Aggiornamento: Il Virus manda Link ai contatti? Come Difendersi su Windows Live Messenger
Da un po di tempo si diffonde tramite Windows Live Messenger un virus che si nasconde sotto forma di file .zip inviato dai contatti infetti, che invita ad accettare un file chiamato “Photo_Album.zip“.
Per rimuovere il virus Photo_Album.zip si può utilizzare il tool Msn Fix, scaricabile gratuitamente da qui, oppure è possibile operare manualmente.
In base alla variante, all’interno di Photo_Album.zip si trova photo album.pif o photo album2007.pif.
Vediamo di capire come funziona il malware per poterlo rimuovere manualmente. Come si può leggere su P2P Forum queste sono le azioni che compie il virus:
Il malware copia e crea i seguenti files:
%windows%\photo album.zip
%system%\rdfhost.dll
%system%\rdihost.dll
%system%\rdshost.dll
dove %windows% è la cartella dove avete installato Windows e %system% corrisponde a \windows\system su win98 e ME, e \windows\system32 su win2000 e XP
Vengono inoltre create le seguenti chiavi di registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad]
rdshost = {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}
[HKEY_CLASSES_ROOT\CLSID\{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}\
InProcServer32]
@= rdshost.dll
[HKEY_CLASSES_ROOT\CLSID\{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}\
InProcServer32] @= rdfhost.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad]
rdshost = {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}
ed il seguente valore alla voce O21 visibile nel log di hijackthis:
O21 – SSODL: rdihost – {77346362-72F4-48E9-B076-A921E28DC0F2} – rdihost.dll (file missing)
In questo caso la dll è rdihost.dll, ma potrebbe essere anche rdshost.dll oppure rdfhost.dll con reltivi codici diversi.
Per rimuovere manualmente il virus cancelliamo i file:
C:\windows\photo album.zip
C:\Windows\System32\rdfhost.dll
C:\Windows\System32\rdihost.dll
C:\Windows\System32\rdshost.dll
e le chiavi di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad\rdfhost
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad\rdihost
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad\rdshost
Infine eliminiamo il contenuto della cartella C:\windows\Prefetch e riavviamo.
io il 67\’09 ho preso il virus photo album e non riesco a mandare ne ricevere messaggi su msn. come posso fare?
a me è arrivato il messaggio ” foto” con una faccina sorridente, e il seguente indirizzo: ” http.//tuephoto.tu.ohost.de/getimage.php?=-indirizzo mail-” quindi un pò diverso, che devo fare? da quel momento riesco a connettermi, ma dopo poco si blocca il puntatore e lampeggiano velocissime delle finestre, e si blocca tutto.
anche a me succede come la ragazza marthia…come si fa??
come devo fare a togliere sto virus,mi sn confusa tutta
Anche a me è successa la stessa cosa!!!
Ho provato anche ha fare un programmino .bat con dei comandi che eliminavano i file del virus e le chiavi di registro indicate, poi l’ho tramutato in .exe ma niente!!! Il virus è ancora lì!!! E come se non bastasse ogni 3 secondi mi arrivano 3 avisi di errore con scritto:”Impossibile trovare il disco “.
Vi prego AIUTO!!!
ma dove stanno le chiavi di registro?? non le trovo