# Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz



## Trigger060 (20. September 2008)

*Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*




			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        



Hallo Leute,

ich hatte gestern ein Problem und es wird auch schon in manchen Foren nach einer Lösung gesucht. Es sieht wie folgt aus:

Aus welchen Gründen auch immer, wird, wenn man die Festplatten im Arbeitsplatz mit Doppelklick öffnen will eine Fehlermeldung geöffnet:

*"resycled\boot.com ist keine zulässige Win32-Anwendung"*

Um das wieder wegzubekommen habe ich folgende Lösung:

Benötigt wird:

- Malwarebytes Antimalware
- Autorun  Eater

*Schritt 1:*

Bevor man beginnt muss man alle offenen Programme schließen (ICQ etc...)




			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        



*Schritt 2:*

Nun muss der Cache und die tempöraren Dateien eurer Browser geleert werden.

*Für Internet Explorer:*
Internet Explorer öffnen -> Extras -> Internet Optionen -> Browserverlauf löschen -> "Alle löschen"
*Für Mozilla Firefox:*
Firefox öffnen -> Extras -> Private Dateien löschen -> Alle Haken aktivieren -> "Private Dateien jetzt löschen"

Beide Browser danach wieder schließen.




			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        




			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        




*Schritt 3:*

Die MS-DOS Konsole öffnen

Start -> Ausführen -> "cmd" ohne die "" eingeben -> Den Befehl "ipconfig /flushdns" eingeben wieder ohne die ""

Nun kann das Fenster wieder geschlossen werden.




			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        



*Schritt 4:*

Nun muss man seine Ordneroptionen so ändern, dass Systemdateien angezeigt werden. 

Arbeitsplatz -> Extras -> Ordneroptionen -> Reiter "Ansicht" und bei "Geschützte Systemdateien ausblenden" den Haken rausmachen.
Und etwas weiter unten bei "Versteckte Dateien und Ordner" da dann "Alle Dateien und Ordner anzeigen lassen" aktivieren. 


*Schritt 5:*

Nun muss man in den Arbeitsplatz. Dort geht man auf jede Festplatte mit der rechten Maustaste und öffnet "Explorer".

Jetzt wird das Hauptverzeichnis der Festplatte angezeigt. In diesem müsste sich eine Datei, die sich *"autorun.inf"* nennt, einen Ordner mit dem Namen *"Resycled"* und einen Ordner der sich *"$Recycle.bin"* nennt befinden.

Diese drei Ordner bzw. Dateien löschen, unzwar auf jeder Festplatte, USB-Stick oder oder externen Datenträger einzeln.

Jetzt den Papierkorb leeren.


*Schritt 6:*

Start -> Ausführen -> "msconfig" -> Systemstart -> Haken bei Einträgen entfernen die ungefähr kzzdef, ksdef usw. heißen. Ist bei jedem anders.

Schließen und *nicht* Neustarten.


*Schritt 7:*

"Autorun Eater" öffnen

Im Tray Symbol unten rechts, mit der rechten Maustaste drauf und bei Registry fix immer einzeln auf *Fix Taskmanager, Fix Registry, Fix Folder Options*




			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        



*Schritt 8:*

In den C:\WINDOWS Ordner und dort auf die Suchfunktion gehen und nach "boot.com" suchen, wenn man bei "Weitere Optionen", den Haken" versteckte Dateien" aktiviert.

Alle gefunden Dateien löschen.

Jetzt noch in C:\WINDOWS\Prefetch gehen und dort alle Dateien löschen.


*Schritt 9:*

"Malwarebytes Antimalware" öffnen

Im Programm Updaten und danach einen Quickscan durchführen und danach die gefundenen Objekte löschen.




			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        


Das Programm kann man jetzt wieder schließen. Und nach dem Scan *NEUSTARTEN*. Aber erst wenn man wirklich alle Schritte ausgeführt hat.



Nach dem Neustart müsste es jetzt alles wieder normal funktionieren. Im nachhinein kann man ja wieder die Systemdateien wieder ausblenden lassen.


----------



## kawe (13. November 2008)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Vielen Dank für das Tutorial. Hat mir verdammt viel Arbeit erspart.
Die Säuberung hat exakt so funktioniert wie beschrieben und weniger als eine halbe Stunde in Anspruch genommen.
Interessant wäre noch zu wissen, was eigentlich hinter diesem Trojaner steckt, aber wurde nicht so recht fündig.
nochmals Danke


----------



## Trigger060 (14. November 2008)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Keine Ursache dafür isses ja da


----------



## cheesee (7. Dezember 2008)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

bei mir sind die hacken in winspeedup nicht anklickbar,also im tuning menü!
kann mir einer helfen, hab nämlich das selbe Prob ?
thx im voraus


----------



## Hoagie (8. Dezember 2008)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

hey cheesee,
hab mich mal extra für dich hier registriert. Hatte mit dem Winspeedup das gleiche Problem wie du, wahrscheinlich wegen der Trial-Version.

Arbeitsplatz -> Ordneroptionen -> Ansicht -> geschützte Systemdateien ausblenden(empfohlen) Haken wegnehmen

müsste aufs selbe rauskommen wie mit Winspeedup 

Ach ja und vielen Dank Trigger für die Anleitung, hat astrein geklappt, ich hatte den shice auf allen 5 Partitionen und deshalb auch noch nach dem formatieren


----------



## woam (11. Dezember 2008)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Hi,
habe mich auch hier registriert um dir zu danken. Dein Beitrag/Tutorial hat mir Stunden (Tage ... ?) gespart.

Super!!!

DAAAAAAAAANKE!!!!!!!!!!!


----------



## pc spezialist (22. Dezember 2008)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Klasse, dank diesem Tutorial habe ich nun diesen Fehler beseitigt!
Ich kann nun wieder auf meine Daten zugreifen ohne irgendwelche Umstände zu machen.

Respekt!!!


----------



## kokopelli (23. Dezember 2008)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Hallo
Habe mir das gleiche Ding eingefangen und sämtliche Schritte gemässs dem Beseitigungsturtorial durchgeführt; bin aber auf einige Probleme gestossen

Schritt 5: konnte die 2 Ordner bzw. die eine Datei nicht finden (geschützte Systemdateien sind eingeblendet)
Schritt 6: dito --> kzzdef, ksdef etc nicht gefunden
Schritt 7: Autorun eater hat "autorun.inf" gefunden und entfernt
Schritt 8: Boot.com nicht gefunden

Allerdings läuft der PC wieder einwandfrei. Ist mein PC nun sauber oder nicht?

Danke für eure Hilfe


----------



## Trigger060 (23. Dezember 2008)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Die Schritte wurden gemäß meiner Erfahrungen erstellt. Mit den ganzen, bei manchen anscheinend überflüssigen Schritten, wollte ich nur auf Nummer sicher gehen das es auch 100%tig geht. 

@ kokopelli, wenn du die Datenträger wieder ohne die Meldung öffnen kannst müsste alles geklappt haben, andernfalls PN an mich 

MfG Trigger


----------



## ForgottenRealm (23. Dezember 2008)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Schön gemacht 

Wo wir bei schön sind; was ist das für ein XP Skin den du da hast ? Könntest mir da eventuell nen DL Link für geben ?


----------



## FatalMistake (24. Dezember 2008)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

wow danke für diese anleitung!
hatte das schei! ding auch drauf. jz aber weg! danke!

Ich hab dafür ein andres Problem:
Immer, wenn ich die Festplatte aufmachen will, öffnet sie sich wie eine DVD mit autoplay...also in einem neuen Fenster....Hab da einen Ordner namens "wmpub", ließ sich nur im Abgesichterten Modus löschen. aber diese verdammte autoplay Funktion is noch immer da....und das aufm server. ganz toll. werd wohl alles formatieren müssen.... 

mfg


----------



## Trigger060 (24. Dezember 2008)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Hi FatalMistake,
wäre evtl. eine Konfiguration über die Gruppenrichtlinien möglich? Ich nehme einfach mal an, du nutzt Windows XP.
Start > Ausführen > gpedit.msc eingeben
Richtlinien für lokaler Computer > Computerkonfiguration (oder Benutzerkonfiguration, Erklärungen links lesen!) > Administrative Vorlagen > System > "Autoplay deaktivieren" entsprechend konfigurieren

oder das

Besorge dir die Microsoft Powertoys für *Windows* XP. Darin ist das Tool TweakUI enthalten (gibt's kostenlos, einfach mal nach TweakUI googlen). Unter My *Computer* findest du den Eintrag Autoplay. Darüber kannst du das Autoplay für jedes Laufwerk einzeln ausschalten. Du musst dafür Admin Rechte haben.

oder 

rechte Maustaste im Arbeitsplatz auf die Festplatte -> in den Autoplay reiter und keine Aktion durchführen anwählen.

@ ForgottenRealm

Das ist der Windows XP 2005 Media Center Edition Skin. Der funktioniert auch ohne StyleXP oder ähnliches

http://sharebase.to/files/AGTWzKRpYX.html


----------



## NixBlick (24. Dezember 2008)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

*erledigt ma wieder zu langsam*


----------



## emersonlakeandpalmer (27. Dezember 2008)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Hallo,

konnte bei mir alles so durchführen wie in der Anleitung beschrieben, mit dem Erfolg, das meine Tastatur im Biosbereich zwar noch funktioniert, im Anmeldebildschirm von XP jedoch keine Tastatureingaben mehr annimmt, also auch mein Passwort nicht. Als Gast (ohne Passwort) kann ich XP starten, alles soweit funktioniert. Nur Tastatureingaben sind wirkungslos. Welcher Treiber, oder was ist mir da zerschossen.

Hatte ich nicht parallel auf dem Rechner (HP dv5000 Notebook) eine sauber funktionierendes SuseLinux, könnte ich diese Zeilen nicht schreiben.

Hilfe!! 

Martin


----------



## Trigger060 (28. Dezember 2008)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Hi, wenn das Touchpad oder die Maus noch geht versuch einfach mal 
Arbeitsplatz -> Systemsteuerung -> System -> Hardware -> Geräte Manager -> Eingabegeräte -> USB-HID -> Treiber aktualisieren -> Im erscheinenden Fenster dann "Nein, diesmal nicht" -> "Software von einer bestimmten Liste ..." -> "Nicht suchen, sondern den zu ..." -> Den angezeigten "USB-HID" anklicken und auf weiter. 
Danach müsste alles wieder klappen 

Geh aber vor dem booten in den abgesicherten Modus ( nach dem BIOS-Screen immer F8 drücken )


----------



## molcho (30. Dezember 2008)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Bin beeindruckt. 
Hatte das gleiche Problem: "resycled\boot.com ist keine zulässige Win32-Anwendung" und zugleich ging mein Antivir-Update nicht mehr (es behauptete, es hätte keine Internet-Verbindung). 

Was soll ich sagen, es hat sofort geholfen. Guter Mann, Trigger!
Allerdings hatte ich die Datei "$Recycle.bin" auf meiner Festplatte C nicht gefunden, nur die beiden anderen. Hat jedoch nichts am guten und raschen Ausgang der Sache geändert.

Habe mich ebenfalls extra dafür registriert, damit ich mein Lob hier freundlich ablaichen kann.
Thumbs up,
Molcho


----------



## Stephan (31. Dezember 2008)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Hi jungs!

ich hab die anweisungen jetzt schritt für schritt gemacht. Kann man denn jetzt sicher sein das mein rechner frei von viren ist?

oder ist die beste möglichkeit, den rechner einmal komplett zu formatiern, um alle infektionen wegzukriegen???

lg stephan


----------



## Trigger060 (31. Dezember 2008)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Lass doch einfach dein Antivirenprogramm und Malwarebytes einmal mit aktuellen Updates durchlaufen. 
Andernfalls kann ich dir HiJackThis empfehlen


----------



## Stephan (1. Januar 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

ich hab mir nen antivirprogramm gekauft, dass, nach deren aussage, alles schon beinhaltet.
Aber das prog hatte auch vorher schon nichts gefunden

ich hab keine ahnung wie man HiJackThis auswertet....


----------



## Trigger060 (2. Januar 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Du bekommst doch wenn du auf "Do a system scan and save logfile" eine Textdatei angezeigt. Die markierst du dann mit Strg+A und kopierst den Text mit Strg+C.

Danach gehst du auf HijackThis Logfileauswertung und fügst dort den Text in die untere Box mit Strg+V ein. und klickst auf "Auswerten".

Wenn nun nach der Auswertung irgendwo ein rotes Kreuz dahinter steht kannst du sie anhand der Nummer in deinem Programm dann anhaken und gehst auf "Fix checked". Danach startest du neu. 
Damit müsste eigentlich alles schädliche dann beseitigt sein 

MfG Trigger


----------



## Stephan (2. Januar 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Jo besten Dank...hat alles geklappt, alles sauber!


----------



## Trigger060 (2. Januar 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Kein Ding


----------



## Ron (2. Januar 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Hallo,
ich habe das selbe Problem und bekomme den Ordner resycled und die autorun.inf auch gelöscht. Aber irgendwie kommt die immer wieder.


----------



## Jego (6. Januar 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Hi, als erstes mal herzlichen Dank für das Tutorial.
Weiß zur Zeit nur noch nicht ob der Wurm vernichtet ist.
Ich hab das Problem das ich an meinem Xp Rechner (SP2) nicht mehr von dem Laufwerk H: gebootet wird sondern nur noch von C:.
Hab das Tutorial durchgearbeitet und habe auch die Boot.ini gelöscht (natürlich ohne Sicherung erstellt zu haben). Das Problem ist nun das die Partition C: Windows (SP1) eine alte Sicherung nur darstellt, die ich schon längere Zeit nicht mehr aktualisiert habe. Ich müsste aber wieder von H: starten!
Jedoch zeigt die Windows CD im Reperatur Modus die Partition nicht an (bootcfg \list). Auch bei einer Installation erkennt die CD nicht die Installierte Version auf H.
Daher hier mal die Frage wie kann ich wieder über H: booten. C: kann dafür geopfert werden aber H:. zu sichern und neu zu Formatieren sollte die allerletzte Lösung sein!

Hoffe Ihr habt n Tipp für mich. Hab 3 Stunden gegoogelt und nichts schlüssiges gefunden ;(!


----------



## Trigger060 (6. Januar 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Welche von deinen Partitionen ist denn H:\ ? Reihenfolge?

Kannst du am besten nen Screenshot von deinem Arbeitsplatz machen?


----------



## mik1991 (7. Januar 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Danke für das tolle Tutorial. Leider habe ich jetzt ein anderes/ähnliches Problem.

Wenn ich jetzt eine Partition öffnen möchte die nicht C ist passiert folgendes:
http://pic.leech.it/i/25f93/cd58ff4unbenannt.jpg
ich kann zwar über den Explorer die Partition öffnen aber so wieder nicht mehr.
Nach der boot.com habe ich meinen ganzen PC schon durchsucht.
Ich hoffe das jmand nen Tipp für mich hat


----------



## Jego (8. Januar 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

So hier mal der Screenshot.
Die Festplatten sind also C,F,G,H und die zwei Laufwerke D und E.Kann man evtl. über Widows den Boot Vorgang noch irgendwie verändern?Die Boot.ini in C: hab ich schon wieder aufgebaut durch bootcfg /rebuild. Aber auf H: bekomme ich das nicht hin. Muss denn in H: auch eine Boot.ini vorhanden sein?


----------



## Trigger060 (8. Januar 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Füge mal die Boot.ini aus dem Anhang (Boot.zip erst entpacken) in "C:\" ein und ersetze die vorhandene


----------



## Jego (8. Januar 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Herzlichen Dank erstmal  er hat jetzt 2 Partitionen im Boot Menü zur Auswahl. Problem die H: Partition startet nicht mit dem Verweis:
Windows konnte nicht gestartet werden, da folgende Datei fehlt oder beschädigt ist
<Windows root>\system32hal.dll.
Installieren Sie ein Exemplar der obern angegebenen Datei erneut. 
Hab das auch schon gegooglet scheint ja doch etwas schwierigeres zu sein


----------



## Trigger060 (8. Januar 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Dann füg die Datei hier einfach dort ein ein H:\Windows\system32\<HAL.dll einfügen>


----------



## Jego (9. Januar 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Das funktionierte leider nicht. Er bringt mir immer noch die selbe Fehlermeldung.


----------



## Trigger060 (9. Januar 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Dann versuch mal die XP-CD einzulegen und zu booten.
Wiederherstellungskonsole starten.

folgendes eingeben

copy x:\i386\hal.dl_ H:\windows\system32\hal.dll

x:=Dein CD/DVD-Laufwerk / H:=Systempartition

und im gleichen Zuge sollten wir gleich mal die boot.ini erneuern:

bootcfg /rebuild

PS: Falls es Probleme mit der XP-CD geben sollte, kann man auch mit den XP-Disketten booten (CD muss aber eingelegt sein)

MfG Trigger


----------



## TReddragon (11. Januar 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

ich hatte das Problem auch...
Habs anders gelöst...
http://extreme.pcgameshardware.de/windows-xp-vista-seven-windows-allgemein/36989-fehlermeldung-windows-xp-sp3.html#post468556


----------



## TReddragon (11. Januar 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

@Jego versuchs mal mit Trojan Remover... Immer wieder suchen und neustarten lassen...


----------



## TITOs (12. Januar 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Hallo,
ich habe das selbe Problem und bekomme den Ordner resycled und die autorun.inf auch gelöscht. Aber irgendwie kommt die immer wieder.
Ich hatte das ding erst auf meinem Laptop der dank euch auch wieder einwandfrei funzt.
Aber mein großer will jetzt auch einfach nicht mehr.
habe alles Format=c und Win neu  aber kein zweck.
Diese dateien kommen immer wieder, erst lösche ich die datei lehre den Papierkorb, alles ist weg, 5sek später sind sie wieder da.
Und bei der inst von win hatte ich laufwerk c zum Inst aber der packte mir das aud D.

Also ich habe auf dem rechner pläne für eine eigenst Entwickelte cnc Fräsmaschine.
Meine Arbeit von 3 Jahren wären hin.
Ich bitte euch um hilfe. DANKE im vorraus.
Ich werde heute den ganzen Tag online sein.

TITOs


----------



## Jego (12. Januar 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

@TReddragon:
Der hat zwar ein paar Trojaner gefunden. Die haben aber nichts mit der hal.dll zu tun gehabt. Ändert leider an meinem Problem nichts, aber trotzdem danke für den Tip.
@Trigger060:
Hab ich versucht. Geht aber leider nicht er macht gar nichts und sagt nur Zugriff verweigert. 
Wenn ich von C: starte, könnte ich auch von da aus die hal.dl_ nach H:Windows\system32\hal.dll kopieren? Wenn ja muß ich die hal.dl_ manuell umbenennen?

Danke im vorraus.
MfG Jego


----------



## Trigger060 (12. Januar 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

@ TITOs

Lad dir mal bitte HijackThis herunter und poste mal das Logfile, dass er dir bei "Do a Systemscan and save a...." ausgibt. Danke
Wenn du die CNC Pläne von deiner Fräsmaschine auf den USB Stick kopieren willst dann öffne halt die Festplatten solange mit "Rechte Maustaste auf Festplatte -> Explorer" 

@ Jego

Wenn du von C: aus startest kannst du es kopieren ja, und die Datei umbennenen in hal.dll

MfG Trigger

PS: Ich komm in der Woche immer erst gegen 17:00 nach Hause.


----------



## Jego (13. Januar 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Hm will irgendwie nicht so wie ich das möchte.
Hab die Datei umbenannt und eingefügt aber sie erscheint nicht so wie die anderen DLL´s. 
Wie kann ich feststellen wie das DVD Laufwerk in der Wiederherstellungskonsole benannt ist? Hab es bis jetzt mit D: versucht. Das ganze dann mit copy x:\i386\hal.dl_ H und E:\windows\system32\hal.dll durchgegangen.
Hat aber wieder nur gesagt Zugriff verweigert.
Hab mir aus dem Netz ne andere HAL.DLL gezogen die eingefügt bzw. ersetzt. Danach wieder gestartet bootcfg /rebuild gemacht und wieder nix nur meine Windows installation auf C: gefunden.
Das kann´s doch eigentlich nicht sein, das nur durch die eine DLL. Ich noch nicht mal mehr die Installation auf H: wieder finden kann.


----------



## Trigger060 (15. Januar 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Welchen Laufwerks-Buchstaben hat das Laufwerk denn im anderen Windows?

Falls es z.B. der Laufwerks-Buchstabe F sein sollte, gibts du in der console einfach 
"copy F:\i386\hal.dl_ H:\windows\system32\hal.dll" oder "copy F:\i386\hal.dl_ H:\windows\system32\" und benennst sie dann in hal.dll um.


----------



## originoo (16. Januar 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Hi!

Noch mal eine generelle Frage zu "korrumpierten" System durch diesen Trojaner. Habe ich gerade vor 2 Wochen gehabt, und mit Spybot beseitigen können (Spybot konnte die erst nicht löschen, logisch, dann Systemneustart, eine erneuter Scan direkt vor allen anderen Windows-Prozessen, dann war der Trojaner zu löschen, da er wohl noch nicht wieder Speicherresident war).

Auf den anderen Partionen war der Trojaner dann auch zu löschen, wo er vorher nur zu sehen, wenn man Systemdateien sichtbar macht oder per Kommandozeile "dir /ah" eintippt.

Nun da der Trojaner weg ist, wollte ich mal wissen, was der genau macht, habe aber nur gefunden, daß die meisten Leute ihrem System nicht mehr "vertrauen" und auch nach dem der Trojaner beseitigt wurde, auf jeden Fall ihr System formatiert haben. Es gäbe noch "Hintertüren", einem korrumpierten System könne man nicht vertrauen etc.

Ist das übertriebene Vorsicht? Ist da was dran beim Win32.Agent.SD?

Ansonsten: Gute Arbeit bei dem Tutorial!

mkg
originoo


----------



## Rolf42 (17. Januar 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Danke du hast mir sehr geholfen und eine Menge Zeit erspart
Ich wünschte es würde mehr Leute wie dich geben die meisten
haben nur schrott geschrieben


----------



## May (19. Januar 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Hallo,
Wie kann ich hier einen vorbereiteten Text in das Fenster einfügen ? Ok Ich versuch mal, den Text manuell neu zu verfassen,
Also, abgesehen davon, daß ich seit 2,3 Tagen jeweils nach einigen Mausclicks eine kleinen Hupton höre und dann ist alles aus-Absturz keine Cursorbewegung mehr-springt mir jetz auch noch dieser verdammte resycled- boot- com entgegen,wenn ich Arbeitsplatz öffe komme ich nicht mehr in die Speicher. Habe den Rat befolgt und versucht Malwarebytes und AutorunEater runterzuladen, ist auch gelungen aber ich kann die Dateien nicht öffnen,da kommt diese blöde Meldungie folgende DAtei kann nicht geöffnet werden,das Programm, von dem diese Datei erstellt wurde, muß bekannt sein . .  use blabla . .Fragen:Wie kann ich auf diese Programme zugreifen, wie finde ich durch diesen Beseitigungsdschungel ? Help !! 
PSie Funktion"Systemwiederherstellung"im Support ist übrigens auch zerschossen.




			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        





			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        




			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        




			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        




			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        




			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        




			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## Trigger060 (19. Januar 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

@ May 

bei deinem Fall würde ich zu einer Formatierung raten


----------



## Jego (20. Januar 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Habe kapituliert !
40 Stunden vor meinem Rechner mit den verschiedensten Versuchen und erneuten fehlschlägen haben mir gereicht 
Habe jetzt C und H formatiert. H hat jetzt Windows drauf und C.... überleg ich mir noch was. Evtl. nehem ich mal den Speicher und Verwende ihn für n Backup Point  .
Wäre ja mal ne Idee .
Trotzdem vielen Dank für die Posts und das Tutorial , wäre sonst wahrscheinlich immer noch am probieren!


----------



## blubb12 (21. Januar 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

extra angemeldet um meinen dank loszuwerden.
toturial hat wunderbar geklappt trotz mangelnder kenntnisse vom fach ^^.
tausend dank 
       (auch von meinem labtop und der externen festplatte^^)


----------



## Lyra2k5 (22. Januar 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Beitrag entfernt.


----------



## Trigger060 (22. Januar 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Wenn du "$Recycle.bin" auf keiner Platte findest ist auch nicht so schlimm. Auch im Autostart "muss" des keine Datei geben, die so heißt 

Außerdem kann ich dir HiJackThis empfehlen 

Du bekommst doch wenn du auf "Do a system scan and save logfile" eine Textdatei angezeigt. Die markierst du dann mit Strg+A und kopierst den Text mit Strg+C.

Danach gehst du auf HijackThis Logfileauswertung und fügst dort den Text in die untere Box mit Strg+V ein. und klickst auf "Auswerten".

Damit kannst du dann feststellen, was für schädliche Software, gerade läuft und das löschen evtl. verhindert. Wenn du Hijackthis durchgeführt hast versuch die Dateien nochmals zu löschen.

 MfG Trigger


----------



## Lyra2k5 (22. Januar 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Beitrag entfernt.


----------



## Trigger060 (23. Januar 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Ja du kannst sie löschen musst aber nicht. 

Soweit müsste alles weg sein, was aktive Prozesse betrifft


----------



## AchtBit (24. Januar 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Sucht mal nach der Datei. C:\WINDOWS\system32\gaopdxwxvpqfws.dll

Hatte den Tojaner auch. Keine Ahnung ob der polymorphe Dateinamen verwendet.

Im Windows Ver. ist noch die passende exe dazu. Weis jetzt nimmer genau wei die heisst aber einfach nach gaopdx*.* suchen.


----------



## Schmidde (25. Januar 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

ich hab noch das problem dass wenn ich die datei "recycler" löschen will die fehlermeldung kommt dass die datei schreibgeschützt ist oder gerade verwendet wird.

wie kann ich sie trozdem löschen??
haken bei schreibgeschützt hab ich schon entfernt aber hat nichts gebracht


----------



## AchtBit (25. Januar 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

abgesichert ohne alles starten und das Laufwerk über den Kontext 'mit explorer' ...öffen.

kann sein das du noch die benutzerrechte vergeben musst


----------



## miq3 (28. Januar 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Vielen herzlichen Dank für Deine profesionelle Anleitung! Du warst mir eine sehr große Hilfe! Alles funktioniert wieder! DANKE!


----------



## ThE_FreeZ (29. Januar 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Hi Leute 

@Trigger060

Ich habe das selbe Problem mit ....boot.com gehabt! Dank deiner Anleitung ist dieder Fehler weg  danke dafür 

Nun habe ich ein neues Problem... nach dem ich alles nach der Anleitung durchgeführt hab, bin ich mit TunedUp 2009 über die Festplatten gegangen und er hat mir gesagt, dass der Prefetch Ordner gelöscht wurde und ein Neustart zwingend erforderlich ist. 
Das habe ich dann gemacht und beim Hochfahren lief dann das Prüfprogramm von Windows mit diesem blauen Hintergrund! das hat dann schon drei stunden gedauert! 
Der PC ist danach normal Hochgefahren ist jetz aber sau langsam und es dauert alleine schon zwei/drei min bis ich einen Ordner öffnen kann (wenn das system schon komplatt Hochgefahren ist)! 
Am der Hardware kann es eigentlich nicht liegen war vorher auch viel schneller !

Ich hoffe es kann mir da jemand helfen, damit ich das wieder hinbekomme, dass er schnell läuft !

Gruß FreeZ


----------



## O-Padrinho (1. Februar 2009)

*noch eine "kürzere" Anleitung*

Hallo, ich hatte den "Trojaner" bei vier verschiedenen PCs/Laptops, sowohl auf angeschlossenen Speichersticks als auch auf internen und externen Festplatten.

Bei allen konnte ich diesen problemlos entfernen, ohne dass dieser wieder aufgetaucht ist, indem ich folgende Schritte unternahm:

1. Ich habe in den Ordneroptionen unter dem Reiter 'Ansicht' den Haken bei "Geschützte Systemdateien ausblenden (empfohlen)" ENTFERNT, und zudem "Alle Dateien anzeigen" AUSGEWÄHLT.

2. Im Anschluss, habe ich jedes Laufwerk (Festplatte, Speicherstick) geöffnet, indem ich auf dieses im Arbeitsplatz einen Rechtsklick tätigte und im sich daraufhin öffnenden Kontextmenü auf 'Explorer' linksklickte.

3. *Dann habe ich in den jeweiligen Hauptverzeichnissen die Dateien "autorun.inf" sowie die Ordner "resycled" (nicht zu verwechseln mit "$RECYCLE.BIN" [Papierkorb]) samt Inhalt (boot.com) gelöscht. *
!! Dieses habe ich jedoch nicht getan, indem ich einfach auf "löschen" gegangen bin oder auf die "Entfernen-Taste" gedrückt habe, sondern ich habe diese Dateien mit einem Programm wie bspw. "Eraser" (Freeware) richtig gelöscht (ÜBERSCHRIEBEN) und nicht nur in den Papierkorb VERSCHOBEN. !!
Ggf. reicht es auch aus während man auf "löschen" drückt die "Shift-Taste" zu drücken, damit die Datei direkt gelöscht wird und nicht einfach in den Papierkorb geschoben, sicherer ist jedoch das Programm "Eraser" oder ähnliche Löschsoftware.

Hierzu noch ein Hinweis:
'Eraser' kann vermutlich nur Dateien die unkomprimiert sind löschen (in Windows komprimierte Dateien werden oft mit blauer Schrift angezeigt).
Um Sicherzugehen, dass diese unkomprimiert sind, bzw. um diese unkomprimiert zu machen muss man die entsprechenden Dateien/Ordner auswählen/markieren und mit Rechtsklick das Kontextmenü öffnen. Dann auf 'Eigenschaften' klicken und unter dem normalerweise bereits ausgewählten Reiter 'Allgemein' auf "Erweitert" klicken und dort den Haken bei "Inhalt komprimieren, um Speicherplatz zu sparen" ENTFERNEN.

Viel Erfolg!

--- Update ---
Infos zu dem Trojaner:
http://www.threatexpert.com/report.aspx?uid=10c62b74-9c48-48d0-9d1c-75063c91c73d


----------



## dankedoki (1. Februar 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

@Trigger060
hallo Trigger060, als erstes möchte ich sagen, das ich mich nur angemeldet hab, nur das ich mich bei dir bedanken wollte.
Desweiteren. du hast wirklich super einleitung geschrieben. 
Aber ich habe dein anleitungnicht befolgt sondern ein schritt von den was du beschrieben hast. Und es hat super geklappt.

Ich habe das Programm Autotun runtegrladen und mal aus zufall ggestart, der hat es sofort erkannt, das Autorun.inf aus die festplatten gelöscht werden oder ingnoreren. ich habe natürlich wieder aus einfachen zufall auf löschen gedrückt, da du in deiner beschreibung gesgat hast, das di gelsöcht werden müssen.
Hab also gelöscht und schon konnte ich wieder zu greifen. 
Das war ein arbeit von 150 sekunden.
Vielen vielen dank.
wenn ich auf dein beschreibung nicht gelandet wäre, dann hätte ich einen wunder schönen problem gehabt am nächsten tag.
noch mal vielen dank.))))


----------



## Baumwächterin (6. Februar 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Hallo 

bei mir is dieses Ding auch drauf. Jetzt hab ich aber noch einige Fragen:

Bei Schritt 1:

Kann ich da diese Seite mit der Anbleitung offen behalten? und muss ich das Kaspersky und Wirless auch ausschalten?


Bei Schritt 3 kann er mir diese Dinger nicht löschen. Was muss ich da ändern dass das geht? 

Schritt 5: Ich kann die autorun und den Ordner Problemlos löschen, aber die Datei Recycled geht einfach nicht weg. auch wenn ich schreibgeschützt wegklicke. Es heisst immer die Datei werde von andern Personen verwendet...

Was kann ich da machen? Es klappt ekinfach nicht! *panik*


----------



## ajst02 (26. Februar 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

hallo bei mir funktioniert schritt 4 nicht!!!
d.h. ich kann die verstckten datein nicht anzeigen lassen!!!!!!!
wenn ich das angklickt habe ist das sofort beim nächsten mal öffnen wieder weg!!!!! und ich sehe auch unten links das da noch 14 versteckte datein sind! autorun hat auto.inf gefunden also muss das da sein kann es aber nicht löschen! ich komme also nicht mehr weiter!
hilfe bitte


----------



## nfs1 (1. März 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Nettes Tutorial, wodurch ist denn eigentlich erst der Fehler aufgetreten... Ich hab jetzt nicht alle 5 Seiten durchgelesen.


----------



## Xamuel (16. März 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

So hab mich auch mal extra angemeldet, um mich zu bedanken! 
Hatte das Problem mit meinem Laptop, wurde wahrscheinlich über nen fremden USB-Stick infiziert 
Besten Dank für das Tutorial, erspart mir Windows-Neuinstallation


----------



## Diablo09 (14. April 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

wirklich gutes tut

bin in selber so losgeworden, 
aber bei einem Freund hat ein Suchlauf mit Stinger auch gereicht!


----------



## DerBoris (7. Juni 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Vielen Dank auch von mir für die Anleitung,jedoch komme ich bei Punkt sieben nicht weiter.

Offne ich diesen Autorun Eater, komme ich nicht zu *Fix Taskmanager, Fix Registry, Fix Folder Options.*
Wie gelange ich dorthin?


----------



## Buchse303 (18. August 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

hi gemeinde 

ich bin jahrelanger PCGH Käufer und habe nach langem suchen in der Ausgabe 4/2009 eine Lösung für mein Virusproblem gefunden .Trotzdessen das ich immer alles auf aktuellem Stand halte hab ich mich irgenwie infiziert . Er ist nich sonderlich schädlich jedoch urst nervig.

Und nun hab ich das Problem das ich schon am Anfang nich weiterkomme .

ich soll ja in den Orneroptionen unter dem Reiter Ansicht:

Arbeitsplatz -> Extras -> Ordneroptionen -> Reiter "Ansicht" und bei "Geschützte Systemdateien ausblenden" den Haken rausmachen.
Und etwas weiter unten bei "Versteckte Dateien und Ordner" da dann "Alle Dateien und Ordner anzeigen lassen" aktivieren. 

soweit so schön ....jedoch wenn ich ...übernehme  und mit ok bestätige 

oder nur oben "Für alle übernehmen " betätige werden diese Einstellungen 

NICHT ÜBERNOMMEN !!!!!

der Haken ist wieder drin und bei " Alle Datein und Orner anzeigen lassen " ist deaktivert .

WAS KANN  DAS SEIN ??


das Tut ist super nur scheitert es bei mir schon am Anfang.
Könnt ihr mir weiterhelfen ?


mfg und danke schonmal 

System :   xp SP2


----------



## Buchse303 (20. August 2009)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

kann mir keiner weiterhelfen ?

mfg


----------



## orca113 (1. Februar 2015)

*AW: Beseitigungs-Tutorial für &quot;resycled\boot.com&quot; im Arbeitsplatz*

Buchse, was genau ist dein Problem? Du hast einen riesen Gext geschrieben der nix sagt.

Was willst du machen?


----------



## hbf878 (1. Februar 2015)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Ich denke, nach über 5 Jahren wird das Problem entweder gelöst haben, oder er hat sich damit abgefunden 

Wieso ist dieses Tutorial eigentlich (immer noch) angepinnt?


----------



## orca113 (2. Februar 2015)

*AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz*

Hallo, uups, war mit Tapatalk drin und das erschien als aktuell. Sorry


----------

