Trojan hourse clicker DAO

[la_freddi]

Ciao a tutti, ho un problema con il mio pc, quando lo avvio il mio AVG anti virus mi riconosce un virus dal nome Trojan hourse clicker DAO e mi dice che si trova in una cartella Temp sul file WINSYST32.EXE. Naturalmente dico al mio anti virus di curarlo e lui apparentemente lo fa ma quando vado a cambiare user o mi salta il salvaschermo questo si ripresenta.
Dopo qualche minuto il pc mi da segnalazione che Explorel ha creato errori e salta e subito dopo mi da la stessa finestra di errora ma con il file DRWTSN32.EXE e dopo il mio povero pc va in palla e mi tocca riavviarlo direttamente dal pulsante di reset.

AIUTATEMMMIII!!! perfavore...

[Luke57]

Ciao, posta un log di hijackthis, nel forum trovi come fare.

[linosole]

anchio ho qualcosa di simile winsmrdll il mio AV lo rileva però non si riesce a togliere pur togliendolo al riavvio ricompare

[la_freddi]

ecco Luke57 qua il mio log of hijackThis... ce qualcosa che nn va bene??

Logfile of HijackThis v1.99.1
Scan saved at 16.18.57, on 14/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Class - {9BDE5425-A0CB-29E0-DBDD-53D9E9DBCBC6} - C:\WINDOWS\abidq1.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing)
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AVG7_CC] "C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe" /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [ASM] "C:\Programmi\AOL\Active Security Monitor\ASMonitor.exe" HIDEMAIN
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE" /P26 "EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"
O4 - HKLM\..\Run: [rdoi1.exe] C:\WINDOWS\TEMP\rdoi1.exe
O4 - HKLM\..\RunOnce: [ws_uninst] C:\DOCUME~1\elena\IMPOST~1\Temp\ws_uninst.exe -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.0.720.4156\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programmi\eMule\emule.exe -AutoStart
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Ringo Launcher.lnk = C:\Programmi\Ringo\Hub.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - http://www.mypixmania.com/importer/MypixUploader.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://www.messenger.it/download/MsnMes ... loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C4740DE8-63A4-48ED-8CA0-F1E314DB8CFC}: NameServer = 29.253.128.10
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe

[Erick]

Stesso problema.
come si estirpa questa infenzione?

[la_freddi]

pensavo d'essere lunica ma vedo cheè un male comune... non so aspetto che qualcuno ne sappia più di me e mi dia un suggerimento utile...

[Luke57]

Ciao, scarica questo tooll:
http://pcalsicuro.phpsoft.it/FixGrom.exe
fai uno scan completo, il computer si riavvierà e puoi dire di no alla richiesta di installare Prevx.
Posta il report dello scan che trovi in C:\Gromozon_Removal.log.

Inoltre, usa anche il tool della symantec
Il link al fix della Symantec è questo (176 Kb): http://smallbiz.symantec.com/security_r ... 16-4153-99
L´esito viene salvato nel file FixLinkopt.log

Posta anche questo report.

Inoltre, lancia questo comando:
start>esegui>cmd (lo digfiti nello spazio)>OK
Aperto il prompt, nella posizione dove si trova il cursore digiti
tasklist------ >premi Invio
Ripora in un post la schermata originata dal suddetto comando (nel tuo log di hiajckthis non si vedono i processi)

[la_freddi]

ciao Luke57 ho provato a clicare sui links che mi hai dato ma non mi ci fa andare "Errore caricamento pagina" me li potresti allegare di nuovo...

grazie...

[Luke57]

Ciao, è il malware che ti impedisce di scaricare i tools, bel problema.
Scarica virit da qui
http://www.tgsoft.it/italy/index_ita.html
versione di prova 30 gg., aggiornalo alle ultime definizioni, fai uno scan dalla modalità normale e una dalla modalità provvisoria (ci entri premendo più volte il tasto F8 all'accensione del computer, prima che si carichi windows. Nella schermata che ti appare, scegli modalità provvisoria spostandoti con le freccette.

Posta il report dello scan di virit.

Riprova a utlizzare i tool, quello della Prevx prova anche a scaricarlo da qui:
http://www.prevx.com/gromozon.asp

Inoltre, dimmi quali sono i tuoi processi come ti avevo detto nel post precedente.

[Erick]

Se non esistesse questo spazio bisognerebbe inventarlo!
Anche a me non apriva la pagina per scaricare FixGrom. Come suggerito ho scaricato VirIt e ho fatto una scansione. Mi ha trovato qualcosa che ho prontamente eliminato e così ho potuto scaricare il tool. Ho fatto tutto a dovere anche con il fix della Symantec e tutto cominciava lentamente a sistemarsi.
Ora è tutto pulito.
Grazie a chi ci dedica il suo tempo!

[la_freddi]

Ciao Like57 scusa se nn ho risposto subito mann riuscivo a connettermi a questa paginina ieri... ti copio quello che mi hai chiesto sui miei processi... ma ti volevo anche dire che ho scaricato VIRIT ma ho fatto laggiornamento ma nn riesco a fare la scansione perche mi da errore e nn me la fa fare... sono messa male vero??... posso provare a farala comunque in modalità provvisoria o mi potrebbe dare gli stessi problemei??

ciao...

Nome immagine PID Nome sessione Sessione Utilizzo mem
========================= ====== ================ ======== ============
System Idle Process 0 Console 0 16 K
System 4 Console 0 220 K
smss.exe 636 Console 0 372 K
csrss.exe 692 Console 0 3.916 K
winlogon.exe 720 Console 0 6.476 K
services.exe 768 Console 0 6.088 K
lsass.exe 788 Console 0 1.416 K
ati2evxx.exe 976 Console 0 1.988 K
svchost.exe 1008 Console 0 5.960 K
svchost.exe 1116 Console 0 6.308 K
svchost.exe 1216 Console 0 51.284 K
InCDsrv.exe 1244 Console 0 3.372 K
svchost.exe 1364 Console 0 4.312 K
svchost.exe 1508 Console 0 7.380 K
spoolsv.exe 1684 Console 0 7.844 K
ATKKBService.exe 1808 Console 0 1.872 K
avgamsvr.exe 1824 Console 0 9.316 K
avgupsvc.exe 1840 Console 0 5.540 K
avgemc.exe 1916 Console 0 10.128 K
svchost.exe 2036 Console 0 5.048 K
ati2evxx.exe 628 Console 0 3.236 K
ULCDRSvr.exe 744 Console 0 1.328 K
explorer.exe 1068 Console 0 24.936 K
viritsvc.exe 1080 Console 0 2.032 K
svchost.exe 1644 Console 0 3.156 K
service32.exe 204 Console 0 3.172 K
atiptaxx.exe 412 Console 0 5.576 K
SOUNDMAN.EXE 420 Console 0 3.328 K
ALCWZRD.EXE 428 Console 0 5.500 K
avgcc.exe 468 Console 0 15.556 K
qttask.exe 688 Console 0 2.724 K
alg.exe 1480 Console 0 4.632 K
InCD.exe 1016 Console 0 4.620 K
jusched.exe 364 Console 0 2.292 K
rundll32.exe 1264 Console 0 5.852 K
winampa.exe 1328 Console 0 2.728 K
E_FATIADE.EXE 1784 Console 0 3.016 K
monlite.exe 2052 Console 0 2.860 K
ctfmon.exe 2144 Console 0 3.604 K
msmsgs.exe 2236 Console 0 1.176 K
GoogleToolbarNotifier.exe 2272 Console 0 1.196 K
Hub.exe 2448 Console 0 8.720 K
wscntfy.exe 3404 Console 0 2.672 K
IEXPLORE.EXE 4084 Console 0 56.364 K
cmd.exe 2492 Console 0 2.960 K
tasklist.exe 2360 Console 0 5.576 K
wmiprvse.exe 2672 Console 0 6.756 K

C:\Documents and Settings\elena>

[Erick]

Chiedo scusa ma nel post di prima ho scordato di chiedere:
1. Ad ogni avvio di Windows mi parte la scansione con VirIt. Come posso impedirlo?
2. Siccome lo stesso VirIt è trial e per un mese penso di stare tranquillo, posso momentaneamente impedire ad AVG di caricarsi? e se si come fare? Ora sono sono entrambi caricati in memoria mica ci può essere qualche tipo di problema di conflittualità?
Ho sbattuto la testa in ognidove per poter risolvere i miei problemi di sicurezza prima di decidermi ad iscrivermi a questo forum ora non mi va di perdere tempo per trovare queste piccole soluzioni alle mie piccole domande, tanto ci sono tante persone che ci aiutano

Ciao, scarica questo tooll:
http://pcalsicuro.phpsoft.it/FixGrom.exe
fai uno scan completo, il computer si riavvierà e puoi dire di no alla richiesta di installare Prevx.
Posta il report dello scan che trovi in C:\Gromozon_Removal.log.

Mi era sfuggito il passaggio che potevo anche non installarlo. Mi potrebbe dare problemi soprattutto di rallentamento?

[Luke57]

@erik
Ciao, start>esegui>msconfig (lo digiti nello spazio bianco)>OK
nella finestra che si apre, click sul ab Avvio, togli la spunta a virit o simili, >OK.
AVG lascialo com'è.Disattiva solo virit come ti ho detto.

[Luke57]

@la_freddi
Ciao, apri il taskmanager (se ti funziona: Ctrl+Alt+Canc)
individua fra i processi
service32.exelo evidemzi e premi termina processo.
Se non lo trovi esegui lo stesso le seguenti operazioni:

Apri il registro di sistema:
start>esegui>regedit (lo digiti nello spazio bianco)>OK
Aperto l'editor, cliccando sui + accanto alle singole voci, segui questo percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run, doppio click sulla cartella Run, sulla destra dovresti trovare questo valore
1= C:\Windows\Service32.exe
doppio click sul valore e scegli Elimina.

Riavvia in modalità provvisoria
(Avviare il computer.Subito dopo il calcolo della RAM e prima che inizi a caricarsi Windows, iniziare a premere ripetutamente il tasto F8 sulla tastiera. Continuare a farlo fino a visualizzare il menu Opzioni avanzate di Windows. Usando i tasti freccia sulla tastiera, scorrere le opzioni e selezionare il menu Modalità Provvisoria, quindi premere Invio)

Rendi visibili file e cartelle nascosti:
da gestione del computer>strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi

Cerca ed elimina i seguenti file (se ci sono tutti, se qualcuno non lo trovi vai avanti lo stesso, segui l'ordine):
C:\Windows\Service32.exe
C:\Windows\svchost.exe (non ti confondere con quello legittimo presente in C:\windws\system32\svchost.exe)
C:\Windows\services.exe (non ti confondere con quello legittimo presente in C:\windows\system32\services.exe)
C:\Windows\syst32.dll
C:\Windows\syshost.dll
C:\Windows\iexplorer32.dll

Elimina poi tutti i file temporanei di windows temp e tmp (da start>cerca>tutti i file e cartelle, copi e incolli: *.temp;*.tmp, ed elimini tutti quelli trovati)

sulle opzioni Internet cancella la cache di IE ( sull’opzione elimina file temporanei spunta anche “elimina il contenuto non in linea”, i cookies, cronologia)

Svuota il cestino

Riavvia in modalità normale, riprova a usare virit e gli altri tools.

Riferisci che cosa hai trovato e fatto.

[la_freddi]

ho fatto tutto quello che mi dicevi eeeeee.... per ora non mi da piu problemi e sono riuscita a scaricare il tool e a far fare la scansione dal antivirus yahhhhoooo!!!!!

GRAZIE MILLE LUKE57...