beseitigt hat, wäre ein virenscan noch einmal angebracht. :aplaus: |
Themen zu Resycled\boot.com Ist Keine Zulässige Win32-anwendung |
.com, abgesicherten modus, adobe, antivir, antivirus, application, avg, avira, bho, bonjour, boot-cd, computer, disk director, einstellungen, excel, firefox, google, handel, hijack, hkus\s-1-5-18, internet, internet explorer, konvertieren, mozilla, pdf-datei, pop-up-blocker, problem, rundll, schreibfehler, server, software, system, tuneup.defrag, urlsearchhook, win32-anwendung, windows, windows xp |