Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: resycled\boot.com ist keine zulässige win32-anwendung

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 19.10.2008, 13:51   #1
6@110R6
 
resycled\boot.com ist keine zulässige win32-anwendung - Ausrufezeichen

resycled\boot.com ist keine zulässige win32-anwendung



Hallo ersma, ich habe das problem, dass wenn ich auf ne festplatte klicke die meldung "resycled\boot.com ist keine zulaessige win32-anwendung" erscheint. ich habe mich "schlau" gemacht und das hier von klangzentral gefunden:


als erstes laden wir uns das kleine aber feine programm namens " Malwarebytes' Anti-Malware " aus'm netz und installieren es und machen nach der installation einen kompletten system und festplatten scan.
alles was gefunden wird an würmern viren usw. löschen !!!
nun ist der obligatorische
- neustart erforderlich -
wenn der rechner neu bootet die ganze zeit F8 drücken
um in den abgesicherten modus hochzufahren.
dann öffnen wir eine platte / partition nicht wie gewohnt mit doppelklick sondern per explorer.
in der explorerleiste gehen wir auf extras dann auf ordneroptionen / ansicht klicken und einen haken bei versteckte dateien und ordner anzeigen setzen!!!
jetzt schauen wir mal ob wir die autorun.inf und den ordner mit dem namen resycled finden. in dem ordner resycled\boot.com liegt die boot.exe datei. hierzu gleich mehr, da wir zu aller erst die .inf löschen müssen und gehen wie folgt vor:
die autorun.inf ist schreibgeschützt, daher eben den schreibschutz mittels rechtsklick auf die .inf datei und den haken bei schreibschutz entfernen. also haken wegmachen!°
dann öffnen wir die .inf datei mit dem editor (rechtsklick, dann öffnen mit editor) dort steht dann folgendes:
[autorun]
shellexecute="resycled\boot.com e:" <<<<---- e: wäre an diesem Bsp. der Laufwerksbuchtabe!!!!
shell\Open\command="resycled\boot.com e:"
shell=Open
... diesen eintrag löschen wir nun indem wir alles makieren und die ***shift taste gedrückt halten*** und entfernen drücken***.
die nun leere .inf datei wieder speichern und danach die .inf mit ebensolcher shift und entfernen tasten kombi löschen!!!
(ZUR INFO: bei der tasten kombi landen die dateien nicht
im papierkorb, sondern werden unwiederruflich gelöscht!!!)
nun löschen wir den ordner resycled oder recycled wo die boot datei drin steckt mit der gleichen tasten kombi wie eben beschrieben. bitte nicht verwechseln mit dem RECYCLER das ist der papierkorb!!!
dieses machen wir auf all unseren festplatten / partitionen / externen festplatten und usb sticks !°
nachdem wir die dateien autorun.inf auf jedem laufwerk geändert und gelöscht haben sowie die ebenfalls betroffenen ordner recycled/boot.com oder resycled/boot.com gelöscht haben, öffnen wir die registrierungsdatenbank indem wir nun auf START klicken, dann auf AUSFÜHREN klicken und dann regedit eingeben.
*** ANMERKUNG, wir sind immer noch im abgesicherten modus!!! ***
nun sind wir in der registrierung. dort suchen wir nach diesem eintrag:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Pornovid\CLSID
und löschen nun nur den eintrag pornovid mit der clsid!!!
wenn ihr alles so gemacht habt wie ich hier beschrieben habe, sollten wir an dieser stelle den rechner neu starten. also genz normal runterfahren und neustarten, gell!?
... und alle partitionen deiner /eurer festplatten sowie usb - sticks sollten von nun wieder gewohnt per doppelklick zu öffnen sein!!!!!!!!!



das hat auf meinem einen rechner funktioniert, auf dem anderen leider nicht, obwohl ich alles genauso gemacht hab. kann mir jemand vielleicht ne andere moeglichkeit nennen wie ich den virus loswerde?!
danke im vorraus

Alt 19.10.2008, 13:57   #2
myrtille
/// TB-Ausbilder
 
resycled\boot.com ist keine zulässige win32-anwendung - Standard

resycled\boot.com ist keine zulässige win32-anwendung



Hi,

Betriebssystem der einzelnen Rechner wäre sicherlich hilfreich und bitte in Farben schreiben, die man auch lesen kann.

lg myrtille
__________________

__________________

Alt 20.10.2008, 10:04   #3
6@110R6
 
resycled\boot.com ist keine zulässige win32-anwendung - Standard

resycled\boot.com ist keine zulässige win32-anwendung



beide haben windows xp service pack 2
__________________

Alt 20.10.2008, 12:06   #4
myrtille
/// TB-Ausbilder
 
resycled\boot.com ist keine zulässige win32-anwendung - Standard

resycled\boot.com ist keine zulässige win32-anwendung



Hi,

lade dir bitte Smitfraudfix herunter und arbeite die Schritte unter "Reinigung" ab.
Poste das Log anschließend hier.
Das sollte dein Problem eigentlich lösen.

lg myrtillle
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 23.10.2008, 16:12   #5
6@110R6
 
resycled\boot.com ist keine zulässige win32-anwendung - Standard

resycled\boot.com ist keine zulässige win32-anwendung



SmitFraudFix v2.366

Scan done at 17:13:10,59, 23.10.2008
Run from F:\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End




Gut, auf c: is das problem behoben aber auf den anderen partitionen nicht...was jez?


Alt 24.10.2008, 01:14   #6
myrtille
/// TB-Ausbilder
 
resycled\boot.com ist keine zulässige win32-anwendung - Standard

resycled\boot.com ist keine zulässige win32-anwendung



Dateien von hand löschen geht nicht?

Erstelle bitte ein Log mit RSIT. Es werden 2 Dateien erstellt (log.txt und info.txt). Poste den Inhalt beider Dateien hier. (Wenn die Dateien zu lange sind kannst du sie bei file-upload hochladen und die Links hier posten.)

lg myrtile
__________________
--> resycled\boot.com ist keine zulässige win32-anwendung

Alt 24.10.2008, 11:09   #7
6@110R6
 
resycled\boot.com ist keine zulässige win32-anwendung - Standard

resycled\boot.com ist keine zulässige win32-anwendung



welche dateien muss ich denn loeschen? ich steig da nich durch..

File-Upload.net - info.txt
File-Upload.net - log.txt

Alt 24.10.2008, 12:10   #8
myrtille
/// TB-Ausbilder
 
resycled\boot.com ist keine zulässige win32-anwendung - Standard

resycled\boot.com ist keine zulässige win32-anwendung



Hi,

was sind die Datenträger D: , F:, G:?
Sind das Platten oder auch USB-Sticks und Co?

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 24.10.2008, 14:49   #9
6@110R6
 
resycled\boot.com ist keine zulässige win32-anwendung - Standard

resycled\boot.com ist keine zulässige win32-anwendung



meine festplatte ist in 3 partitionen unterteilt: c,d,f. g ist ein usb-stick

Alt 24.10.2008, 17:57   #10
myrtille
/// TB-Ausbilder
 
resycled\boot.com ist keine zulässige win32-anwendung - Standard

resycled\boot.com ist keine zulässige win32-anwendung



Hi,
dann schließ bitte den USB-Stick an, während du den USB-Stick einsteckst unbedingt die Shiftaste gedrückt halten!

Arbeite (mit angeschlossenenm USB-Stick) folgendes ab:

Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
folders to delete:
C:\resycled
D:\resycled
F:\resycled
G:\resycled
registry keys to delete:
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{47a9be70-92dc-11dd-af05-fd6511996428}
         
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 27.10.2008, 17:36   #11
6@110R6
 
resycled\boot.com ist keine zulässige win32-anwendung - Standard

resycled\boot.com ist keine zulässige win32-anwendung



//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Mon Oct 27 17:25:39 2008

17:25:18: Error: Invalid registry syntax in command:
"HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line. (Registry key deletion mode)
17:25:21: Error: Invalid registry syntax in command:
"HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line. (Registry key deletion mode)
17:25:24: Error: Invalid registry syntax in command:
"HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line. (Registry key deletion mode)
17:25:27: Error: Invalid registry syntax in command:
"HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line. (Registry key deletion mode)
17:25:30: Error: Invalid registry syntax in command:
"HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{47a9be70-92dc-11dd-af05-fd6511996428}"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line. (Registry key deletion mode)


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: folder "C:\resycled" not found!
Deletion of folder "C:\resycled" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Folder "D:\resycled" deleted successfully.
Folder "F:\resycled" deleted successfully.

Error: could not open folder "G:\resycled"
Deletion of folder "G:\resycled" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Completed script processing.

*******************

Finished! Terminate.

Geändert von 6@110R6 (27.10.2008 um 17:54 Uhr)

Alt 27.10.2008, 17:38   #12
6@110R6
 
resycled\boot.com ist keine zulässige win32-anwendung - Standard

resycled\boot.com ist keine zulässige win32-anwendung



wieso sind da jez immer fehler aufgetreten? und wenn ich jez auf eine festplatte auf dem arbeitsplatz klicke dann bekomm ich imemr die meldung dass der ordner resycled nicht gefunden werden kann.?! und warum musste ich jez die shfit taste gedruekt halten?

Geändert von 6@110R6 (27.10.2008 um 17:54 Uhr)

Alt 27.10.2008, 20:21   #13
myrtille
/// TB-Ausbilder
 
resycled\boot.com ist keine zulässige win32-anwendung - Standard

resycled\boot.com ist keine zulässige win32-anwendung



Hi,

die Fehlermeldung sind meiner Dummheit zuzuschreiben. Ich mach immer wieder dieselben Fehler... es ist eine Freude.

Die Shiftaste solltest du drücken, damit beim Einfügen von deinem USB-Stick nichts ausgeführt wird, sonst wärst du eventuell direkt wieder komplett infiziert gewesen.

Die Meldung beim Doppelkicken kommt wegen meiner Dummheit oben.

Führe bitte die angehängte Datei aus, es sollte ein Fenster aufgehen, das Fragt ob man die Änderungen der Registry hinzufügen will. Bestätige dies bitte.

Berichte wie es deinem Rechner danach geht.

lg myrtille
Angehängte Dateien
Dateityp: reg tb.reg (489 Bytes, 448x aufgerufen)
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 28.10.2008, 21:15   #14
6@110R6
 
resycled\boot.com ist keine zulässige win32-anwendung - Standard

resycled\boot.com ist keine zulässige win32-anwendung



es is immer noch so, dass wenn ich auf die festplatten(partitionen) klicke die meldung kommt dass resycled\boot.com nich gefunden werden kann...

Alt 29.10.2008, 02:42   #15
myrtille
/// TB-Ausbilder
 
resycled\boot.com ist keine zulässige win32-anwendung - Standard

resycled\boot.com ist keine zulässige win32-anwendung



Hi,

Erstelle bitte nochmal ein Log mit RSIT. Es werden 2 Dateien erstellt (log.txt und info.txt). Poste den Inhalt beider Dateien hier. (Wenn die Dateien zu lange sind kannst du sie bei file-upload hochladen und die Links hier posten.)

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Antwort

Themen zu resycled\boot.com ist keine zulässige win32-anwendung
.com, abgesicherten modus, anzeige, autorun.inf, dateien, festplatte, folge, gelöscht, installation, löschen, malwarebytes, malwarebytes' anti-malware, neustart, neustarten, problem, programm, rechtsklick, regedit, registrierungsdatenbank, resycled\boot.com, software, starten., suche, system, usb, versteckte dateien, viren, viren usw., virus, wegmachen, win32-anwendung




Ähnliche Themen: resycled\boot.com ist keine zulässige win32-anwendung


  1. ~.exe ist keine zulässige Win32-Anwendung.
    Plagegeister aller Art und deren Bekämpfung - 08.05.2011 (1)
  2. Resycled\boot.com keine win 32 anwendung
    Log-Analyse und Auswertung - 25.02.2009 (3)
  3. resycled\boot.com ist keine zulässige win32-anwendung
    Plagegeister aller Art und deren Bekämpfung - 19.01.2009 (2)
  4. Resycled\boot.com Ist Keine Zulässige Win32-anwendung
    Log-Analyse und Auswertung - 17.01.2009 (5)
  5. resycled boot comist keine zulässige win32 Anwendung
    Plagegeister aller Art und deren Bekämpfung - 14.01.2009 (2)
  6. resycled\boot.com ist keine zulässige Win32-Anwendung.
    Plagegeister aller Art und deren Bekämpfung - 02.01.2009 (1)
  7. Nach Neuinstallation: "Resycled\boot.com ist keine zulässige Win32-Anwendung"
    Log-Analyse und Auswertung - 21.12.2008 (1)
  8. Problem: resycled\boot.com ist keine zulässige Win32 Anwendung
    Log-Analyse und Auswertung - 16.12.2008 (0)
  9. "resycled\boot.com ist keine zulaessige win32-anwendung"
    Log-Analyse und Auswertung - 12.12.2008 (9)
  10. resycled\boot.com ist keine zulässige Win32 Anwendung
    Log-Analyse und Auswertung - 11.12.2008 (27)
  11. resycled/boot.com ist keine zulässige win32 Funktion
    Log-Analyse und Auswertung - 04.12.2008 (6)
  12. recycled\boot.com ist kein zulässige Win32 Anwendung
    Log-Analyse und Auswertung - 29.11.2008 (1)
  13. resylcled\boot.com ist keine zulässige Win32-Anwendung & andere Probleme
    Mülltonne - 26.11.2008 (0)
  14. Resycled\boot.com Ist Keine Zulässige Win32-anwendung
    Mülltonne - 19.09.2008 (0)
  15. F:\ist keine zulässige Win32-Anwendung
    Plagegeister aller Art und deren Bekämpfung - 24.06.2008 (5)
  16. *.exe ist keine zulässige Win32-Anwendung
    Plagegeister aller Art und deren Bekämpfung - 12.03.2008 (19)
  17. Keine zulässige Win32 Anwendung?
    Plagegeister aller Art und deren Bekämpfung - 09.07.2006 (1)

Zum Thema resycled\boot.com ist keine zulässige win32-anwendung - Hallo ersma, ich habe das problem, dass wenn ich auf ne festplatte klicke die meldung "resycled\boot.com ist keine zulaessige win32-anwendung" erscheint. ich habe mich "schlau" gemacht und das hier von - resycled\boot.com ist keine zulässige win32-anwendung...
Archiv
Du betrachtest: resycled\boot.com ist keine zulässige win32-anwendung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.