Ciao a tutti ho un problema non da poco, mi spiego:
Uso Win XP SP3, e ho due dischi ide uno con il SO e l'altro utilizzato come archivio. Il disco D quello utilizzato come archivio gli ho creato un collegamento sul desktop.
Da oggi quando cerco di aprirlo compare una finestra con la seguente scritta:
Impossibile trovare il file "resycled\boot.com" Verificare che il precorso e il nome del file siano correti e ritentare.
Se invece lo apro da risorse del computer la finestra che si apre dice: resycled\boot.com non è un'applicazione win 32 valida.
Cosa è successo al mio pc? potete aiutarmi?
Grazie

Argomento già trattato sul forum qui (http://www.hwupgrade.it/forum/showthread.php?t=1885858)

scusa ken, quando clicco su "qui" non mi si apre nessuna pagina

il pc è infetto se vuoi ripulirlo per bene il pc apri qui (http://www.hwupgrade.it/forum/forumdisplay.php?s=&daysprune=&f=125) una discussione, spieghi brevemente il problema e poi segui la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui tutte le scansioni ed il caricamento dei relativi log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308), in un unico post e nell'ordine indicato.
Affinchè tu possa arrivare al termine in completa autonomia, se hai qualche problema con i programmi e tool da utilizzare cerca informazioni aggiuntive qui (http://www.hwupgrade.it/forum/showthread.php?t=1816182).

Argomento già trattato sul forum qui (http://www.hwupgrade.it/forum/showthread.php?t=1885858)

- Scopri tutti i file nascosti e di sistema
- Controlla tutti i volumi (partizioni HD esterni pendriver)
- Troverai dei file nascosti .DLL .EXE .SYS .COM .BATt etc..
- Presente un file che lancia questi file autorun.inf
- Recycler (Cestino che contiene altri file per te invisibili)

Cancella tutti i File Nascosti,Recycler,autorun.inf.

Per facilitare la cancellazione installa Unlocker (http://ccollomb.free.fr/unlocker/).

Per evitare ancora l'infezione,avvenuta quasi sicuramente da pendriver,installa un'antivirus tipo NOD32 che non permette la sua invasione.

Ciao AMIGASYSTEM
come faccio a scovare tutti i file nascosti? io mastico l'inglese
Uso gia l'antivirus nod 32 che si aggiorna costantemente.
Comunque ti invio anche il log se cortesemente potete analizzarlo.
Grazie
P.S.
non so se arriva tramite gestisci allegati, allora te lo incollo qui
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11.48.51, on 16/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programmi\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe
C:\Programmi\Java\jre6\bin\jusched.exe
C:\Programmi\D-Tools\daemon.exe
C:\Programmi\File comuni\ArcSoft\Connection Service\Bin\ACDaemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Nero\Lib\NMIndexStoreSvr.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\File comuni\ArcSoft\Connection Service\Bin\ACService.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\Programmi\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Acronis\Fomatik\TrueImageTryStartService.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Windows Defender\MsMpEng.exe
C:\Programmi\Windows Defender\MSASCui.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [EPSON Stylus D78 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBGE.EXE /FU "C:\WINDOWS\TEMP\E_S8B.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programmi\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programmi\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Programmi\File comuni\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programmi\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: Kodak EasyShare software.lnk = C:\Programmi\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O8 - Extra context menu item: &ieSpell Options - res://C:\Programmi\ieSpell\iespell.dll/SPELLOPTION.HTM
O8 - Extra context menu item: Check &Spelling - res://C:\Programmi\ieSpell\iespell.dll/SPELLCHECK.HTM
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Lookup on Merriam Webster - file://C:\Programmi\ieSpell\Merriam Webster.HTM
O8 - Extra context menu item: Lookup on Wikipedia - file://C:\Programmi\ieSpell\wikipedia.HTM
O9 - Extra button: ieSpell - {0E17D5B7-9F5D-4fee-9DF6-CA6EE38B68A8} - C:\Programmi\ieSpell\iespell.dll
O9 - Extra 'Tools' menuitem: ieSpell - {0E17D5B7-9F5D-4fee-9DF6-CA6EE38B68A8} - C:\Programmi\ieSpell\iespell.dll
O9 - Extra button: (no name) - {1606D6F9-9D3B-4aea-A025-ED5B2FD488E7} - C:\Programmi\ieSpell\iespell.dll
O9 - Extra 'Tools' menuitem: ieSpell Options - {1606D6F9-9D3B-4aea-A025-ED5B2FD488E7} - C:\Programmi\ieSpell\iespell.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-01.sun.com/s/ESD5/JSCDL/jre/6u11-b90/jinstall-6u11-windows-i586-jc.cab?e=1228746883646&h=4eb4ee7fb77db7e9368d70b53e46c607/&filename=jinstall-6u11-windows-i586-jc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Programmi\File comuni\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programmi\File comuni\Acronis\Fomatik\TrueImageTryStartService.exe

--
End of file - 10009 bytes

Ciao dopo aver scansionato in modalità provvisoria con Ad-Aware che ha trovato diversi malware
(purtroppo non mi sono segnato), li ho messi in quarantena, tranne uno che non riesco a spostarlo e tantomeno ad eliminarlo, si tratta di:
Win 32 Trojan agent, nella sottocartella dice:
Registy entri Root:HKLM path: SPYTEM\Control\set001\Control\SafeBoot\Minimal\\ctl_w32.sys.
Mi dici come faccio ad eliminarlo.
Grazie

io ti avevo indicato sopra il metodo per la pulizia completa, poi vedi tu che fare ;)

Ciao dopo aver scansionato in modalità provvisoria con Ad-Aware che ha trovato diversi malware
(purtroppo non mi sono segnato), li ho messi in quarantena, tranne uno che non riesco a spostarlo e tantomeno ad eliminarlo, si tratta di:
Win 32 Trojan agent, nella sottocartella dice:
Registy entri Root:HKLM path: SPYTEM\Control\set001\Control\SafeBoot\Minimal\\ctl_w32.sys.
Mi dici come faccio ad eliminarlo.
Grazie

Allora intanto fai prima una bella pulizia con HiJackThis 2,fixando tutto ciò che non serve,toolbar,aggionamenti etc... compresi quelli che lanciano iespell.dll.
Per cancellare i file infetti,devi fare attenzione,ogni file infetto te lo devi segnare e lo vai cercare,guarda il percorso,solitamente stanno in C:\WINDOWS\system32 o C:\WINDOWS\system32\drivers,ma li puoi trovarre anche in altri posti.
Altra cosa devi disattivare il ripristino di sistema,altrimenti al prossimo riavvio te li rimette exnovi.
Non provare a cancellarli subito,perchè se sono in uso il sistema non te lo permetterebbe,dovresti disabilitarli dal taskmanager quando ci sono.
I files infetti non si fanno cancellare,però i fessi si fanno spostare tranquillamente,quindi tu fai una cartella sul desktop e li trascini al suo interno,alcune volte scatterà unlocker,che ti darà una mano.
Fatto questo,i file spostati al prossimo riavvio potranno essere cancellati tranquillamente,perchè non più usati.
Adesso potrai usare SUPERAntiSpyware o Malwarebytes,per pulire il registro dalle infezioni,anche NOD32,adesso sarà in grado di funzionare bene.
Potrebbe sembrare una cosa difficile,però quando prendi la mano,diventa un gioco,io in una giornata ne spidocchio 4 o 5,quasi tutto manualmente, l'intelligenza umana è superiore a quella dei computer che al momento sanno contare solo da 0 a 1.

Ciao, volevo dirti che ho risolto ti spiego come, ho fatto 2 operazioni non so se sono state complementari o ne bastava una.
1) ho aperto D con esplora quindi in menu\strumenti\opzioni cartella\visualizza ho messo la spunta in visualizza file nascosti e ho tolto la spunta su nascondi file protetti di sistema, fatto questo in D sono apparsi il file autorun e la cartella resycled, le ho cacellate con schift canc cosi non sono passato tramite il cestino.
2) In modalità provvisoria ho scansionato con Avira Antivir, il quale ha trovato diversi file infetti, alla fine ho riavviato e tutto funzionava perfettamente.
Grazie comunque x le indicazioni che mi avete dato

Ciao, volevo dirti che ho risolto ti spiego come, ho fatto 2 operazioni non so se sono state complementari o ne bastava una.
1) ho aperto D con esplora quindi in menu\strumenti\opzioni cartella\visualizza ho messo la spunta in visualizza file nascosti e ho tolto la spunta su nascondi file protetti di sistema, fatto questo in D sono apparsi il file autorun e la cartella resycled, le ho cacellate con schift canc cosi non sono passato tramite il cestino.
2) In modalità provvisoria ho scansionato con Avira Antivir, il quale ha trovato diversi file infetti, alla fine ho riavviato e tutto funzionava perfettamente.
Grazie comunque x le indicazioni che mi avete dato

Be te la sei cavata,perchè i virus dellle pennine,escluso qualche eccezione,sono facilmente cancellabili,sono meno incarnati nei registri,ma la tua soluzione è quella che avevo detto nel primo intervento,mentre il secondo era per le infezioni più gravi.