|
Log-Analyse und Auswertung: resycled\boot.com ist keine zulässige win32-anwendungWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
19.10.2008, 13:51 | #1 |
| resycled\boot.com ist keine zulässige win32-anwendung Hallo ersma, ich habe das problem, dass wenn ich auf ne festplatte klicke die meldung "resycled\boot.com ist keine zulaessige win32-anwendung" erscheint. ich habe mich "schlau" gemacht und das hier von klangzentral gefunden: als erstes laden wir uns das kleine aber feine programm namens " Malwarebytes' Anti-Malware " aus'm netz und installieren es und machen nach der installation einen kompletten system und festplatten scan. alles was gefunden wird an würmern viren usw. löschen !!! nun ist der obligatorische - neustart erforderlich - wenn der rechner neu bootet die ganze zeit F8 drücken um in den abgesicherten modus hochzufahren. dann öffnen wir eine platte / partition nicht wie gewohnt mit doppelklick sondern per explorer. in der explorerleiste gehen wir auf extras dann auf ordneroptionen / ansicht klicken und einen haken bei versteckte dateien und ordner anzeigen setzen!!! jetzt schauen wir mal ob wir die autorun.inf und den ordner mit dem namen resycled finden. in dem ordner resycled\boot.com liegt die boot.exe datei. hierzu gleich mehr, da wir zu aller erst die .inf löschen müssen und gehen wie folgt vor: die autorun.inf ist schreibgeschützt, daher eben den schreibschutz mittels rechtsklick auf die .inf datei und den haken bei schreibschutz entfernen. also haken wegmachen!° dann öffnen wir die .inf datei mit dem editor (rechtsklick, dann öffnen mit editor) dort steht dann folgendes: [autorun] shellexecute="resycled\boot.com e:" <<<<---- e: wäre an diesem Bsp. der Laufwerksbuchtabe!!!! shell\Open\command="resycled\boot.com e:" shell=Open ... diesen eintrag löschen wir nun indem wir alles makieren und die ***shift taste gedrückt halten*** und entfernen drücken***. die nun leere .inf datei wieder speichern und danach die .inf mit ebensolcher shift und entfernen tasten kombi löschen!!! (ZUR INFO: bei der tasten kombi landen die dateien nicht im papierkorb, sondern werden unwiederruflich gelöscht!!!) nun löschen wir den ordner resycled oder recycled wo die boot datei drin steckt mit der gleichen tasten kombi wie eben beschrieben. bitte nicht verwechseln mit dem RECYCLER das ist der papierkorb!!! dieses machen wir auf all unseren festplatten / partitionen / externen festplatten und usb sticks !° nachdem wir die dateien autorun.inf auf jedem laufwerk geändert und gelöscht haben sowie die ebenfalls betroffenen ordner recycled/boot.com oder resycled/boot.com gelöscht haben, öffnen wir die registrierungsdatenbank indem wir nun auf START klicken, dann auf AUSFÜHREN klicken und dann regedit eingeben. *** ANMERKUNG, wir sind immer noch im abgesicherten modus!!! *** nun sind wir in der registrierung. dort suchen wir nach diesem eintrag: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Pornovid\CLSID und löschen nun nur den eintrag pornovid mit der clsid!!! wenn ihr alles so gemacht habt wie ich hier beschrieben habe, sollten wir an dieser stelle den rechner neu starten. also genz normal runterfahren und neustarten, gell!? ... und alle partitionen deiner /eurer festplatten sowie usb - sticks sollten von nun wieder gewohnt per doppelklick zu öffnen sein!!!!!!!!! das hat auf meinem einen rechner funktioniert, auf dem anderen leider nicht, obwohl ich alles genauso gemacht hab. kann mir jemand vielleicht ne andere moeglichkeit nennen wie ich den virus loswerde?! danke im vorraus |
19.10.2008, 13:57 | #2 |
/// TB-Ausbilder | resycled\boot.com ist keine zulässige win32-anwendung Hi,
__________________Betriebssystem der einzelnen Rechner wäre sicherlich hilfreich und bitte in Farben schreiben, die man auch lesen kann. lg myrtille
__________________ |
20.10.2008, 10:04 | #3 |
| resycled\boot.com ist keine zulässige win32-anwendung beide haben windows xp service pack 2
__________________ |
20.10.2008, 12:06 | #4 |
/// TB-Ausbilder | resycled\boot.com ist keine zulässige win32-anwendung Hi, lade dir bitte Smitfraudfix herunter und arbeite die Schritte unter "Reinigung" ab. Poste das Log anschließend hier. Das sollte dein Problem eigentlich lösen. lg myrtillle
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
23.10.2008, 16:12 | #5 |
| resycled\boot.com ist keine zulässige win32-anwendung SmitFraudFix v2.366 Scan done at 17:13:10,59, 23.10.2008 Run from F:\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» VACFix VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix S!Ri's WS2Fix: LSP not Found. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» IEDFix IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» 404Fix 404Fix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix AntiXPVSTFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» RK »»»»»»»»»»»»»»»»»»»»»»»» DNS »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End Gut, auf c: is das problem behoben aber auf den anderen partitionen nicht...was jez? |
24.10.2008, 01:14 | #6 |
/// TB-Ausbilder | resycled\boot.com ist keine zulässige win32-anwendung Dateien von hand löschen geht nicht? Erstelle bitte ein Log mit RSIT. Es werden 2 Dateien erstellt (log.txt und info.txt). Poste den Inhalt beider Dateien hier. (Wenn die Dateien zu lange sind kannst du sie bei file-upload hochladen und die Links hier posten.) lg myrtile
__________________ --> resycled\boot.com ist keine zulässige win32-anwendung |
24.10.2008, 11:09 | #7 |
| resycled\boot.com ist keine zulässige win32-anwendung welche dateien muss ich denn loeschen? ich steig da nich durch.. File-Upload.net - info.txt File-Upload.net - log.txt |
24.10.2008, 12:10 | #8 |
/// TB-Ausbilder | resycled\boot.com ist keine zulässige win32-anwendung Hi, was sind die Datenträger D: , F:, G:? Sind das Platten oder auch USB-Sticks und Co? lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
24.10.2008, 14:49 | #9 |
| resycled\boot.com ist keine zulässige win32-anwendung meine festplatte ist in 3 partitionen unterteilt: c,d,f. g ist ein usb-stick |
24.10.2008, 17:57 | #10 |
/// TB-Ausbilder | resycled\boot.com ist keine zulässige win32-anwendung Hi, dann schließ bitte den USB-Stick an, während du den USB-Stick einsteckst unbedingt die Shiftaste gedrückt halten! Arbeite (mit angeschlossenenm USB-Stick) folgendes ab: Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code:
ATTFilter folders to delete: C:\resycled D:\resycled F:\resycled G:\resycled registry keys to delete: HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{47a9be70-92dc-11dd-af05-fd6511996428}
lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
27.10.2008, 17:36 | #11 |
| resycled\boot.com ist keine zulässige win32-anwendung ////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Platform: Windows XP (build 2600, Service Pack 2) Mon Oct 27 17:25:39 2008 17:25:18: Error: Invalid registry syntax in command: "HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C" Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program. Skipping line. (Registry key deletion mode) 17:25:21: Error: Invalid registry syntax in command: "HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D" Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program. Skipping line. (Registry key deletion mode) 17:25:24: Error: Invalid registry syntax in command: "HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F" Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program. Skipping line. (Registry key deletion mode) 17:25:27: Error: Invalid registry syntax in command: "HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G" Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program. Skipping line. (Registry key deletion mode) 17:25:30: Error: Invalid registry syntax in command: "HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{47a9be70-92dc-11dd-af05-fd6511996428}" Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program. Skipping line. (Registry key deletion mode) ////////////////////////////////////////// Logfile of The Avenger Version 2.0, (c) by Swandog46 Swandog46's Public Anti-Malware Tools Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: folder "C:\resycled" not found! Deletion of folder "C:\resycled" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Folder "D:\resycled" deleted successfully. Folder "F:\resycled" deleted successfully. Error: could not open folder "G:\resycled" Deletion of folder "G:\resycled" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Completed script processing. ******************* Finished! Terminate. Geändert von 6@110R6 (27.10.2008 um 17:54 Uhr) |
27.10.2008, 17:38 | #12 |
| resycled\boot.com ist keine zulässige win32-anwendung wieso sind da jez immer fehler aufgetreten? und wenn ich jez auf eine festplatte auf dem arbeitsplatz klicke dann bekomm ich imemr die meldung dass der ordner resycled nicht gefunden werden kann.?! und warum musste ich jez die shfit taste gedruekt halten? Geändert von 6@110R6 (27.10.2008 um 17:54 Uhr) |
27.10.2008, 20:21 | #13 |
/// TB-Ausbilder | resycled\boot.com ist keine zulässige win32-anwendung Hi, die Fehlermeldung sind meiner Dummheit zuzuschreiben. Ich mach immer wieder dieselben Fehler... es ist eine Freude. Die Shiftaste solltest du drücken, damit beim Einfügen von deinem USB-Stick nichts ausgeführt wird, sonst wärst du eventuell direkt wieder komplett infiziert gewesen. Die Meldung beim Doppelkicken kommt wegen meiner Dummheit oben. Führe bitte die angehängte Datei aus, es sollte ein Fenster aufgehen, das Fragt ob man die Änderungen der Registry hinzufügen will. Bestätige dies bitte. Berichte wie es deinem Rechner danach geht. lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
28.10.2008, 21:15 | #14 |
| resycled\boot.com ist keine zulässige win32-anwendung es is immer noch so, dass wenn ich auf die festplatten(partitionen) klicke die meldung kommt dass resycled\boot.com nich gefunden werden kann... |
29.10.2008, 02:42 | #15 |
/// TB-Ausbilder | resycled\boot.com ist keine zulässige win32-anwendung Hi, Erstelle bitte nochmal ein Log mit RSIT. Es werden 2 Dateien erstellt (log.txt und info.txt). Poste den Inhalt beider Dateien hier. (Wenn die Dateien zu lange sind kannst du sie bei file-upload hochladen und die Links hier posten.) lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
Themen zu resycled\boot.com ist keine zulässige win32-anwendung |
.com, abgesicherten modus, anzeige, autorun.inf, dateien, festplatte, folge, gelöscht, installation, löschen, malwarebytes, malwarebytes' anti-malware, neustart, neustarten, problem, programm, rechtsklick, regedit, registrierungsdatenbank, resycled\boot.com, software, starten., suche, system, usb, versteckte dateien, viren, viren usw., virus, wegmachen, win32-anwendung |