Resycled\boot.com Ist Keine Zulässige Win32-anwendung

ja, bezieh die automatisch.

das mit der autorun.inf hab ich jetzt auch gefunden, aber als ich sie gelöscht hab, hat sich nichts verändert

 

Und wo genau hast du sie gefunden, liegt sie wie vermutet im Hauptverzeichnis ?. Du musst sie auf allen deinen Laufwerken (Partitionen) beseitigen. Ist die gelöschte Autorun nach einem Neustart wieder da ?

 

Versuche eine Entfernung mit diesem Tool, falls du es manuell nicht schaffst..

Autorun Eater 2.2
http://www.softpedia.com/get/Security/Secure-cleaning/Autorun-Eater.shtml

 

so, da bin ich wieder...

ich kann jetzt wieder auf alle partitionen zugreifen:-)
schönen dank!


nur die umleitung über die ukraine geht nicht weg.
ich hab das mit hijack gefixed, dann neugestartet, aber der DNS server hat sich immer noch nicht geändert.


Edit:
ich kann noch nicht mal mehr auf die fritzbox zugreifen, werde immer umgeleitet, da steht dann "page nocht found" und dann kommt werbung.

 

Hast du es mit dem Tool geschafft oder per Hand ?, ist eine Info (Rückmeldung) für weitere Leser die das Problem haben.

Über die DNS-Umleitung muss ich mir noch ein paar Gedanken machen, DNS-Cache löschen usw. .
Der Rechner hängt über Kabel an der FritzBox und nicht über WLAN ?.
Poste die Ausgabe von "ipconfig /all" hier.. Anleitung unter:

http://www.pcwelt.de/forum/1400988-post10.html

Ist der Eintrag im HiJackThis wieder vorhanden nach "fixen" und Neustart ?.

Befehle für die Kommandozeile, öffnen über ..
Start - Ausführen - cmd


DNS Cache löschen:
ipconfig /flushdns

DNS Cache Einträge listen:
ipconfig /displaydns

 

Mit welchem Browser versuchst du das ?

Werbung .. komisch, habe mir deine Log-Datei nochmal angeschaut.
Möglich dass es an den DAEMON Tools (Toolbar), ich meine die frei
zugängliche Version würde Spyware / Adware installieren.

 

Adware in Daemon Tools ..

http://de.wikipedia.org/wiki/Daemon_Tools

 

dann werd ich mir mal ein neues deamon tools zulegen, wobei ich bisher keine beschwerden damit hatte...


ich benutz mozilla 3



ich habe die alle per hand gelöscht, aber das programm lasse ich jetzt immer im hintergrund laufen, vielleicht findet es noch was.

ich hab gefixed und neugestartet, ist immer noch da.

hier die ipconfig.txt datei:



Windows-IP-Konfiguration



Hostname. . . . . . . . . . . . . : hannelore

Primäres DNS-Suffix . . . . . . . :

Knotentyp . . . . . . . . . . . . : Unbekannt

IP-Routing aktiviert. . . . . . . : Nein

WINS-Proxy aktiviert. . . . . . . : Nein



Ethernetadapter Internet:



Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : NVIDIA nForce Networking Controller

Physikalische Adresse . . . . . . : 00-13-D4-FA-6D-5C

DHCP aktiviert. . . . . . . . . . : Ja

Autokonfiguration aktiviert . . . : Ja

IP-Adresse. . . . . . . . . . . . : 192.168.178.26

Subnetzmaske. . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . : 192.168.178.1

DHCP-Server . . . . . . . . . . . : 192.168.178.1

DNS-Server. . . . . . . . . . . . : 85.255.113.204

85.255.112.107

Lease erhalten. . . . . . . . . . : Freitag, 19. September 2008 13:49:46

Lease läuft ab. . . . . . . . . . : Montag, 29. September 2008 13:49:46





Edit:
ich weiß nicht, ob das relevant ist, aber ich sende mehr pakete, als dass ich welche empfange....

 

Ja wenn der Rechner verseucht ist dann ist das meist so dass er
für irgendwelche Zwecke missbraucht wird und Daten sendet.

Du hast doch noch mehr Rechner an der FritzBox, teste mit ipconfig /all
ob dort auch dieser sonderbare DNS-Server gelistet wird !.

Das hier sind zwei DNS-Server die für 1&1 verwendet werden..
DNS-Server: 217.237.150.51 und
217.237.148.22

 

ich hab im rechner von meinem vater und im rechner von meiner schwester nachgeguckt.
keiner hat den dns eintrag.

ich hab mal spaßeshalber den DNS server von 1und1 angegeben, er hat aber wieder umgestellt.


und jetzt hab ich keinen plan was ich weiter machen soll.

gibt es noch irgendein programm, dass ich durchlaufen lassen kann und empfehlenswert ist und welches auch noch möglicherweise den ursprung findet?

 

ich habe ein bisschen gegoogelt und auf vielen seiten wurde spybot search and destroy empfohlen.

das habe ich dann auch genutzt und folgendes ist rausgekommen:


Zlob.DNSchanger
und
Zlob.DNSchanger.rtk

beides wird als trojaner angezeigt.
wenn ich den pfad verfolge und die datei lösche stellt sie sich wieder her.
und die datei von Zlob.DNSchanger wird gar nicht gefunden.
kdihv.exe heißt sie.

 

david da wird dir ein Neuaufsetzen nicht ausbleiben

ZloB--> Backdoortrojaner der üblen Sorte

 

gut, danke.

dann werd ich jetzt wohl mal formatieren^^

immerhin weiß ich jetzt warum ich seid langem mehr hochlade als runter^^


danke an alle:-)

 

viel glück

ein sauberes sys is immer gut

 

Einen ZLOB kannst du nicht entfernen, der ändert zuviele Registry-Einträge, versteckt sich gut und es gibt zuviele Varianten von dem Ding.

 

so, hab jetzt alles wieder draufgezogen.

nochmal danke für die hilfe!

hab einiges dabei gelernt.


David

 

@David2:

Darf ich dir ein paar Ratschläge mit auf deinen System geben:

UPNP muss auf dem PC deaktiviert werden.
Die Fritz!Box kriegt ein Passwort verpasst. ( Genau da liegt die Sicherheit !!!! )
Antiviren-Software installieren und immer up-to-date halten.
Keine Passwörter im Klartext speichern!

Was noch besser ist: Surfe in Zukunft im VirtualBox
Dort kannst du Windows drin haben aber dein eigenes System bleibt dadurch sauber.....

LG SUSE_DJAlex

P.S. Dein infizierter Rechner wurde für das "sogenannte" Botnet missbraucht.

 

1. Wo schaltet man UPNP ab?
(Hat sich wohl inzwischen erledigt. Ich habe unter "Windows-Firewall" die Firewall aktiviert und gesehen, daß der Haken bei UPNP nicht gesetzt war. Dann habe ich die Win-Firewall wieder deaktiviert, weil ich ja ZoneAlarm laufen habe. Wird dadurch UPNP vielleicht wieder aktiviert?)

2. Gibt es eine leichtverständliche Anleitung fürs Surfen mit VirtualBox? Ist die dem Programm Sandboxie vorzuzuiehen, das auch in der PC-Welt empfohlen wurde?

3. Übrigens hatte ich auch auf allen meinen Partitionen sowie auf einem USB-Stick diese resycled\boot.com-Malware. Ich konnte auf allen Partitionen die autorun.inf löschen, und der PC scheint jetzt sauber zu sein. Jedenfalls komme ich jetzt über den Arbeitsplatz in alle meine Partitionen; das war vorher nicht so.

Ulli

 

Hallo Zusammen.

Hoffe das liest überhaupt noch jemand.
Also mir ist das gleiche passiert.
Ich habe meinen Laptop (wegen eines Trojaners) neu aufgesetzt. Jetzt kann ich nicht mehr übern Arbeitsplatz auf meine externe Festplatte zugreifen. Sobald ich darauf klicke bringt er die Meldung:

recycled/boot.com ist keine zulässige win32 anwendung.

Wenn ich aber meinen Usb ausstecke und wieder einstecke kommt der Autoplaymodus wo man dann den Ordner öffnen kann, Das funktioniert einwandfrei.Nur ist diese Methode lästig. Ich weiß echt nicht mehr was machen

Ich wäre wirklich sehr froh wenn jemand eine Lösung für dieses Problem hätte.

Danke im Voraus.

Kevin

 

Ich hab's gelesen...

Du schreibst: "recycled/boot.com ist keine zulässige win32 anwendung."
Du meinst aber offensichtlich auch die falsche Schreibweise "resycled...", oder?

Versuch's mal mit folgendem Trick: Du hast doch sicher den Total Commander oder den Speed Commander oder ..... Mit diesen Tools kann ich meine Laufwerke und Partitionen öffnen. Berichte mal.

Nächtliche Grüße
Ulli