resycled\boot.com

[dutchsoulboy]

Op de een of andere manier kan ik mijn harde schijven niet openen, wél op verkennen klikken .
Als ik een harde schijf aanklik dan verschijnt: C:\resycled\boot.com is geen geldige win32 toepassing.
Nu heb ik antimalware laten scannen, die vondt de foute files, daarna verwijderd, maar het probleem blijft.
Toen heb ik in het register gezocht naar boot.com, daar vondt ik ook een paar van die files, die heb ik verwijderd, opnieuw opgestart etc, maar het probleem blijft gewoon bestaan.
Iemand nog met andere suggesties ?

 

[lightframe]

Op de een of andere manier kan ik mijn harde schijven niet openen, wél op verkennen klikken .
Als ik een harde schijf aanklik dan verschijnt: C:\resycled\boot.com is geen geldige win32 toepassing.
Nu heb ik antimalware laten scannen, die vondt de foute files, daarna verwijderd, maar het probleem blijft.
Toen heb ik in het register gezocht naar boot.com, daar vondt ik ook een paar van die files, die heb ik verwijderd, opnieuw opgestart etc, maar het probleem blijft gewoon bestaan.
Iemand nog met andere suggesties ?

Er staan verborgen autorun.inf bestanden op de schijven.

Ga in verkenner naar Extra > mapopties > weergave.

Haal vinkje weg bij "Beveiligde besturingssyteembestanden verbergen (aanbevolen)"

En kies (bijna onderaan) bij Verborgen bestanden en mappen, ervoor om verborgen bestanden en mappen wel weer te geven.

Als dat gelukt is zul je op (alle?) schijven een autorun.inf zien staan in de root van de schijf (dus niet in een map).

Verwijder die autorun.inf bestanden!
Daarin staat namelijk de opdracht om X:\resycled\boot.com starten.
X = de schijf waar het autorun.inf bestand op staat.

Mocht je ook mappen zien op de schijven met de naam resycled , dan kun je die ook verwijderen.
(niet verwarren met RECYCLED, dat is je prullenbak)



Mocht je ook een externe schijf of USB stick gebruiken, controleer die dan ook.
Beste is om wanneer je zo'n USB stick in de pc prikt, of een externe schijf aansluit de Shift toets ingedrukt te houden (seconde of 5). Dit voorkomt dat de autorun.inf wordt uitgevoerd.

 

[lightframe]

Als alles weer goed is kun je het beste ervoor kiezen om de besturingssysteembestanden weer te verbergen en ook de verborgen bestanden niet meer weer te geven.

Wanneer je er niet echt veel vanaf weet kunnen die bestanden je flink in de war brengen terwijl ze meestal wel veilig zijn en onmisbaar voor de juiste werking van Windows.

 

[dutchsoulboy]

Nou Lightframe, mag ik je heel erg bedanken voor deze geweldige tip ! :thumb:
Als ik er op google dan is het meestal dat er oplossingen worden aangedragen om programmaatjes te installeren, maar niets hielp.
Nu wel, en nog heel erg eenvoudig ook.
Ik vraag me alleen af hoe het mogelijk is dat dit probleem ontstond.

 

[lightframe]

Nou Lightframe, mag ik je heel erg bedanken voor deze geweldige tip ! :thumb:

Ja hoor, dat mag wel

Als ik er op google dan is het meestal dat er oplossingen worden aangedragen om programmaatjes te installeren, maar niets hielp.

Als het zonder hulp van programmaatjes kan worden verholpen is dat natuurlijk het beste.
De meeste programmaatjes doen ook eigenlijk hele simpele dingen, maar dat zijn dan wél dingen die je zelf nooit bedacht zou hebben

Nu wist je wat te doen, en dat was precies de oplossing.

Ik vraag me alleen af hoe het mogelijk is dat dit probleem ontstond.

Dit wordt door malware geinstalleerd. Het "probleem" is dat die autorun.inf bestanden niet in een HijackThis log te zien zijn. Normaal gesproken zie je in een HijackThis log wel ergens een opstartregel voor malware, nu dus helemaal niet.

En als een ander beveiligingsprogramma wel de daadwerkelijke malware bestanden heeft verwijderd blijven die verrekte autorun.inf bestanden nog steeds aanwezig en krijg je die foutmeldingen bij het openen van de schijven.

 

[dutchsoulboy]

Ja maar hoe wordt het veroorzaakt ?
Ik had zojuist gisteren een hele nieuwe XP install gedaan met de overige software die ik juist altijd installeer en nog nooit tegen dit probleem aangelopen.
Niet dat het erg is als ik het niet weet hoe het gekomen is maar ik ben wel nieuwsgierig en daar wil ik weer wat van leren.
Maar, nogmaals een dikke pluim voor je oplossing hoor ! :thumb:

 

[lightframe]

Ik zal heel erg moeten zoeken in logbestanden die ik bewaar van allerlei tests.
Maar ik heb meer dan een maand geleden malware getest die dit exacte probleem veroorzaakte. Weet 99% zeker dat het een fake codec was. Dus zo'n pop-up dat je een codec nodig hebt om iets te kunnen bekijken of een valse update voor de flash- of shockwave player.

Snelle blik in de logs doet mij vermoeden dat het kwam van een wmcodec_update.exe

Mijn AV detecteerde de autoruns in ieder geval wél.

 

[dutchsoulboy]

Aha dan vermoedt ik dat ik het heb gekregen met het installeren van gomplayer. Daar kan je aanvinken welke codecs je wel en welke je niet geinstalleerd wilt zien. Normaal gesproken vink ik niet veel aan, maar deze keer had ik alles aangevinkt.
Ja, je bent er maar mooi klaar mee met die gekkigheid als je niet weet hoe het opgelost moet worden, maar daar was Lightframe en die bood light in darkness.

 

[lightframe]

Ik moet je teleurstellen, denk niet dat het van GOM Media Player komt. Die zal gewoon echte codecs installeren.

De codecs die ik bedoel zijn helemaal geen echte codecs maar worden opgedrongen als een noodzakelijke codec omdat er anders iets niet zou werken op de desbetreffende website.

De naam van het bestand dat je dan krijgt aangeboden doet ook nog steeds vermoeden dat het een codec of player is, en wanneer je die hebt geïnstalleerd lijkt er niets te zijn gebeurt maar heb je wel malware op je systeem. En dat heb je dan helemaal zelf geïnstaleerd!

In de meeste gevallen zal de malware verbinding maken en een nep anti-virus of anti-spyware programma installeren (rogue software). En die nep scanner geeft dan allerlei waarschuwingen over malware die is aangetroffen op je systeem (is er helemaal niet, die scanner is zelf de malware) en dan kun je een licentie aanschaffen om die zognaamde malware weer te verwijderen.

Het gaat met bijna alle hedendaagse malware alleen maar om de centjes, maak de gebruiker bang met valse berichten zodat de gebruiker programma X koopt.
En het is vaak lastig om die rommel weer te verwijderen.

De malware makers bedenken steeds weer wat nieuws, en de anti-malware makers bedenken dan weer een oplossing. Op zich wel een leuk spel, alleen jammer dat er geen spelregels zijn.....

 

[Rings]

hallo,
ik heb net hetzelfde probleem, alleen,... ik heb geen autorun.inf in de root staan van mijn verschillende partities...

ik had nochtans het vinkje voor de verborgen bestanden al af staan; ik zie geen files in de root.

wat nu

 

[lightframe]

Haal eens 't vinkje bij "Beveiligde systeembestanden verbergen".

Controleer anders eens of het probleem er nog steeds is wanneer je de Shift toets ingedrukt houdt terwijl je in Windows verkenner naar een schijf gaat die normaal gesproken die foutmelding geeft. Het ingedrukt houden van de Shift toets zou de autorun op dat moment tijdelijk moeten uitschakelen/negeren.

 

[Rings]

Haal eens 't vinkje bij "Beveiligde systeembestanden verbergen".

Controleer anders eens of het probleem er nog steeds is wanneer je de Shift toets ingedrukt houdt terwijl je in Windows verkenner naar een schijf gaat die normaal gesproken die foutmelding geeft. Het ingedrukt houden van de Shift toets zou de autorun op dat moment tijdelijk moeten uitschakelen/negeren.

Hey Lightframe,

het vinkje is inderdaad al weggehaald;
Het probleem doet zich enkel voor als ik een partie wil starten via "mijn computer". Als ik hetzelfde doe via verkenner, geeft hij geen melding. raar he.

 

[renske85]

Hoi Lightframe,

Bedankt voor je antwoord op de vraag van Dutchsoulboy! Ik had hetzelfde probleem en jouw oplossing werkte perfect! En dat terwijl ik mezelf toch echt niet beschouw als iemand die meer dan oppervlakkig met computers weet om te gaan. Super!!!

Groetjes,
Renske.

 

[r0land]

Ik wil graag even inhaken op deze discussie..

Ik heb exact het zelfde probleem, ik krijg de melding recycled/boot.com is geen.. enfin ik heb bovenstaande instructies gevolgd en kreeg inderdaad op mn schijven het bestand autorun.inf en de map recycled te zien.

Deze heb ik overal verwijderd om ze enkele seconden later weer terug te vinden.. ik krijg ze dus niet definitief verwijderd van mn systeem...

Kortom... HELP aub

// Roland

 

[Hollandheld]

Geen probleem, ik help je wel:thumb:

Het ''ding'' bestaat eigenlijk uit 2 delen: hetgeen dat autorun.ini / de map resycled maakt, en de autorun.ini /resycled zelf. Jij hebt autorun.ini / de map resycled wel verwijderd, maar niet hetgeen dat ze maakt, dus komen ze weer terug. Oplossing is dus om dat bestand te verwijderen. Snap je?

Download + installeer + update Malwarebytes Anti-Malware.
Open het programma, voer een snelle scan uit en verwijder alle gevonden infecties.

Start je pc opnieuw op

Verwijder hierna autorun.ini en de map resycled van alle partities. Als het goed is komen deze nu niet meer terug.

Vertel het resultaat (niet meer terug / wel terug) en geef me ook het logje van de scan met MBAM, deze is te vinden onder het tabblad Logs in het programma zelf.

 

[r0land]

schijnt geholpen te hebben vooralsnog komen ze niet terug.

THX

Malwarebytes' Anti-Malware 1.31
Database versie: 1507
Windows 5.1.2600 Service Pack 2

16-12-2008 20:51:31
mbam-log-2008-12-16 (20-51-07).txt

Scan type: Snelle Scan
Objecten gescand: 50672
Verstreken tijd: 5 minute(s), 44 second(s)

Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 1
Registersleutels geïnfecteerd: 1
Registerwaarden geïnfecteerd: 0
Registerdata bestanden geïnfecteerd: 13
Mappen geïnfecteerd: 1
Bestanden geïnfecteerd: 4

Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Geheugenmodulen geïnfecteerd:
C:\Program Files\Mozilla Firefox\components\iamfamous.dll (Spyware.Passwords) -> No action taken.

Registersleutels geïnfecteerd:
HKEY_CLASSES_ROOT\extravideo (Trojan.DNSChanger) -> No action taken.

Registerwaarden geïnfecteerd:
(Geen kwaadaardige items gevonden)

Registerdata bestanden geïnfecteerd:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.125;85.255.112.214 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{4a1edfc6-32bb-42d6-b25d-0c39747e6991}\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.125;85.255.112.214 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{9e0a1844-96c8-4be5-8453-1f92a2687a48}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.113.125;85.255.112.214 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{9e0a1844-96c8-4be5-8453-1f92a2687a48}\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.125;85.255.112.214 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.125;85.255.112.214 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{4a1edfc6-32bb-42d6-b25d-0c39747e6991}\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.125;85.255.112.214 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{9e0a1844-96c8-4be5-8453-1f92a2687a48}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.113.125;85.255.112.214 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{9e0a1844-96c8-4be5-8453-1f92a2687a48}\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.125;85.255.112.214 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.125;85.255.112.214 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{4a1edfc6-32bb-42d6-b25d-0c39747e6991}\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.125;85.255.112.214 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{9e0a1844-96c8-4be5-8453-1f92a2687a48}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.113.125;85.255.112.214 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{9e0a1844-96c8-4be5-8453-1f92a2687a48}\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.125;85.255.112.214 -> No action taken.

Mappen geïnfecteerd:
C:\resycled (Trojan.DNSChanger) -> No action taken.

Bestanden geïnfecteerd:
C:\Program Files\Mozilla Firefox\components\iamfamous.dll (Spyware.Passwords) -> No action taken.
C:\WINDOWS\system32\msqpdxosvdbrsr.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\msqpdxserv.sys (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\drivers\msqpdxmqltoiqh.sys (Trojan.Agent) -> No action taken.

// Roland

 

[Hollandheld]

Je heb de gevonden infecties (je hebt meerdere infecties op je pc) niet verwijderd.

Doe een volledige scan en verwijder deze keer alle gevonden infecties!!! (volledige scan duurt ongeveer 1 uur)

Start pc opnieuw op

Verwijder autorun.ini en de map resycled van alle partities.

Start pc opnieuw op

Kijk of ze er niet weer staan en post het resultaat (staan ze er wel / niet) en ook weer het logje van je laatste volledige scan.

 

[r0land]

Bij deze;

Malwarebytes' Anti-Malware 1.31
Database versie: 1507
Windows 5.1.2600 Service Pack 2

17-12-2008 21:24:10
mbam-log-2008-12-17 (21-24-10).txt

Scan type: Volledige Scan (C:\|D:\|L:\|)
Objecten gescand: 138929
Verstreken tijd: 2 hour(s), 20 minute(s), 50 second(s)

Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 0
Registerwaarden geïnfecteerd: 0
Registerdata bestanden geïnfecteerd: 0
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 0

Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Registersleutels geïnfecteerd:
(Geen kwaadaardige items gevonden)

Registerwaarden geïnfecteerd:
(Geen kwaadaardige items gevonden)

Registerdata bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)

Mappen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)

// Roland

 

[Michelle90]

Ik heb een vraagje, ik heb namelijk een ander probleem.
Onlangs heb ik Avira antivirus geïnstalleerd op mijn computer. Avira heeft het bestand resycled/boot.com verwijderd omdat hier een infectie in zou zitten. Het gevolg hiervan is dat ik niet meer op mijn D: schijf kan (alleen dan wel weer met de verkenner). Als ik op de D: schijf klik krijg ik de melding: 'Windows kan het bestand resycled/boot.com niet vinden. Controleer of u de naam juist hebt ingevoerd en probeer het daarna opnieuw.'

Wat moet ik in dit geval doen?

Alvast bedankt

 

[m@rio]

Michelle90,

Uit onze voorwaarden die je tijdens het registreren gelezen hebt:

'Breek niet in' in andermans vraag, heb je een soortgelijk probleem, stel zelf een nieuwe vraag.

Graag een eigen vraag aanmaken.