Aggiornamento: Il Virus manda Link ai contatti? Come Difendersi su Windows Live Messenger
Da un po di tempo si diffonde tramite Windows Live Messenger un virus che si nasconde sotto forma di file .zip inviato dai contatti infetti, che invita ad accettare un file chiamato “Photo_Album.zip“.
Per rimuovere il virus Photo_Album.zip si può utilizzare il tool Msn Fix, scaricabile gratuitamente da qui, oppure è possibile operare manualmente.
In base alla variante, all’interno di Photo_Album.zip si trova photo album.pif o photo album2007.pif.
Vediamo di capire come funziona il malware per poterlo rimuovere manualmente. Come si può leggere su P2P Forum queste sono le azioni che compie il virus:
Il malware copia e crea i seguenti files:
%windows%\photo album.zip
%system%\rdfhost.dll
%system%\rdihost.dll
%system%\rdshost.dll
dove %windows% è la cartella dove avete installato Windows e %system% corrisponde a \windows\system su win98 e ME, e \windows\system32 su win2000 e XP
Vengono inoltre create le seguenti chiavi di registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad]
rdshost = {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}
[HKEY_CLASSES_ROOT\CLSID\{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}\
InProcServer32]
@= rdshost.dll
[HKEY_CLASSES_ROOT\CLSID\{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}\
InProcServer32] @= rdfhost.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad]
rdshost = {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}
ed il seguente valore alla voce O21 visibile nel log di hijackthis:
O21 – SSODL: rdihost – {77346362-72F4-48E9-B076-A921E28DC0F2} – rdihost.dll (file missing)
In questo caso la dll è rdihost.dll, ma potrebbe essere anche rdshost.dll oppure rdfhost.dll con reltivi codici diversi.
Per rimuovere manualmente il virus cancelliamo i file:
C:\windows\photo album.zip
C:\Windows\System32\rdfhost.dll
C:\Windows\System32\rdihost.dll
C:\Windows\System32\rdshost.dll
e le chiavi di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad\rdfhost
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad\rdihost
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad\rdshost
Infine eliminiamo il contenuto della cartella C:\windows\Prefetch e riavviamo.
Aspettiamo con ansia un programmino….. XD
Ho preso il virus IMG0024 contenuto all’interno di una cartella zippata…non riesco ad eliminarlo! E’ un’altra versione di photoalbum ma non riesco a farlo fuori! Aiuto!
ho aperto la cartella zip e ho preso il virus..nn riesco ad laiminarlo messenger cade ogni 3 sec..aiutatemi vi prego sto da 4 giorni in questa condizione…!!grazie
anch’io ho presto il virus come Jedi, e da 3 giorni
non riesco ad entrare su msn.. aiutooooo!!
anch’io ho preso il virus come Jedi, e da 3 giorni
non riesco ad entrare su msn.. aiutooooo!!
ciao! ho preso sto virus nn accettando nessun file zippato,quindi nn so kome.. ma nn riesco piu a chattare su msn tranquillamente..ho dei problemi!!ho installato nn so quanti antivirus,li sto provando tutti..messo anti spam, installato lo spybot.. ognuno d esse m toglie un numero assurdo d virus,ma nn riesco a togliere il virus di msn. ho provato cn il programma ke consigliate,ma nn riesco.. e con la procedura manuale i file dentro la cartella system32 nn li trovo! uff….sn disperatissima!! ki mi puo aiutare?? x favooore….. lu!
Ciao anke il mio msn è stato infettato da un virus ke non so se è lo stesso ke infetta gli altri….. la cartella compressa ke mi è arrivata chattando cn un mio amiko si kiama picts-6502 (75 kb) quando mi sn resa conto ke era un virus l’ho cancellata ma…. trp tardi… ora nn so ke fare… ho scaricato MSNFix…. mi ha rilevato il virus ma nn lo cancella…. io di informatica nn ne capisco nulla… so solo ke nn riesco più a parlare cn i miei amici….uff….mi puoi aiutare???? Grazie!!