Notepad.exe Infetto

[achermmi]

Ciao,

L'altra sera mi sono confrontato con un virus probabilmente del tipo QAZ Trojan.

Secondo l'AV il file notepad.exe era infetto. Ora ho rimosso il virus con un tools trovato sulla rete.

Ma vorrei essere sicuro che il mio PC sia pulito.

Dimenticavo, sia il So che l'AV erano aggiornati.

PF potreste dare un occhio al log di Hijack.

Grazie mille e Ciao :omaggi:

Logfile of HijackThis v1.99.1

Scan saved at 09:56:04, on 29.10.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

c:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe

C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe

C:\Programmi\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\STacSV.exe

C:\WINDOWS\system32\svchost.exe

C:\Programmi\UPHClean\uphclean.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe

C:\Programmi\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\Brightness.exe

C:\WINDOWS\system32\arc.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Programmi\Apple Keyboard Support\KbdMgr.exe

C:\WINDOWS\system32\rundll32.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\applemou.exe

C:\Programmi\File comuni\Mediafour\MACVNTFY.EXE

C:\Programmi\Mediafour\MacDrive\MDDiskProtect.exe

C:\WINDOWS\MacBookTrayTools.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programmi\TechSmith\SnagIt 7\SnagIt32.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Programmi\TechSmith\SnagIt 7\TSCHelp.exe

C:\Programmi\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Temp\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ig?hl=it

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programmi\TechSmith\SnagIt 7\SnagItBHO.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programmi\TechSmith\SnagIt 7\SnagItIEAddin.dll

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [AppleTime] C:\WINDOWS\system32\AppleTime.exe

O4 - HKLM\..\Run: [brightness] C:\WINDOWS\system32\Brightness.exe

O4 - HKLM\..\Run: [arc] C:\WINDOWS\system32\arc.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [Apple_KbdMgr] "C:\Programmi\Apple Keyboard Support\KbdMgr.exe"

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [applemou] applemou.exe /s

O4 - HKLM\..\Run: [Mediafour Mac Volume Notifications] "C:\Programmi\File comuni\Mediafour\MACVNTFY.EXE" /auto

O4 - HKLM\..\Run: [MediafourGettingStartedWithMacDrive6] "C:\Programmi\Mediafour\MacDrive\MacDrive.exe" /runonce

O4 - HKLM\..\Run: [MDDiskProtect.exe] C:\Programmi\Mediafour\MacDrive\MDDiskProtect.exe

O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programmi\Diskeeper Corporation\Diskeeper\DkIcon.exe"

O4 - HKLM\..\Run: [MacBookTrayTools] MacBookTrayTools.exe

O4 - HKLM\..\Run: [sigmatelSysTrayApp] sttray.exe

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKCU\..\Run: [AWMON] "C:\Programmi\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"

O4 - Global Startup: SnagIt 7.lnk = C:\Programmi\TechSmith\SnagIt 7\SnagIt32.exe

O4 - Global Startup: Taskmgr.lnk = C:\WINDOWS\system32\taskmgr.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1160144001250

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = achermann.ticinocom.ch

O17 - HKLM\Software\..\Telephony: DomainName = achermann.ticinocom.ch

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = achermann.ticinocom.ch

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = achermann.ticinocom.ch

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe

O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programmi\File comuni\Logitech\SrvLnch\SrvLnch.exe

O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: SQL Server FullText Search (ACHSQL) (msftesql$ACHSQL) - Unknown owner - C:\Programmi\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\msftesql.exe" -s:MSSQL.1 -f:ACHSQL (file missing)

O23 - Service: SQL Server (ACHSQL) (MSSQL$ACHSQL) - Unknown owner - C:\Programmi\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sACHSQL (file missing)

O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\WINDOWS\system32\STacSV.exe

Modificato October 29, 2006 da Mapi

[dinop]

Il tuo log sembra "pulito", tranne per il software "arc.exe" nella cartella di sistema di Windows che potrebbe essere un programma di compressione tipo winzip oppure no, visto la sua collocazione. Nel caso fosse un sw conosciuto e installato da te ok, altrimenti dovremmo procedere alla disinfestazione...

Alcune considerazioni:

1. è sconsigliato far girare HJT da una cartella temporanea, dato che HJT crea un backup per le chiavi eventualmente foixate. Ti consiglio di creare una cartella permanente e copiarci HiJackThis.exe

2.non risulta essere attivo un firewall. Se usi quello di windows è consigliabile disattivarlo ed installarne un altro. Nella sezione delle guide e tutorial troverai spiegazioni, elenchi e link di numerosi firewall free e a pagamento...

Ciao, Dinop...

[achermmi]

Ti ringrazio molto, seguirò i tuoi suggerimenti.

Il file arc.exe non l' ho installato, io uso altri programmi per la de-compressione.

Pensi debba rimuoverlo ? come ?

Grazie mille e complimenti per il tempismo. :up1:

Grazie ancora e buona giornata

Modificato October 29, 2006 da Mapi

[Kuma]

Ciao e Ben arrivato/a nel forum, ...Mapi

Se vuoi presentarti alla comunità perchè non fai un salto in "Benvenuto", la discussione creata proprio per accogliere i nuovi iscritti. (Naturalmente non sei obbligato a farlo )

Ricordati, infine, di aprire nuove discussioni usando titoli specifici: un titolo troppo generico come "Aiuto" o "Consiglio" è inutile perchè non permette di capire subito la tua richiesta e rende più difficili le ricerche per gli altri utenti.

Buona permanenza in WinInizio!

Il file ARC.exe, prima di eliminarlo, fallo analizzare su VIRUS TOTAL (nella mia firma)

Potrebbe essere una backdoor

Se lo elimini, fallo dalla modalità provvisoria

Per quello che riguarda notepad.exe, si tratta di un falso positivo segnalato da AVAST dopo un aggiornamento non riuscito perfettamente...

Riaggiorna AVAST manualmente

e ristabilisci il file (è il blocco note)

Se non riesci a ristabilirrlo, puoi prelevarlo nella sezione ANTIVIRUS, dove altri utenti hanno avuto il tuo stesso problema...

[alessio_777]

Anche io tre sere fa ho avuto lo stesso problema segnalato da Avast. Tre trojan Horse e notepad infetto. Ho eliminato il file, come faccio a rimettere il blocconote???

Modificato October 29, 2006 da alessio_777

[achermmi]

Ciao,

ho testato il file arc.exe come consigliato da KUMA.

Il file non è infetto, pertanto lo lascio.

Ho provato comunque a rimuovere l'avvio automatico di queto file da: HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\Run\ (ho fattto una copia di Bkup)

Ho poi provato a riavviare il PC senza notare problematiche di alcun tipo.

Ciao e Grazie ancora

Modificato October 29, 2006 da Mapi

[Kuma]

Anche io tre sere fa ho avuto lo stesso problema segnalato da Avast. Tre trojan Horse e notepad infetto. Ho eliminato il file, come faccio a rimettere il blocconote???

Il file Notepad.Exe, se lo hai eliminato e vuoi ristabilirlo, puoi prelevarlo da qui:

http://www.wininizio.it/forum/index.php?s=...st&p=277303

[alessio_777]

Grazie Kuma..sempre puntuale!!! Ma il link non funziona!

Modificato October 29, 2006 da alessio_777

[Kuma]

e te pareva che l'azzeccavo al primo colpo

eccolo: http://www.wininizio.it/forum/index.php?s=...st&p=277303

Da copiare nella cartella di WINDOWS

[alessio_777]

Grazie kuma..ma avendo il cd originale con SP2.. e cliccando da esegui

sfc /scannow risolvo tutti i problemi? Mi era stato segnalato che i files di sistema erano stati sostituiti da versioni non riconosciute. Ho risolto in questo modo???

[Lorenz]

Probabilmente con sfc /scannow risolvi. Se non risolvi, sul CD di XP, nella cartella i386 dovrebbe esserci il file compresso, che probabilmente si chiama "notepad.ex_". Basta decomprimerlo con il comando "expand" per poterlo ripristinare correttamente. Se con sfc /scannow non risolvi, vedremo di seguire questa strada, anche se mi sembra strano che col file allegato non si risolva...