Virus che disabilita notepad.exe

[barney09]

Sul computer del babbo ho notato che il notepad non fungeva,
al posto di puntare a C:\WINDOWS\NOTEPAD.EXE i vari collegamenti puntavano a C:\WINDOWS\SYSTEM32\NOTEPAD.EXE...

Questa sostituzione mi suona tanto di virus ma non riesco a trovare info a riguardo... ho scandagliato la posta ricevuta in cerca di qualche potenziale virus, ma ho solo trovato un .PPS

qualcuno sa darmi qualche info in piu'?

inoltre IE non funge piu', o meglio, crasha con la schermata invio segnalazioni, ma funge se da una finestra digito l'indirizzo internet nella barra dell'indirizzo...

boh

credo che i due problemi siano collegati.

[amvinfe]

C'era Swen che disabilitava, fra le altre cose, il notepad. Non ne ho idea, l'unica cosa che mi viene alla mente è questa, ma ho i miei dubbi; prova a guardare in HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
se hai questa stringa
"DivxUpdater=%windows%/divx.exe

[barney09]

controllero'....

grazie

[Habanero]

di eseguibili notepad ce ne sono effettivamente due, uno in %systemroot% e l'altro in %systemroot%\system32 (... non chiedermi il perchè!)

Ho verificato sia in win2k che in XP. Sul mio Win2k i link puntano a quello in system32

[barney09]

Originariamente inviato da Habanero
di eseguibili notepad ce ne sono effettivamente due, uno in %systemroot% e l'altro in %systemroot%\system32 (... non chiedermi il perchè!)

Ho verificato sia in win2k che in XP. Sul mio Win2k i link puntano a quello in system32

si me ne sono accorto...

il pc in questione ha un Xp Home...

ho risolto rinominando quello in system32 e copiando quello nella Windows in system32...

il file che si trovava in System32 con nome notepad.exe non era il notepad era qualcos'altro... con un icona diversa...

non so cosa fosse... forse un trojan... boh.. ora lo tengo li rinominato in attesa di piu' info... anche su google non ci sono info a riguardo, o meglio non ne ho trovate

[Cinder]

barney09 dai un occhiata quì , potrebbe trattarsi di un trojan dagli indizi che hai dato. Se il falso notepad che hai rinominato pesa circa 18k e dalle proprieta del file ne esce il nome MediaLoad, dovremmo esserci. Attiva la visualizzazione dei file nascosti e cerca il file Excel10.dll, se presente procedi col seguente programma.


Per eliminare il trojan digits o CWS.Googlems.4 scaricati CWShredder da quì , chiudi tutti i programmi e lancialo in esecuzione

[Cinder]

CWS.Googlems.3: A mutation of this variant exists that hijacks IE to idgsearch.com, installs a BHO named 'Microsoft SearchWord' using the filename Word10.dll in the location C:\Documents And Settings\[username]\Application Data\Microsoft\Office.

This version can also be loaded by a fake Notepad.exe file in the Windows system folder. The fake file has an icon different from the default notepad one.

Nel primo link che ho postato si diceva di cercare il file Excel10.dll che sul sito da dove si scarica cwshredder è legato alla variante CWS.Googlems.4 (ecco perche avevo messo questo nome)

Sul sito merijn c'è appunto scritto che il fake notepad è caricato da CWS.Googlems.3 la cui presenza è indicata dal file Word10.dll (credo attivando sempre la visualizzazione dei file nascosti prima di cercarlo)

Comunque non fa differenza entrambe le varianti del trojan hijackers vengono individuate da cwshredder , cercare la dll incriminata è solo un modo per essere certi che il tuo problema sia quello

[barney09]

grazie. Credo che sia proprio lui...

stasera controllo.

[Delmak_O]

prova a vedere qui:

http://securityresponse.symantec.com...qaz.a.fix.html

è il tool di rimozione.

La descrizione del virus la trovi qui:
http://securityresponse.symantec.com...llw.qaz.a.html

con le varianti B/C/D

è un trojan (W32.HLLW.QAZ) che rinomina notepad.exe in note.com e copia se stesso come notepad.exe, dovrebbe aprire per default la porta 7597...se dalla descrizione ti ritrovi (guarda in fondo se hai il valore di registro riportato) e non vuoi utilizzare il fix>
rimozione manuale:
-aggiorna le definizioni dei virus e fai una scansione
-riavvia in modalità provvisoria entrando nell'ms-dos
-digita del notepad.exe
-conferma con enter
-digita ren note.com notepad.exe
-conferma con enter
-digita cd system
dovresti ritrovarti in \Windows\System (E NON IN \WINDOWS)!!!
assicurati di trovarti proprio in quel percorso (\Windows\System e NON \Windows) altrimenti cancelli un file importante (!!!)
-digita del winint.exe
riavvia
fai un back-up del registro, quindi entraci dentro per cancellare questi due valori:
in HKLM/Software/Microsoft/Windows/CurrentVersion/run
ci dovrebbe essere startIE "notepad qazwsx.hsq", clicca su startIE col tasto destro del mouse, quindi elimina...
nella parte di destra, se c'è, cancella pure il valore "bymer.scanner"

[barney09]

grazie...


controllo.