Hallo ersma, ich habe das problem, dass wenn ich auf ne festplatte klicke die meldung "resycled\boot.com ist keine zulaessige win32-anwendung" erscheint. ich habe mich "schlau" gemacht und das hier von klangzentral gefunden:


als erstes laden wir uns das kleine aber feine programm namens " Malwarebytes' Anti-Malware " aus'm netz und installieren es und machen nach der installation einen kompletten system und festplatten scan.
alles was gefunden wird an würmern viren usw. löschen !!!
nun ist der obligatorische
- neustart erforderlich -
wenn der rechner neu bootet die ganze zeit F8 drücken
um in den abgesicherten modus hochzufahren.
dann öffnen wir eine platte / partition nicht wie gewohnt mit doppelklick sondern per explorer.
in der explorerleiste gehen wir auf extras dann auf ordneroptionen / ansicht klicken und einen haken bei versteckte dateien und ordner anzeigen setzen!!!
jetzt schauen wir mal ob wir die autorun.inf und den ordner mit dem namen resycled finden. in dem ordner resycled\boot.com liegt die boot.exe datei. hierzu gleich mehr, da wir zu aller erst die .inf löschen müssen und gehen wie folgt vor:
die autorun.inf ist schreibgeschützt, daher eben den schreibschutz mittels rechtsklick auf die .inf datei und den haken bei schreibschutz entfernen. also haken wegmachen!°
dann öffnen wir die .inf datei mit dem editor (rechtsklick, dann öffnen mit editor) dort steht dann folgendes:
[autorun]
shellexecute="resycled\boot.com e:" <<<<---- e: wäre an diesem Bsp. der Laufwerksbuchtabe!!!!
shell\Open\command="resycled\boot.com e:"
shell=Open
... diesen eintrag löschen wir nun indem wir alles makieren und die ***shift taste gedrückt halten*** und entfernen drücken***.
die nun leere .inf datei wieder speichern und danach die .inf mit ebensolcher shift und entfernen tasten kombi löschen!!!
(ZUR INFO: bei der tasten kombi landen die dateien nicht
im papierkorb, sondern werden unwiederruflich gelöscht!!!)
nun löschen wir den ordner resycled oder recycled wo die boot datei drin steckt mit der gleichen tasten kombi wie eben beschrieben. bitte nicht verwechseln mit dem RECYCLER das ist der papierkorb!!!
dieses machen wir auf all unseren festplatten / partitionen / externen festplatten und usb sticks !°
nachdem wir die dateien autorun.inf auf jedem laufwerk geändert und gelöscht haben sowie die ebenfalls betroffenen ordner recycled/boot.com oder resycled/boot.com gelöscht haben, öffnen wir die registrierungsdatenbank indem wir nun auf START klicken, dann auf AUSFÜHREN klicken und dann regedit eingeben.
*** ANMERKUNG, wir sind immer noch im abgesicherten modus!!! ***
nun sind wir in der registrierung. dort suchen wir nach diesem eintrag:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Pornovid\CLSID
und löschen nun nur den eintrag pornovid mit der clsid!!!
wenn ihr alles so gemacht habt wie ich hier beschrieben habe, sollten wir an dieser stelle den rechner neu starten. also genz normal runterfahren und neustarten, gell!?
... und alle partitionen deiner /eurer festplatten sowie usb - sticks sollten von nun wieder gewohnt per doppelklick zu öffnen sein!!!!!!!!!


das hat auf meinem einen rechner funktioniert, auf dem anderen leider nicht, obwohl ich alles genauso gemacht hab. kann mir jemand vielleicht ne andere moeglichkeit nennen wie ich den virus loswerde?!
danke im vorraus

Hi,

Betriebssystem der einzelnen Rechner wäre sicherlich hilfreich und bitte in Farben schreiben, die man auch lesen kann.

lg myrtille

beide haben windows xp service pack 2

Hi,

lade dir bitte Smitfraudfix herunter und arbeite die Schritte unter "Reinigung" ab.
Poste das Log anschließend hier.
Das sollte dein Problem eigentlich lösen.

lg myrtillle

SmitFraudFix v2.366

Scan done at 17:13:10,59, 23.10.2008
Run from F:\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End




Gut, auf c: is das problem behoben aber auf den anderen partitionen nicht...was jez?

Dateien von hand löschen geht nicht?

Erstelle bitte ein Log mit RSIT. Es werden 2 Dateien erstellt (log.txt und info.txt). Poste den Inhalt beider Dateien hier. (Wenn die Dateien zu lange sind kannst du sie bei file-upload hochladen und die Links hier posten.)

lg myrtile

welche dateien muss ich denn loeschen? ich steig da nich durch..

File-Upload.net - info.txt
File-Upload.net - log.txt

Hi,

was sind die Datenträger D: , F:, G:?
Sind das Platten oder auch USB-Sticks und Co?

lg myrtille

meine festplatte ist in 3 partitionen unterteilt: c,d,f. g ist ein usb-stick

Hi,
dann schließ bitte den USB-Stick an, während du den USB-Stick einsteckst unbedingt die Shiftaste gedrückt halten!

Arbeite (mit angeschlossenenm USB-Stick) folgendes ab:

Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

folders to delete:
C:\resycled
D:\resycled
F:\resycled
G:\resycled
registry keys to delete:
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{47a9be70-92dc-11dd-af05-fd6511996428}
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

lg myrtille

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Mon Oct 27 17:25:39 2008

17:25:18: Error: Invalid registry syntax in command:
"HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line. (Registry key deletion mode)
17:25:21: Error: Invalid registry syntax in command:
"HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line. (Registry key deletion mode)
17:25:24: Error: Invalid registry syntax in command:
"HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line. (Registry key deletion mode)
17:25:27: Error: Invalid registry syntax in command:
"HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line. (Registry key deletion mode)
17:25:30: Error: Invalid registry syntax in command:
"HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{47a9be70-92dc-11dd-af05-fd6511996428}"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line. (Registry key deletion mode)


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: folder "C:\resycled" not found!
Deletion of folder "C:\resycled" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Folder "D:\resycled" deleted successfully.
Folder "F:\resycled" deleted successfully.

Error: could not open folder "G:\resycled"
Deletion of folder "G:\resycled" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Completed script processing.

*******************

Finished! Terminate.

wieso sind da jez immer fehler aufgetreten? und wenn ich jez auf eine festplatte auf dem arbeitsplatz klicke dann bekomm ich imemr die meldung dass der ordner resycled nicht gefunden werden kann.?! und warum musste ich jez die shfit taste gedruekt halten?

Hi,

die Fehlermeldung sind meiner Dummheit zuzuschreiben. Ich mach immer wieder dieselben Fehler... es ist eine Freude.

Die Shiftaste solltest du drücken, damit beim Einfügen von deinem USB-Stick nichts ausgeführt wird, sonst wärst du eventuell direkt wieder komplett infiziert gewesen.

Die Meldung beim Doppelkicken kommt wegen meiner Dummheit oben.

Führe bitte die angehängte Datei aus, es sollte ein Fenster aufgehen, das Fragt ob man die Änderungen der Registry hinzufügen will. Bestätige dies bitte.

Berichte wie es deinem Rechner danach geht.

lg myrtille

es is immer noch so, dass wenn ich auf die festplatten(partitionen) klicke die meldung kommt dass resycled\boot.com nich gefunden werden kann...

Hi,

Erstelle bitte nochmal ein Log mit RSIT. Es werden 2 Dateien erstellt (log.txt und info.txt). Poste den Inhalt beider Dateien hier. (Wenn die Dateien zu lange sind kannst du sie bei file-upload hochladen und die Links hier posten.)

lg myrtille