Palmare infetto

[ubbicom]

Ciao, il mio palmare appena acquistato usato si è preso un virus da internet e non riesco più ad eseguire nessuna operazione:

ASUS Eee 1005P
Processore: Intel Atom N450
S.O.: Windows 7 Starter

Cosa posso fare?
Grazie

[SkinBonno]

In che senso non riesci a eseguire nessuna operazione? Non riesci a lanciare nessun programma (intendiamoci bene, per nessuno intendo proprio nessuno).

Se qualcosa riesci a farlo partire, prova queste due scansioni:
Scarica Hijackthis , scompattalo in una cartella a lui dedicata (tipo C:/Programmi/Hijackthis), avvialo e premi Do a Sistem scan and Save a Log file. Copia e incolla sul forum il log che ti verrà fuori.

Scarica e installa Malwarebytes . Aggiornalo e fai una scansione completa del computer. Posta il rapporto ottenuto. Per ora non rimuovere nessuna eventuale minaccia rilevata, aspetta nostre conferme.

Se invece ti è impossibilitato eseguire qualsiasi operazione, prova con il rescue disk di Avira.

[ubbicom]

Originariamente inviato da SkinBonno
In che senso non riesci a eseguire nessuna operazione? Non riesci a lanciare nessun programma (intendiamoci bene, per nessuno intendo proprio nessuno).

Se qualcosa riesci a farlo partire, prova queste due scansioni:
Scarica Hijackthis , scompattalo in una cartella a lui dedicata (tipo C:/Programmi/Hijackthis), avvialo e premi Do a Sistem scan and Save a Log file. Copia e incolla sul forum il log che ti verrà fuori.

Scarica e installa Malwarebytes . Aggiornalo e fai una scansione completa del computer. Posta il rapporto ottenuto. Per ora non rimuovere nessuna eventuale minaccia rilevata, aspetta nostre conferme.

Se invece ti è impossibilitato eseguire qualsiasi operazione, prova con il rescue disk di Avira.

Grazie per aver risposto.

Non riesco a lanciare nessun programma ( word, excel, outlook, etc) perchè mi dice che sono infetti. Se provo ad andare su internet mi apre pagine bianche nonostante la connessione sia attiva.
Il tool di windows 7 mi avvisa della presenza dei trojan e dei worm ma cerca di accedere ad internet per aggiornare la protezione, ma viene bloccato...

[SkinBonno]

Allora, ti posto tutte le cose che potrebbero servire per ripristinare il pc, e i modi di utilizzarli;
scarica tutto da un altro pc, salva gli eseguibili su di una chiavetta e copiali sul palmare.
Mi raccomando, dopo che hai attaccato la chiavetta al palmare, per accertarti che non sia infetta, abilita la visualizzazione dei file nascosti e vedi se nella chiavetta c'è qualche file .exe o qualche file autorun.inf che non conosci. Se presenti, riporta i nomi nel messaggio, e aspetta altre istruzioni (non utilizzarla su nessun altro pc nel frattempo), altrimenti puoi stare tranquillo e usarla.

-Hijack (vedi sopra)

-Malwarebytes (vedi sopra)

-Ccleaner
Scarica CCleaner , eseguilo, ripulisci i file temporanei e i cookies e ripara i problemi del registro. In fase di installazione togli la spunta alla casella della yahoo toolbar, non installarla.

-ATF Cleaner
Scarica Atf Cleaner, esegui una pulizia completa (spunta select all ((se non vuoi perdere le password di internet e\o mozilla lascia solo quella casella libera)). Eseguilo 2 volte.

-Combofix
Scarica Combofix usando Internet Explorer e salvalo sul desktop. Quando lo salvi, rinominalo in abc.exe. Disconnettiti da internet, disattiva l'antivirus. Avvia Combofix (abc.exe) e attendi la fine della scansione.
Non eseguire nessuna operazione mentre Combofix analizza il pc, non muovere nemmeno il mouse, potresti bloccare la scansione.
Finita la scansione il pc si dovrebbe riavviare e in C: dovresti avere un rapporto Combofix.txt. Carica questo rapporto su Wikisend e riporta sul forum il link che otterrai.

N.B. Nel caso non riesci a fare partire combofix, da start-->esegui copia e incolla questa riga di comando comprese le virgolette e dai invio:

"%userprofile%\desktop\abc.exe" /killall

La scansione dovrebbe partire in automatico.




Prova prima con queste procedure (eseguile in fila come te le ho scritte):
-se riesci a fare qualcuna delle procedure, ma non riesci ad accedere a internet per postare i log, passali su un altro pc con la chiavetta (se pulita);
-se invece non riesci a far partire nessuno di questi programmi, segui la guida del messaggio sopra per utilizzare il rescue cd.

[ubbicom]

Grazie per i suggerimenti.

Sono riuscito a ripristinare il palmare solo con ComboFix, posto il log e fatemi sapere, grazie di nuovo.

codice:

ComboFix 11-02-24.05 - Asus 25/02/2011  13:28:08.1.2 - x86 MINIMAL
Microsoft Windows 7 Starter   6.1.7600.0.1252.39.1040.18.1014.653 [GMT 1:00]
Eseguito da: E:\ComboFix.exe
AV: Trend Micro Internet Security *Disabled/Updated* {68F968AC-2AA0-091D-848C-803E83E35902}
FW: Personal Firewall di Trend Micro *Disabled* {70A91CD9-303D-A217-A80E-6DEE136EDB2B}
SP: Trend Micro Internet Security *Disabled/Updated* {D3988948-0C9A-0693-BE3C-BB4CF86413BF}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Creato nuovo punto di ripristino
.

(((((((((((((((((((((((((((((((((((((   Altre eliminazioni   )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programdata\FullRemove.exe
c:\programdata\pDcHeDi09000
c:\programdata\pDcHeDi09000\pDcHeDi09000
c:\programdata\pDcHeDi09000\pDcHeDi09000.exe
c:\users\Asus\AppData\Roaming\.#
c:\windows\system32\service
c:\windows\system32\service\08012011_TIS17_PccScan.log
c:\windows\system32\service\08022011_TIS17_SfFniAU.log
c:\windows\system32\service\20022011_TIS17_SfFniAU.log
c:\windows\system32\service\21022011_TIS17_SfFniAU.log
c:\windows\system32\service\24022011_TIS17_SfFniAU.log
c:\windows\system32\service\24072010_TIS17_PccScan.log
c:\windows\system32\Thumbs.db

.
(((((((((((((((((((((((((   Files Creati Da 2011-01-25 al 2011-02-25  )))))))))))))))))))))))))))))))))))
.

2011-02-25 12:37 . 2011-02-25 12:37	--------	d-----w-	c:\users\Default\AppData\Local\temp
2011-02-25 09:32 . 2011-02-11 06:54	5943120	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{8B14FCAE-8838-4C4B-ABD0-0F6669184401}\mpengine.dll
2011-02-24 07:51 . 2010-09-14 06:07	276992	----a-w-	c:\windows\system32\wcncsvc.dll
2011-02-23 08:08 . 2011-01-07 07:31	442880	----a-w-	c:\windows\system32\XpsPrint.dll
2011-02-23 08:08 . 2011-01-07 07:31	288256	----a-w-	c:\windows\system32\XpsGdiConverter.dll
2011-02-15 19:14 . 2011-02-15 19:14	--------	d-----w-	c:\program files\Microsoft.NET
2011-02-12 12:46 . 2011-02-12 12:46	--------	d-----w-	c:\users\Asus\AppData\Local\IE_BHO_Helper
2011-02-12 12:46 . 2011-02-12 12:46	--------	d-----w-	c:\users\Asus\AppData\Local\assembly
2011-02-10 07:16 . 2010-12-21 05:38	73728	----a-w-	c:\windows\system32\wscsvc.dll
2011-02-10 07:16 . 2010-12-21 05:38	51200	----a-w-	c:\windows\system32\wscapi.dll
2011-02-10 07:16 . 2010-12-21 05:38	350720	----a-w-	c:\windows\system32\winhttp.dll
2011-02-10 07:16 . 2010-12-21 05:38	204800	----a-w-	c:\windows\system32\WebClnt.dll
2011-02-10 07:16 . 2010-12-21 05:38	14336	----a-w-	c:\windows\system32\slwga.dll
2011-02-10 07:16 . 2010-12-21 05:34	80384	----a-w-	c:\windows\system32\davclnt.dll
2011-02-10 07:16 . 2011-02-03 05:45	219008	----a-w-	c:\windows\system32\drivers\dxgmms1.sys
2011-02-08 15:36 . 2011-02-08 15:36	--------	d-----w-	c:\users\Asus\AppData\Local\ASUS
2011-02-07 15:29 . 2011-02-07 15:29	--------	d-----w-	c:\program files\Common Files\Java
2011-02-07 15:27 . 2011-02-07 15:27	411368	----a-w-	c:\windows\system32\deploytk.dll
2011-02-07 15:27 . 2011-02-07 15:27	--------	d-----w-	c:\program files\Java

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-02 16:11 . 2010-04-25 20:18	222080	------w-	c:\windows\system32\MpSigStub.exe
.

(((((((((((((((((((((((((((((((((((((   Punti Reg Caricati   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati. 
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{b879dc47-7f5a-4973-a570-1e03a60c7c02}]
2010-02-25 10:04	466944	----a-w-	c:\program files\IE-BHO-Helper\adxloader.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HotkeyMon"="AsusSender.exe" [2009-09-11 33768]
"HotkeyService"="AsusSender.exe" [2009-09-11 33768]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-10-05 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-10-05 173592]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-10-05 150552]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-09-29 7744032]
"Eee Docking"="c:\program files\ASUS\Eee Docking\Eee Docking.exe" [2009-11-17 414384]
"LiveUpdate"="AsusSender.exe" [2009-09-11 33768]
"SuperHybridEngine"="AsusSender.exe" [2009-09-11 33768]
"OOBESetup"="c:\program files\asus\OOBERegBackup\OOBERegBackup.exe" [2009-09-30 338096]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-28 35696]
"UfSeAgnt.exe"="c:\program files\Trend Micro\Internet Security\UfSeAgnt.exe" [2010-02-23 1024368]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2009-12-17 149224]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"GrpConv"="grpconv -o" [X]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

R1 AsUpIO;AsUpIO;c:\windows\system32\drivers\AsUpIO.sys [2009-07-06 11448]
R1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
R2 AsusService;Asus Launcher Service;c:\windows\System32\AsusService.exe [2009-08-19 219136]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 OberonGameConsoleService;Oberon Media Game Console service;c:\program files\Asus\Game Park\GameConsole\OberonGameConsoleService.exe [2009-09-15 44312]
R2 ONDA Autorun CDROM Monitor;ONDA Autorun CDROM Monitor;c:\windows\system32\SupportAppXL\onda_mon.exe [2008-09-17 86016]
R2 tmpreflt;tmpreflt;c:\windows\system32\DRIVERS\tmpreflt.sys [2010-07-30 36432]
R3 L1C;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller (NDIS 6.20);c:\windows\system32\DRIVERS\L1C62x86.sys [2009-07-27 51712]
R3 ONDAusbmdm6k;ONDA Proprietary USB Driver;c:\windows\system32\DRIVERS\ONDAusbmdm6k.sys [2008-09-16 104960]
R3 ONDAusbnet;ONDA USB-NDIS miniport;c:\windows\system32\DRIVERS\ONDAusbnet.sys [2008-09-16 110080]
R3 ONDAusbnmea;ONDA NMEA Port;c:\windows\system32\DRIVERS\ONDAusbnmea.sys [2008-09-16 104960]
R3 ONDAusbser6k;ONDA Diagnostic Port;c:\windows\system32\DRIVERS\ONDAusbser6k.sys [2008-09-16 104960]
R3 tmevtmgr;tmevtmgr;c:\windows\system32\DRIVERS\tmevtmgr.sys [2010-07-19 51792]
R3 tmlwf;Trend Micro NDIS 6.0 Filter Driver;c:\windows\system32\DRIVERS\tmlwf.sys [2009-08-22 146448]
R3 TmPfw;Trend Micro Personal Firewall;c:\program files\Trend Micro\Internet Security\TmPfw.exe [2009-08-22 497008]
R3 TmProxy;Trend Micro Proxy Service;c:\program files\Trend Micro\Internet Security\TmProxy.exe [2009-08-22 689416]
R3 tmwfp;Trend Micro WFP Callout Driver;c:\windows\system32\DRIVERS\tmwfp.sys [2009-08-22 283152]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	SSDPSRV upnphost SCardSvr TBS FontCache fdrespub AppIDSvc QWAVE wcncsvc
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.gogle.it/
uInternet Settings,ProxyServer = http=127.0.0.1:18810
uInternet Settings,ProxyOverride = <local>
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

Toolbar-Locked - (no file)
HKLM-Run-SynTPEnh - %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
HKLM-Run-SynAsusAcpi - %ProgramFiles%\Synaptics\SynTP\SynAsusAcpi.exe
HKLM-RunOnce-<NO NAME> - (no file)


.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Ora fine scansione: 2011-02-25  13:40:20
ComboFix-quarantined-files.txt  2011-02-25 12:40

Pre-Run: 80.282.947.584 byte disponibili
Post-Run: 80.204.165.120 byte disponibili

- - End Of File - - 03CF9797BFCF23E5BB91265E32C629DD

[SkinBonno]

La prossima volta segui le istruzioni per postare il log di Combofix, messo così non è di facile lettura.

Apri il blocco note, copia\incolla tutta questa citazione:

Killall::

File::
c:\program files\IE-BHO-Helper\adxloader.dll

Folder::
c:\users\Asus\AppData\Local\IE_BHO_Helper

Salva questo file nella stessa cartella dove hai salvato Combofix (in teoria il desktop) come file di testo e come nome obbligatoriamente CFScript.txt
Trascina il file appena creato sull'icona di Combofix, dovrebbe partire la scansione in automatico. Posta il log come indicato nelle precedenti istruzioni.

[ubbicom]

Ok:
http://wikisend.com/download/380836/ComboFix.txt

[SkinBonno]

Per favore, leggi attentamente le istruzioni che ti vengono date, altrimenti non andiamo più avanti. Esegui lo script che ti ho indicato e carica su wikisend il nuovo log che si genererà, non quello vecchio.