Aggiornamento: Il Virus manda Link ai contatti? Come Difendersi su Windows Live Messenger
Da un po di tempo si diffonde tramite Windows Live Messenger un virus che si nasconde sotto forma di file .zip inviato dai contatti infetti, che invita ad accettare un file chiamato “Photo_Album.zip“.
Per rimuovere il virus Photo_Album.zip si può utilizzare il tool Msn Fix, scaricabile gratuitamente da qui, oppure è possibile operare manualmente.
In base alla variante, all’interno di Photo_Album.zip si trova photo album.pif o photo album2007.pif.
Vediamo di capire come funziona il malware per poterlo rimuovere manualmente. Come si può leggere su P2P Forum queste sono le azioni che compie il virus:
Il malware copia e crea i seguenti files:
%windows%\photo album.zip
%system%\rdfhost.dll
%system%\rdihost.dll
%system%\rdshost.dll
dove %windows% è la cartella dove avete installato Windows e %system% corrisponde a \windows\system su win98 e ME, e \windows\system32 su win2000 e XP
Vengono inoltre create le seguenti chiavi di registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad]
rdshost = {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}
[HKEY_CLASSES_ROOT\CLSID\{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}\
InProcServer32]
@= rdshost.dll
[HKEY_CLASSES_ROOT\CLSID\{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}\
InProcServer32] @= rdfhost.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad]
rdshost = {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}
ed il seguente valore alla voce O21 visibile nel log di hijackthis:
O21 – SSODL: rdihost – {77346362-72F4-48E9-B076-A921E28DC0F2} – rdihost.dll (file missing)
In questo caso la dll è rdihost.dll, ma potrebbe essere anche rdshost.dll oppure rdfhost.dll con reltivi codici diversi.
Per rimuovere manualmente il virus cancelliamo i file:
C:\windows\photo album.zip
C:\Windows\System32\rdfhost.dll
C:\Windows\System32\rdihost.dll
C:\Windows\System32\rdshost.dll
e le chiavi di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad\rdfhost
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad\rdihost
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad\rdshost
Infine eliminiamo il contenuto della cartella C:\windows\Prefetch e riavviamo.
Anke io ho preso lo stesso virus di federica (picts…)…
vi prego aiutateci xke io sto impazzendo… :-(
Grazie….
ho preso il virus ma grazie a msn fix ho risolto il problema grazie
anche io stavo impazzendo per eliminarlo questo virus, ne avast ne avg l’hanno tolto poi ho installato MsnFix, e sono riuscita a eliminare il virus.. per fortuna! :)
anche io ho lo stesso problema di lunetta, so di avere preso il virus dal messenger ma non riesco a cacciarlo via. Ho provato con avast, con spyware doctor, con antiroot kit, con a-square, con hijack this e con msnfix e con MsnCleaner ma non fanno niente!!! Solo Msn Fix mi dice di trovare qualcosa ma non riesce a cancellarlo, o meglio, lo cancella ma al riavvio sono da capo: tutto parte normalmente ma il desktop scompare e avvio i programmi solo con task manager.
Qualcuno sa dirmi cosa devo fare?
Ragazzi, allora ogni volta che cambia il nome del virus cambiano anche le cartelle nel sistema, anche se poi il funzionamento è pressoche uguale.
Però, prima di tutto SMETTETE DI USARE AVG, TUTTI A DIRE CHE E’ IL MIGLIORE, MA NESSUN ANTIVIRUS PUO ESSERE MIGLIORE SE D’ GRATUITO. USATE KASPERSKY, O NOD32 (MA MEGLIO KASPERKSY CHE HA ANCHE IL FIREWALL) se non volete comprarlo be…non devo neanche dirlo. Comunque piuttosto prendetevi la prova gratuita di 30 giorni, e usatela, anche se questo tipo di virus è difficilmente individuabile da un antivirus, lo trovate qui http://www.kaspersky.it . HiJackThis è un ottimo programma, ma bisogna sapere come usarlo, perche agisce sul registro di windows, postate il log che vi viene fuori alla fine della scansione sul sito di HiJackThis, lo trovate anche su Google. Per il resto, se c’e bisogno di altro..chiedete…se siete a Milano siete anche dove sono io…e non sapete quante persone ogni giorno si beccano sto virus…poi una volta imparato…si impara a non aprire niente inviato dagli altri se prima almeno non gli si è chiesto che cosa ci ha inviato…
PS: I FILE .EXE SONO ESEGUIBILI…..QUINDI POSSONO SOLO ESSERE PROGRAMMI…..O VIRUS….UN FILE ZIPPATO CHE PENSIAMO SIANO FOTO…DOVREBBE ESSERE PIENO DI FILE JPG, BTM, IMG….CHE SONO FORMATI IMMAGINE…SE AVETE DUBBI SU CHE FORMATO FILE SIA UN CERTO DOCUMENTO USATE GOOGLE, LI TROVATE TUTTO, E UN SACCO DI FORUM UTILI. DAI FORUM SI IMPARA TUTTO…E SBAGLIARE E’ IL MIGLIOR MODO PER IMPARARE!!!
NON è difficile, ragazzi…andate da un vostro amico (ne avrete sicuramente uno che sa usare i pc), e fatevi formattare il pc, DOPO aver salvato i dati importanti per esempio su un hard disk esterno. E se il vostro amico non è stupido, il virus non ve lo troverete dopo aver reinstallato tutto. E ricordate, fatevi sempre una copia di tutte le “vostre cose”, compresi i contatti msn. COsì, per sicurezza, non sbagliate di certo. Addio :)
il virus che ho preso sembra identico a questo photo album descritto ma manda un altro file .zip dal nome image o picture bla bla. Ma ho anche un problema con un certo programma totoonassij.exe che malgrado lo cancelli si ripresenta di tanto in tanto. E sembrerebbe essere la causa di invia dal mio pc di migliaia di email che l’antivirus stoppa. ma l’antivirus ignora questo totoonassij e non c’è letteratura su web
grazie