Virus che disabilita notepad.exe

[barney09]

Originariamente inviato da Cinder
CWS.Googlems.3: A mutation of this variant exists that hijacks IE to idgsearch.com, installs a BHO named 'Microsoft SearchWord' using the filename Word10.dll in the location C:\Documents And Settings\[username]\Application Data\Microsoft\Office.

This version can also be loaded by a fake Notepad.exe file in the Windows system folder. The fake file has an icon different from the default notepad one.

Nel primo link che ho postato si diceva di cercare il file Excel10.dll che sul sito da dove si scarica cwshredder è legato alla variante CWS.Googlems.4 (ecco perche avevo messo questo nome)

Sul sito merijn c'è appunto scritto che il fake notepad è caricato da CWS.Googlems.3 la cui presenza è indicata dal file Word10.dll (credo attivando sempre la visualizzazione dei file nascosti prima di cercarlo)

Comunque non fa differenza entrambe le varianti del trojan hijackers vengono individuate da cwshredder , cercare la dll incriminata è solo un modo per essere certi che il tuo problema sia quello

grandissimo... era proprio lui.. con il tool mi ha ripristinato pure Explorer che intanto era andato a putt


grazie ancora.

[Cinder]

grandissimo... era proprio lui.. con il tool mi ha ripristinato pure Explorer che intanto era andato a putt

:metallica :sexpulp:

[asp-etto]

Ho già risolto o quasi, comunque può servire per ampliare le conoscenze.

La mia EX situazione:
Notepad su windows\system32 non c'era più
ho cercato il relativo file e l'ho trovato in \windows
inoltre ho trovato anche un notepad.exe.bak (?)allora l'ho copiato in system32 e ho cancellato quello in \windows

AAAHHRRRGGG dopo cancellato ricompariva ... il sistema o meglio qualche servizio lo ripristinava! (ovviamente a quel punto ho cancellato anche quello in system32 e il bak .....)

Primo pensiero: Norton, ma non rilevava nulla e adaware mi ha pulito qualche stupidaggine che non sembravano significativi.

Allora ho fatto così msconfig.exe dalla riga di comando e ho avviato in provvisorio.

Poi ho cancellato il notepad.exe, inoltre ho individuato il punto di partenza che era sul file win.ini sotto [program] ed ho cancellato le relative righe.

Adesso cercavo di capire cosa fosse, anche perche sono senza notepad.

Ahhh dimenticavo uno dei link di collegamento del notepad (barra degli strumenti) puntava al servizio csrss.exe il quale da come ho capito ha il massimo in fatto di poteri sotto windows.

Saluti asp-etto (ps consigli ulteriori ben accetti)

PS: i file che excel e word 10.dll non ci sono.