c:\resycled\boot.com

[alfatrue]

ciao a tutti,
ho appena formattato il pc, sto rifacendo il giro di installazione sw,
ad un certo punto mi ritrovo con questo errore sui dischi:
quando cerco di aprirne uno mi dice :
error:
c:\resyced\boot.com non è un'applicazine win32 valida,
come antivirus ho installato avira free, aggiornato e giusto stamattina ho fatto una scansione del sistema, tutto ok
cercando su internet credo di aver capio come questo sintomo sia legato alla presenza di un malware, ma non ho capito poi come procedere...
ciao

[alfatrue]

aggiungo il log di hjthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16.18.47, on 27/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programmi\Java\jre1.5.0_01\bin\jusched.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programmi\OpenVPN\bin\openvpn-gui.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Microsoft ActiveSync\Wcescomm.exe
C:\Programmi\DAEMON Tools Lite\daemon.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe
C:\Programmi\Stardock\ObjectDock\ObjectDock.exe
C:\PROGRA~1\MICROS~2\rapimgr.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\TrueCrypt\TrueCrypt.exe
C:\programmi\mozilla firefox\firefox.exe
C:\Programmi\PrevxCSI\prevxcsi.exe
C:\Programmi\PrevxCSI\prevxcsi.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [openvpn-gui] C:\Programmi\OpenVPN\bin\openvpn-gui.exe
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v3] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe" /source=HKLM
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programmi\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Stardock ObjectDock.lnk = C:\Programmi\Stardock\ObjectDock\ObjectDock.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1222419134250
O17 - HKLM\System\CCS\Services\Tcpip\..\{267F945D-C36C-4820-AE35-FB5241861C86}: NameServer = 85.255.116.26,85.255.112.89
O17 - HKLM\System\CCS\Services\Tcpip\..\{9615D314-1FFD-4634-BF44-1F911D418F7F}: NameServer = 85.255.116.26,85.255.112.89
O17 - HKLM\System\CCS\Services\Tcpip\..\{D70A24B5-A795-451E-B2BE-300DF950841B}: NameServer = 85.255.116.26,85.255.112.89
O17 - HKLM\System\CS1\Services\Tcpip\..\{267F945D-C36C-4820-AE35-FB5241861C86}: NameServer = 85.255.116.26,85.255.112.89
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CSIScanner - Prevx - C:\Programmi\PrevxCSI\prevxcsi.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Programmi\OpenVPN\bin\openvpnserv.exe

--
End of file - 6207 bytes

[Chill-Out]

Ciao leggi le Regole di sezione poi riesegui HijackThis clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx delle sottoindicate voci:

Quote:

O17 - HKLM\System\CCS\Services\Tcpip\..\{267F945D-C36C-4820-AE35-FB5241861C86}: NameServer = 85.255.116.26,85.255.112.89
O17 - HKLM\System\CCS\Services\Tcpip\..\{9615D314-1FFD-4634-BF44-1F911D418F7F}: NameServer = 85.255.116.26,85.255.112.89
O17 - HKLM\System\CCS\Services\Tcpip\..\{D70A24B5-A795-451E-B2BE-300DF950841B}: NameServer = 85.255.116.26,85.255.112.89
O17 - HKLM\System\CS1\Services\Tcpip\..\{267F945D-C36C-4820-AE35-FB5241861C86}: NameServer = 85.255.116.26,85.255.112.89

clicca su Fix checked

Imposta i DNS di http://www.opendns.com/

Segui la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Fileqube, clicca qui per raggiungere Fileqube, pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

*** REGOLE di SEZIONE - obbligatoria la lettura!! ***

[Vince86]

Hai preso lo stesso malware che ho preso io ieri..
Innanzitutto vai in risorse del computer apri C:
per non far comparire quell' errore premi tasto destro e fai esplora
In c vai nel menù strumenti opzioni cartella nella scheda visualizzazione metti visualizza file e cartelle nascosti e togli la spunta da nascondi file protetti di sistema e dai ok
A questo punto in C: ti trovi un file autorun e una cartella che si chiama resycled attenzione a non confonderla con recycled a questo punto vai al cestino tasto destro proprietà ed il globale metti la spunta a Non spostare i file nel cestino. Rimuovi i file direttamente fai ok.
Torna in C: ed elimina il file autorun e la cartella resycled.
Fai attenzione io ho trovato il virus anche il penna usb hd esterno e partizione secondaria dell' hd.
Quindi controlla anche tu.
Dopo ti consiglio una scansione con antivirus io uso kaspersky... eseguendo in modalità provvisoria.
Successivamente ripristina tutto quello che hai postato cioè al cestino ed alla visualizzazione dei file.
Ciao

[the hoplite]

ciao ragazzi, ho un problema che sembra identico ma non lo è. stessi sintomi: cerco di aprire qualsiasi drive del pc ma mi dice "impossibile trovare il file resycled\boot.com, verificare che il percorso..."
ho cercato infatti di eseguire la procedura sopraindicata ma non trovo proprio il file.
qualcuno sa come procedere? grazie.

[Chill-Out]

Quote:

Originariamente inviato da the hoplite

ciao ragazzi, ho un problema che sembra identico ma non lo è. stessi sintomi: cerco di aprire qualsiasi drive del pc ma mi dice "impossibile trovare il file resycled\boot.com, verificare che il percorso..."
ho cercato infatti di eseguire la procedura sopraindicata ma non trovo proprio il file.
qualcuno sa come procedere? grazie.

Ciao segui la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Fileqube, clicca qui per raggiungere Fileqube, pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

*** REGOLE di SEZIONE - obbligatoria la lettura!! ***

[FulValBot]

Quote:

Originariamente inviato da Vince86

Hai preso lo stesso malware che ho preso io ieri..
Innanzitutto vai in risorse del computer apri C:
per non far comparire quell' errore premi tasto destro e fai esplora
In c vai nel menù strumenti opzioni cartella nella scheda visualizzazione metti visualizza file e cartelle nascosti e togli la spunta da nascondi file protetti di sistema e dai ok
A questo punto in C: ti trovi un file autorun e una cartella che si chiama resycled attenzione a non confonderla con recycled a questo punto vai al cestino tasto destro proprietà ed il globale metti la spunta a Non spostare i file nel cestino. Rimuovi i file direttamente fai ok.
Torna in C: ed elimina il file autorun e la cartella resycled.
Fai attenzione io ho trovato il virus anche il penna usb hd esterno e partizione secondaria dell' hd.
Quindi controlla anche tu.
Dopo ti consiglio una scansione con antivirus io uso kaspersky... eseguendo in modalità provvisoria.
Successivamente ripristina tutto quello che hai postato cioè al cestino ed alla visualizzazione dei file.
Ciao

mmm ho avuto lo stesso virus, però ho notato che spybot ha visto il file autorun.inf considerandolo come un zlob.dnschanger.bit. (recentissimo da quello che vedo...) cmq è stato rimosso senza problemi.

antivir invece ha visto il file boot.com e l'ha rimosso senza problemi.

[pastone2810]

ciao sono nuovo,ma vi seguo da tempo.
ho deciso di scrivervi per ringraziarvi pubblicamente. grazie ai vostri consigli sono riuscito ad eliminare sto virus beccato facendo un giro "allegro" su certi siti.
sara' mio compito pubblicizzare il sito(faccio il tassista) a piu' gente possibile.
ancora grazie

[wjmat]

Quote:

Originariamente inviato da pastone2810

ciao sono nuovo,ma vi seguo da tempo.
ho deciso di scrivervi per ringraziarvi pubblicamente. grazie ai vostri consigli sono riuscito ad eliminare sto virus beccato facendo un giro "allegro" su certi siti.
sara' mio compito pubblicizzare il sito(faccio il tassista) a piu' gente possibile.
ancora grazie

se ci carichi i log vediamo anche di ottimizzare il sistema, poi vedi tu

pubblicizzare cosa??? qui ne abbiamo abbastanza di lavoro e non ci paga nessuno!!

[pastone2810]

cosa ne pensate?
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.10.02, on 15/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Log rimosso leggere le Regole di sezione troverai le indicazioni su come allegare i log, grazie.

[porciatti]

Ciao a tutti anche io mi trovo a combattere con questo maledetto virus che non mi fa piu' aprire neppure l'hard disk esterno dandomi questo errore resycled\boot.com se c'e' qualcuno che mi puo' aiutare dandomi delle dritte mi farebbe un piacerone...grazie ancora

[Chill-Out]

Quote:

Originariamente inviato da porciatti

Ciao a tutti anche io mi trovo a combattere con questo maledetto virus che non mi fa piu' aprire neppure l'hard disk esterno dandomi questo errore resycled\boot.com se c'e' qualcuno che mi puo' aiutare dandomi delle dritte mi farebbe un piacerone...grazie ancora

Segui la Guida alla disinfezione
http://www.hwupgrade.it/forum/showpo...30&postcount=6

[gigi88]

Quote:

Originariamente inviato da Vince86

Hai preso lo stesso malware che ho preso io ieri..
Innanzitutto vai in risorse del computer apri C:
per non far comparire quell' errore premi tasto destro e fai esplora
In c vai nel menù strumenti opzioni cartella nella scheda visualizzazione metti visualizza file e cartelle nascosti e togli la spunta da nascondi file protetti di sistema e dai ok
A questo punto in C: ti trovi un file autorun e una cartella che si chiama resycled attenzione a non confonderla con recycled a questo punto vai al cestino tasto destro proprietà ed il globale metti la spunta a Non spostare i file nel cestino. Rimuovi i file direttamente fai ok.
Torna in C: ed elimina il file autorun e la cartella resycled.
Fai attenzione io ho trovato il virus anche il penna usb hd esterno e partizione secondaria dell' hd.
Quindi controlla anche tu.
Dopo ti consiglio una scansione con antivirus io uso kaspersky... eseguendo in modalità provvisoria.
Successivamente ripristina tutto quello che hai postato cioè al cestino ed alla visualizzazione dei file.
Ciao

Anch'io sono stato infettatto da questo maledetto virus, seguo la tua guida

[gigi88]

Quote:

Originariamente inviato da gigi88

Anch'io sono stato infettatto da questo maledetto virus, seguo la tua guida

risolto! Ti ringrazio per l'aiuto!

[wjmat]

Quote:

Originariamente inviato da gigi88

risolto! Ti ringrazio per l'aiuto!

ciao

se ci carichi i log verifichiamo alcune cose

[DjSolidSnake86]

io ho fatto come avete detto ma continuo ad avere un'errore:
impossibile trovare il file resycled/boot.com

[wjmat]

Quote:

Originariamente inviato da DjSolidSnake86

io ho fatto come avete detto ma continuo ad avere un'errore:
impossibile trovare il file resycled/boot.com

segui qui
http://www.hwupgrade.it/forum/showpo...30&postcount=6

[DjSolidSnake86]

Quote:

Originariamente inviato da wjmat

segui qui
http://www.hwupgrade.it/forum/showpo...30&postcount=6

nn capisco bene che fare

[wjmat]

Quote:

Originariamente inviato da DjSolidSnake86

nn capisco bene che fare

Ricapitolando, dopo aver disabilitato il ripristino di sistema, fatto la pulizia dei file inutili con ATFCleaner, vogliamo necessariamente in ordine e anche se non è stato rilevato nulla:

1. log di Malwarebytes Anti-Malware aggiornato ad oggi
2. log di A-squared scansione deep aggiornato ad oggi
3. log di Kaspersky Virus Removal Tool scaricato oggi oppure di F-Secure OnLine
4. log di Dr.Web CureIT scaricato oggi
5. log di ESET SysInspector
6. log di HiJackThis
7. log di Gmer
8. log di PrevxCSI

Se il pc dovessse essere molto compromesso (es. riavvii frequenti, schermate blu) oppure hai problemi con internet per aggiornare i programmi leggi qui

Se pensi che l'infezione possa essere partita da chiavette usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione, in questo modo eviti di reinfettarti ancora dopo che hai ripulito il pc.

Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...



Questa è una brevissima guida alla pubblicazione dei log, qui e qui esempi precisi ed ordinati di come vorremmo tu li caricassi.

link utili per il caricamento log ed immagini
caricamento log fileqube.com, wikisend.com, mediafire.com
caricamento immagini fileqube.com, imageshack

[DjSolidSnake86]

guarda, ho fatto scansioni con adaware, nod32, antimalware, spybot, ho rimosso le infezioni che avevo
dopodichè ho eliminato i file autorun.inf e resycled dai miei hdd ma nonostante tutto ho quell'errore all'apertura dei dischi fissi
cmq che log ti devo dare?