|
resycled\boot.com konnte nicht gefunden werden... Hallo, es fing alles damit an, dass mein PC sich einen Virus eingefangen hatte, bei dem nach kuerzer Zeit ein Bluescreen erschien. Ich habe versucht Antivir zu installeieren, konnte aber nicht, weil die Setup Datei verändert wurde. Danach kam der Bluescreen noch bevor ich in den Windows reinkam, so dass ich nur noch über den Abgesicherten Modus reinkam. Gestern hatte ich die Idee Windows auf eine andere "Übergangsfestplatte" zu installieren. Habe ich dann auch gemacht, danach habe ich Antivir auf diese installiert und meine eigentliche Festplatte wurde dann zum Laufwerk E. Habe einen Scan auf das Laufwerk E gemacht, bei dem ca. 1200 Dateien gefunden wurden. Habe alles gelöscht und dachte, dass die Festplatte wieder fit wäre. So, jetzt habe ich folgendes Problem: Wenn ich jetzt mein PC mit der Festplatte starte, die infiziert war, komme ich nicht mehr in den Windows, weder normal, noch im Abgesicherten Modus. Nachdem ich mein Benutzername und Password eingebe, werden die Benutzereinstellungen geladen, doch dann erfolgt sofort die Abmeldung und ich komme wieder auf die Stelle wo ich Benutzername und Password eingeben muss. Wenn ich den PC mit der Übergangsfestplatte starte, ist meine eigentliche Festplatte als Laufwerk E vorhanden, wenn ich aber drauf doppelklicke kommt die Meldung resycled\boot.com konnte nicht gefunden werden. Kann mir jemand bitte helfen? Danke im Voraus. |
Hallo und :hallo: Stecke alles, das du jemals mit dem Computer verbunden hast, wie Kamera, Handy, Speicherkarten, Memorysticks, externe Laufwerke, ... vor dem nächsten Scan an. ComboFix Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert. Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. ciao, andreas |
Danke für die Antwort. Hier ist der Bericht vom ComboFix Dingens. Mein Windows ist auf französich, falls Sie kein französisch verstehen und etwas übersetzt bekommen wollen, werde ich selbstverständlichen für Sie übersetzen. Also: ComboFix 09-04-25.A1 - Mikael 25/04/2009 19:43.1 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.1.1252.33.1036.18.2047.1780 [GMT 2:00] Lancé depuis: c:\documents and settings\Mikael\Bureau\ComboFix.exe * Un nouveau point de restauration a été créé AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !! . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . E:\Autorun.inf E:\resycled . ((((((((((((((((((((((((((((( Fichiers créés du 2009-05-25 au 2009-4-25 )))))))))))))))))))))))))))))))))))) . 2009-04-25 13:01 . 2009-04-25 13:01 -------- d-----w c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com 2009-04-25 13:00 . 2009-04-25 13:00 -------- d-----w c:\documents and settings\Mikael\Application Data\SUPERAntiSpyware.com 2009-04-25 12:38 . 2009-04-25 12:38 -------- d-----w c:\documents and settings\Mikael\Application Data\Malwarebytes 2009-04-25 12:38 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys 2009-04-25 12:38 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys 2009-04-25 12:38 . 2009-04-25 12:38 -------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes 2009-04-25 09:51 . 2009-04-25 09:51 -------- d-----w c:\documents and settings\Mikael\Local Settings\Application Data\Identities 2009-04-25 02:02 . 2009-04-25 00:18 237 ----a-w c:\windows\system32\$winnt$.inf . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-04-25 16:32 . 2009-04-25 16:32 -------- d-----w c:\program files\CCleaner 2009-04-25 13:00 . 2009-04-25 13:00 -------- d-----w c:\program files\SUPERAntiSpyware 2009-04-25 13:00 . 2009-04-25 13:00 -------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard 2009-04-25 12:38 . 2009-04-25 12:38 -------- d-----w c:\program files\Malwarebytes' Anti-Malware 2009-04-25 00:31 . 2009-04-25 00:31 -------- d-----w c:\program files\Avira 2009-04-25 00:31 . 2009-04-25 00:31 -------- d-----w c:\documents and settings\All Users\Application Data\Avira 2009-04-25 00:25 . 2002-08-30 12:00 48616 ----a-w c:\windows\system32\perfc00C.dat 2009-04-25 00:25 . 2002-08-30 12:00 367658 ----a-w c:\windows\system32\perfh00C.dat 2009-04-25 00:17 . 2009-04-25 00:17 -------- d-----w c:\program files\microsoft frontpage 2009-04-25 00:17 . 2009-04-25 00:17 558142 ----a-w c:\windows\java\Packages\01ZZVBLN.ZIP 2009-04-25 00:17 . 2009-04-25 00:17 2678 ----a-w c:\windows\java\Packages\Data\VL31NXZR.DAT 2009-04-25 00:17 . 2009-04-25 00:17 2678 ----a-w c:\windows\java\Packages\Data\KRVTB13Z.DAT 2009-04-25 00:17 . 2009-04-25 00:17 2678 ----a-w c:\windows\java\Packages\Data\4OC8TBTJ.DAT 2009-04-25 00:17 . 2009-04-25 00:17 2678 ----a-w c:\windows\java\Packages\Data\3X797N3V.DAT 2009-04-25 00:17 . 2009-04-25 00:17 2678 ----a-w c:\windows\java\Packages\Data\0CAZN177.DAT 2009-04-25 00:17 . 2009-04-25 00:17 155995 ----a-w c:\windows\java\Packages\CHN1RVF3.ZIP 2009-04-25 00:16 . 2009-04-25 00:16 70691 ----a-w c:\windows\PCHealth\HelpCtr\OfflineCache\index.dat 2009-04-25 00:14 . 2009-04-25 00:14 21892 ----a-w c:\windows\system32\emptyregdb.dat 2009-04-25 00:13 . 2009-04-25 00:13 -------- d-----w c:\program files\Services en ligne . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\ctfmon.exe" [2002-08-30 13312] "MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2002-08-20 1511453] "SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-03-23 1830128] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-08-30 13312] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon] 2008-12-22 10:05 356352 ----a-w c:\program files\SUPERAntiSpyware\SASWINLO.dll R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\System32\drivers\mbamswissarmy.sys [2009-04-06 38496] S0 avgntmgr;avgntmgr;c:\windows\SYSTEM32\DRIVERS\avgntmgr.sys [2009-02-13 22360] S1 avgntdd;avgntdd;c:\windows\system32\DRIVERS\avgntdd.sys [2009-02-13 45416] S1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\SASDIFSV.SYS [2009-03-23 9968] S1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.sys [2009-03-23 72944] S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-03-05 108289] S3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [2009-03-23 7408] . . ------- Examen supplémentaire ------- . IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-04-25 19:44 Windows 5.1.2600 Service Pack 1 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'winlogon.exe'(504) c:\windows\System32\ODBC32.dll c:\program files\SUPERAntiSpyware\SASWINLO.dll - - - - - - - > 'lsass.exe'(560) c:\windows\system32\MSVCRT40.dll c:\windows\system32\MSVCIRT.dll c:\windows\System32\dssenh.dll . Heure de fin: 2009-04-25 19:45 ComboFix-quarantined-files.txt 2009-04-25 17:45 Avant-CF: 75*782*270*976 octets libres Après-CF: 75*800*178*688 octets libres 100 Jetzt komm ich wieder mit einem Doppelklick auf die Festplatte, an der Stelle schon mal vielen Dank. Jetzt habe ich aber ein weiteres Problem, und zwar dass, wenn ich in den Ordner E:\Dokumente und Einstellungen\Administrator gehen will, kommt folgende Meldung: E:\Dokumente und Einstellungen\Administrator ist nicht verfügbar. Zugriff verweigert. |
Zitat:
Ich wünsche dir viel Erfolg! :) mischaccc P.S. Falls du weitere Fragen haben solltest, melde dich bitte. Gegebenfalls kann ich dir nur noch mit einem Eingriff helfen. |
Das mit resycled... hat sich bereits erledigt, danke trotzdem. Ich komme jetzt ins laufwerk rein mit einem Doppelklick. Aber vieleicht könntest du mir bei diesem Problem helfen: wenn ich den Ordner E:\Dokumente und Einstellungen\Administrator öffnen will, bekomme ich folgende Meldung (aus dem französischen übersetzt): E:\Dokumente und Einstellungen\Administrator ist nicht verfügbar. Zugriff verweigert. Ich bin hier Kein Zugriff auf "Dokumente und Einstellungen" - administrator mal nachschauen gegangen, aber bei mir funktioniert das nicht, weil bei mir nix von sicherheit steht...ich habe windows xp home edition und nicht professional, vieleicht liegt es daran... Wäre schön wenn mir dabei geholfen werden könnte. EDIT: "Auf E:\Dokumente und Einstellungen\Administrator kann nicht zugegriffen werden. Zugriff verweigert." heißt es in der deuteschen Version. |
1.) Start => Ausführen => combofix /u => OK 2.) Deinstalliere SuperAntiSpyware 3.) Klick in meiner Signatur auf "Für alle Neuen" und arbeite die komplette Liste unter Punkt 2 ab. Danach werde ich mich um die anderen Probleme kümmern. ciao, andreas |
Beim CCleaner soll mann bei Registry ja solange nach Fehlern suchen und diese beheben bis keine Fehler mehr gefunden werden. Am Schluss meldet das Dingen aber immer den selben Fehler: Ungenutzte Datei-Endungen. Soll ich trotzdem weitermachen oder schauen wie ich diesen Fehler loswerde? |
Wenn du das ganze 5mal getan hast, dann weiter mit der Liste. ciao, andreas |
OK hab' ich gemacht. Jetzt ist Anti-Malware am scannen. Kann ich in der Zwischenzeit schon mal HijackThis runterladen und installieren oder soll ich warten bis der Scan abgeschlossen ist? Denn der Scan dauert noch ein ganzes Weilchen... |
Kannst du parallel erledigen. Das gilt auch für Punkt 2d. ciao, andreas |
So, hier ist der logfile vom HijackThis. Code: Logfile of Trend Micro HijackThis v2.0.2 |
Zitat:
Zitat:
1.) Starte HJT => Do a system scan only => Markiere: Code: O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe2.) Installiere: 3.) Neues HJT-Log posten. ciao, andreas |
LOL Wie gesagt, das ist nur ne Übergangslösung. Will nur an die Daten kommen die im Admin Ordner sind, deswegen habe ich nicht viel gemacht. Ich habe noch nicht mal Grafik- oder Sounddrivers installiert. Auf jeden Fall ist hier das Log. Code: Logfile of Trend Micro HijackThis v2.0.2 |
Und wie geht es nun weiter? |
Ich warte noch auf das Log von MalwareBytes. ciao, andreas |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:39 Uhr. |
Copyright ©2000-2025, Trojaner-Board