Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz
- Ersteller Trigger060
- Erstellt am
TE
TE
Trigger060
Kabelverknoter(in)
AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz
Kein Ding
Kein Ding
AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz
Hi, als erstes mal herzlichen Dank für das Tutorial.
Weiß zur Zeit nur noch nicht ob der Wurm vernichtet ist.
Ich hab das Problem das ich an meinem Xp Rechner (SP2) nicht mehr von dem Laufwerk H: gebootet wird sondern nur noch von C:.
Hab das Tutorial durchgearbeitet und habe auch die Boot.ini gelöscht (natürlich ohne Sicherung erstellt zu haben). Das Problem ist nun das die Partition C: Windows (SP1) eine alte Sicherung nur darstellt, die ich schon längere Zeit nicht mehr aktualisiert habe. Ich müsste aber wieder von H: starten!
Jedoch zeigt die Windows CD im Reperatur Modus die Partition nicht an (bootcfg \list). Auch bei einer Installation erkennt die CD nicht die Installierte Version auf H.
Daher hier mal die Frage wie kann ich wieder über H: booten. C: kann dafür geopfert werden aber H:. zu sichern und neu zu Formatieren sollte die allerletzte Lösung sein!
Hoffe Ihr habt n Tipp für mich. Hab 3 Stunden gegoogelt und nichts schlüssiges gefunden ;(!
Hi, als erstes mal herzlichen Dank für das Tutorial.
Weiß zur Zeit nur noch nicht ob der Wurm vernichtet ist.
Ich hab das Problem das ich an meinem Xp Rechner (SP2) nicht mehr von dem Laufwerk H: gebootet wird sondern nur noch von C:.
Hab das Tutorial durchgearbeitet und habe auch die Boot.ini gelöscht (natürlich ohne Sicherung erstellt zu haben). Das Problem ist nun das die Partition C: Windows (SP1) eine alte Sicherung nur darstellt, die ich schon längere Zeit nicht mehr aktualisiert habe. Ich müsste aber wieder von H: starten!
Jedoch zeigt die Windows CD im Reperatur Modus die Partition nicht an (bootcfg \list). Auch bei einer Installation erkennt die CD nicht die Installierte Version auf H.
Daher hier mal die Frage wie kann ich wieder über H: booten. C: kann dafür geopfert werden aber H:. zu sichern und neu zu Formatieren sollte die allerletzte Lösung sein!
Hoffe Ihr habt n Tipp für mich. Hab 3 Stunden gegoogelt und nichts schlüssiges gefunden ;(!
TE
TE
Trigger060
Kabelverknoter(in)
AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz
Welche von deinen Partitionen ist denn H:\ ? Reihenfolge?
Kannst du am besten nen Screenshot von deinem Arbeitsplatz machen?
Welche von deinen Partitionen ist denn H:\ ? Reihenfolge?
Kannst du am besten nen Screenshot von deinem Arbeitsplatz machen?
Zuletzt bearbeitet:
AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz
Danke für das tolle Tutorial. Leider habe ich jetzt ein anderes/ähnliches Problem.
Wenn ich jetzt eine Partition öffnen möchte die nicht C ist passiert folgendes:
http://pic.leech.it/i/25f93/cd58ff4unbenannt.jpg
ich kann zwar über den Explorer die Partition öffnen aber so wieder nicht mehr.
Nach der boot.com habe ich meinen ganzen PC schon durchsucht.
Ich hoffe das jmand nen Tipp für mich hat
Danke für das tolle Tutorial. Leider habe ich jetzt ein anderes/ähnliches Problem.
Wenn ich jetzt eine Partition öffnen möchte die nicht C ist passiert folgendes:
http://pic.leech.it/i/25f93/cd58ff4unbenannt.jpg
ich kann zwar über den Explorer die Partition öffnen aber so wieder nicht mehr.
Nach der boot.com habe ich meinen ganzen PC schon durchsucht.
Ich hoffe das jmand nen Tipp für mich hat
AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz
So hier mal der Screenshot.
Die Festplatten sind also C,F,G,H und die zwei Laufwerke D und E.Kann man evtl. über Widows den Boot Vorgang noch irgendwie verändern?Die Boot.ini in C: hab ich schon wieder aufgebaut durch bootcfg /rebuild. Aber auf H: bekomme ich das nicht hin. Muss denn in H: auch eine Boot.ini vorhanden sein?
So hier mal der Screenshot.
Die Festplatten sind also C,F,G,H und die zwei Laufwerke D und E.Kann man evtl. über Widows den Boot Vorgang noch irgendwie verändern?Die Boot.ini in C: hab ich schon wieder aufgebaut durch bootcfg /rebuild. Aber auf H: bekomme ich das nicht hin. Muss denn in H: auch eine Boot.ini vorhanden sein?
Zuletzt bearbeitet:
TE
TE
Trigger060
Kabelverknoter(in)
AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz
Füge mal die Boot.ini aus dem Anhang (Boot.zip erst entpacken) in "C:\" ein und ersetze die vorhandene
Füge mal die Boot.ini aus dem Anhang (Boot.zip erst entpacken) in "C:\" ein und ersetze die vorhandene
AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz
Herzlichen Dank erstmal
er hat jetzt 2 Partitionen im Boot Menü zur Auswahl. Problem die H: Partition startet nicht mit dem Verweis:
Windows konnte nicht gestartet werden, da folgende Datei fehlt oder beschädigt ist
<Windows root>\system32hal.dll.
Installieren Sie ein Exemplar der obern angegebenen Datei erneut.
Hab das auch schon gegooglet scheint ja doch etwas schwierigeres zu sein
Herzlichen Dank erstmal
er hat jetzt 2 Partitionen im Boot Menü zur Auswahl. Problem die H: Partition startet nicht mit dem Verweis:Windows konnte nicht gestartet werden, da folgende Datei fehlt oder beschädigt ist
<Windows root>\system32hal.dll.
Installieren Sie ein Exemplar der obern angegebenen Datei erneut.
Hab das auch schon gegooglet scheint ja doch etwas schwierigeres zu sein
TE
TE
Trigger060
Kabelverknoter(in)
AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz
Dann füg die Datei hier einfach dort ein ein H:\Windows\system32\<HAL.dll einfügen>
Dann füg die Datei hier einfach dort ein ein H:\Windows\system32\<HAL.dll einfügen>
Zuletzt bearbeitet:
TE
TE
Trigger060
Kabelverknoter(in)
AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz
Dann versuch mal die XP-CD einzulegen und zu booten.
Wiederherstellungskonsole starten.
folgendes eingeben
copy x:\i386\hal.dl_ H:\windows\system32\hal.dll
x:=Dein CD/DVD-Laufwerk / H:=Systempartition
und im gleichen Zuge sollten wir gleich mal die boot.ini erneuern:
bootcfg /rebuild
PS: Falls es Probleme mit der XP-CD geben sollte, kann man auch mit den XP-Disketten booten (CD muss aber eingelegt sein)
MfG Trigger
Dann versuch mal die XP-CD einzulegen und zu booten.
Wiederherstellungskonsole starten.
folgendes eingeben
copy x:\i386\hal.dl_ H:\windows\system32\hal.dll
x:=Dein CD/DVD-Laufwerk / H:=Systempartition
und im gleichen Zuge sollten wir gleich mal die boot.ini erneuern:
bootcfg /rebuild
PS: Falls es Probleme mit der XP-CD geben sollte, kann man auch mit den XP-Disketten booten (CD muss aber eingelegt sein)
MfG Trigger
TReddragon
Komplett-PC-Aufrüster(in)
AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz
ich hatte das Problem auch...
Habs anders gelöst...
http://extreme.pcgameshardware.de/windows-xp-vista-seven-windows-allgemein/36989-fehlermeldung-windows-xp-sp3.html#post468556
ich hatte das Problem auch...
Habs anders gelöst...
http://extreme.pcgameshardware.de/windows-xp-vista-seven-windows-allgemein/36989-fehlermeldung-windows-xp-sp3.html#post468556
TReddragon
Komplett-PC-Aufrüster(in)
AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz
@Jego versuchs mal mit Trojan Remover... Immer wieder suchen und neustarten lassen...
@Jego versuchs mal mit Trojan Remover... Immer wieder suchen und neustarten lassen...
AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz
Hallo,
ich habe das selbe Problem und bekomme den Ordner resycled und die autorun.inf auch gelöscht. Aber irgendwie kommt die immer wieder.
Ich hatte das ding erst auf meinem Laptop der dank euch auch wieder einwandfrei funzt.
Aber mein großer will jetzt auch einfach nicht mehr.
habe alles Format=c und Win neu aber kein zweck.
Diese dateien kommen immer wieder, erst lösche ich die datei lehre den Papierkorb, alles ist weg, 5sek später sind sie wieder da.
Und bei der inst von win hatte ich laufwerk c zum Inst aber der packte mir das aud D.
Also ich habe auf dem rechner pläne für eine eigenst Entwickelte cnc Fräsmaschine.
Meine Arbeit von 3 Jahren wären hin.
Ich bitte euch um hilfe. DANKE im vorraus.
Ich werde heute den ganzen Tag online sein.
TITOs
Hallo,
ich habe das selbe Problem und bekomme den Ordner resycled und die autorun.inf auch gelöscht. Aber irgendwie kommt die immer wieder.
Ich hatte das ding erst auf meinem Laptop der dank euch auch wieder einwandfrei funzt.
Aber mein großer will jetzt auch einfach nicht mehr.
habe alles Format=c und Win neu aber kein zweck.
Diese dateien kommen immer wieder, erst lösche ich die datei lehre den Papierkorb, alles ist weg, 5sek später sind sie wieder da.
Und bei der inst von win hatte ich laufwerk c zum Inst aber der packte mir das aud D.
Also ich habe auf dem rechner pläne für eine eigenst Entwickelte cnc Fräsmaschine.
Meine Arbeit von 3 Jahren wären hin.
Ich bitte euch um hilfe. DANKE im vorraus.
Ich werde heute den ganzen Tag online sein.
TITOs
Zuletzt bearbeitet:
AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz
@TReddragon:
Der hat zwar ein paar Trojaner gefunden. Die haben aber nichts mit der hal.dll zu tun gehabt. Ändert leider an meinem Problem nichts, aber trotzdem danke für den Tip.
@Trigger060:
Hab ich versucht. Geht aber leider nicht er macht gar nichts und sagt nur Zugriff verweigert.
Wenn ich von C: starte, könnte ich auch von da aus die hal.dl_ nach H:Windows\system32\hal.dll kopieren? Wenn ja muß ich die hal.dl_ manuell umbenennen?
Danke im vorraus.
MfG Jego
@TReddragon:
Der hat zwar ein paar Trojaner gefunden. Die haben aber nichts mit der hal.dll zu tun gehabt. Ändert leider an meinem Problem nichts, aber trotzdem danke für den Tip.
@Trigger060:
Hab ich versucht. Geht aber leider nicht er macht gar nichts und sagt nur Zugriff verweigert.
Wenn ich von C: starte, könnte ich auch von da aus die hal.dl_ nach H:Windows\system32\hal.dll kopieren? Wenn ja muß ich die hal.dl_ manuell umbenennen?
Danke im vorraus.
MfG Jego
TE
TE
Trigger060
Kabelverknoter(in)
AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz
@ TITOs
Lad dir mal bitte HijackThis herunter und poste mal das Logfile, dass er dir bei "Do a Systemscan and save a...." ausgibt. Danke
Wenn du die CNC Pläne von deiner Fräsmaschine auf den USB Stick kopieren willst dann öffne halt die Festplatten solange mit "Rechte Maustaste auf Festplatte -> Explorer"
@ Jego
Wenn du von C: aus startest kannst du es kopieren ja, und die Datei umbennenen in hal.dll
MfG Trigger
PS: Ich komm in der Woche immer erst gegen 17:00 nach Hause.
@ TITOs
Lad dir mal bitte HijackThis herunter und poste mal das Logfile, dass er dir bei "Do a Systemscan and save a...." ausgibt. Danke
Wenn du die CNC Pläne von deiner Fräsmaschine auf den USB Stick kopieren willst dann öffne halt die Festplatten solange mit "Rechte Maustaste auf Festplatte -> Explorer"
@ Jego
Wenn du von C: aus startest kannst du es kopieren ja, und die Datei umbennenen in hal.dll
MfG Trigger
PS: Ich komm in der Woche immer erst gegen 17:00 nach Hause.
Zuletzt bearbeitet:
AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz
Hm will irgendwie nicht so wie ich das möchte.
Hab die Datei umbenannt und eingefügt aber sie erscheint nicht so wie die anderen DLL´s.
Wie kann ich feststellen wie das DVD Laufwerk in der Wiederherstellungskonsole benannt ist? Hab es bis jetzt mit D: versucht. Das ganze dann mit copy x:\i386\hal.dl_ H und E:\windows\system32\hal.dll durchgegangen.
Hat aber wieder nur gesagt Zugriff verweigert.
Hab mir aus dem Netz ne andere HAL.DLL gezogen die eingefügt bzw. ersetzt. Danach wieder gestartet bootcfg /rebuild gemacht und wieder nix nur meine Windows installation auf C: gefunden.
Das kann´s doch eigentlich nicht sein, das nur durch die eine DLL. Ich noch nicht mal mehr die Installation auf H: wieder finden kann.
Hm will irgendwie nicht so wie ich das möchte.
Hab die Datei umbenannt und eingefügt aber sie erscheint nicht so wie die anderen DLL´s.
Wie kann ich feststellen wie das DVD Laufwerk in der Wiederherstellungskonsole benannt ist? Hab es bis jetzt mit D: versucht. Das ganze dann mit copy x:\i386\hal.dl_ H und E:\windows\system32\hal.dll durchgegangen.
Hat aber wieder nur gesagt Zugriff verweigert.
Hab mir aus dem Netz ne andere HAL.DLL gezogen die eingefügt bzw. ersetzt. Danach wieder gestartet bootcfg /rebuild gemacht und wieder nix nur meine Windows installation auf C: gefunden.
Das kann´s doch eigentlich nicht sein, das nur durch die eine DLL. Ich noch nicht mal mehr die Installation auf H: wieder finden kann.
TE
TE
Trigger060
Kabelverknoter(in)
AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz
Welchen Laufwerks-Buchstaben hat das Laufwerk denn im anderen Windows?
Falls es z.B. der Laufwerks-Buchstabe F sein sollte, gibts du in der console einfach
"copy F:\i386\hal.dl_ H:\windows\system32\hal.dll" oder "copy F:\i386\hal.dl_ H:\windows\system32\" und benennst sie dann in hal.dll um.
Welchen Laufwerks-Buchstaben hat das Laufwerk denn im anderen Windows?
Falls es z.B. der Laufwerks-Buchstabe F sein sollte, gibts du in der console einfach
"copy F:\i386\hal.dl_ H:\windows\system32\hal.dll" oder "copy F:\i386\hal.dl_ H:\windows\system32\" und benennst sie dann in hal.dll um.
AW: Beseitigungs-Tutorial für "resycled\boot.com" im Arbeitsplatz
Hi!
Noch mal eine generelle Frage zu "korrumpierten" System durch diesen Trojaner. Habe ich gerade vor 2 Wochen gehabt, und mit Spybot beseitigen können (Spybot konnte die erst nicht löschen, logisch, dann Systemneustart, eine erneuter Scan direkt vor allen anderen Windows-Prozessen, dann war der Trojaner zu löschen, da er wohl noch nicht wieder Speicherresident war).
Auf den anderen Partionen war der Trojaner dann auch zu löschen, wo er vorher nur zu sehen, wenn man Systemdateien sichtbar macht oder per Kommandozeile "dir /ah" eintippt.
Nun da der Trojaner weg ist, wollte ich mal wissen, was der genau macht, habe aber nur gefunden, daß die meisten Leute ihrem System nicht mehr "vertrauen" und auch nach dem der Trojaner beseitigt wurde, auf jeden Fall ihr System formatiert haben. Es gäbe noch "Hintertüren", einem korrumpierten System könne man nicht vertrauen etc.
Ist das übertriebene Vorsicht? Ist da was dran beim Win32.Agent.SD?
Ansonsten: Gute Arbeit bei dem Tutorial!
mkg
originoo
Hi!
Noch mal eine generelle Frage zu "korrumpierten" System durch diesen Trojaner. Habe ich gerade vor 2 Wochen gehabt, und mit Spybot beseitigen können (Spybot konnte die erst nicht löschen, logisch, dann Systemneustart, eine erneuter Scan direkt vor allen anderen Windows-Prozessen, dann war der Trojaner zu löschen, da er wohl noch nicht wieder Speicherresident war).
Auf den anderen Partionen war der Trojaner dann auch zu löschen, wo er vorher nur zu sehen, wenn man Systemdateien sichtbar macht oder per Kommandozeile "dir /ah" eintippt.
Nun da der Trojaner weg ist, wollte ich mal wissen, was der genau macht, habe aber nur gefunden, daß die meisten Leute ihrem System nicht mehr "vertrauen" und auch nach dem der Trojaner beseitigt wurde, auf jeden Fall ihr System formatiert haben. Es gäbe noch "Hintertüren", einem korrumpierten System könne man nicht vertrauen etc.
Ist das übertriebene Vorsicht? Ist da was dran beim Win32.Agent.SD?
Ansonsten: Gute Arbeit bei dem Tutorial!
mkg
originoo
Ähnliche Themen
