Eliminare il virus Photo_Album.zip da Windows Live Messenger

24 August, 2007 | IM & Chat, Sicurezza, Tips & tricks, Tutorial con
Scarica gratis MessengerSkinner e divertiti con centinaia di emoticon per Messenger! Clicca qui
Guadagna soldi rispondendo ai sondaggi di Alta Opinione
Scarica Webmediaplayer e guarda gratis le partite della tua squadra del cuore!

Da un po di tempo si diffonde tramite Windows Live Messenger un virus che si nasconde sotto forma di file .zip inviato dai contatti infetti, che invita ad accettare un file chiamato “Photo_Album.zip“.

Per rimuovere il virus Photo_Album.zip si può utilizzare il tool Msn Fix, scaricabile gratuitamente da qui, oppure è possibile operare manualmente.

In base alla variante, all’interno di Photo_Album.zip si trova photo album.pif o photo album2007.pif.

Vediamo di capire come funziona il malware per poterlo rimuovere manualmente. Come si può leggere su P2P Forum queste sono le azioni che compie il virus:

Il malware copia e crea i seguenti files:

%windows%\photo album.zip
%system%\rdfhost.dll
%system%\rdihost.dll
%system%\rdshost.dll

dove %windows% è la cartella dove avete installato Windows e %system% è \windows\system su win98 e ME, e \windows\system32 su win2000 e XP

Vengono inoltre create le seguenti chiavi di registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad]
rdshost = {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}
[HKEY_CLASSES_ROOT\CLSID\{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}\
InProcServer32]
@= rdshost.dll
[HKEY_CLASSES_ROOT\CLSID\{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}\
InProcServer32] @= rdfhost.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad]
rdshost = {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}

ed il seguente valore alla voce O21 visibile nel log di hijackthis:

O21 - SSODL: rdihost - {77346362-72F4-48E9-B076-A921E28DC0F2} - rdihost.dll (file missing)

In questo caso la dll è rdihost.dll, ma potrebbe essere anche rdshost.dll oppure rdfhost.dll con reltivi codici diversi.

Per rimuovere manualmente il virus cancelliamo i file:
C:\windows\photo album.zip
C:\Windows\System32\rdfhost.dll
C:\Windows\System32\rdihost.dll
C:\Windows\System32\rdshost.dll

e le chiavi di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad\rdfhost
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad\rdihost
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad\rdshost

Infine eliminiamo il contenuto della cartella C:\windows\Prefetch e riavviamo.

Condividi questo post


Comments

  1. 1
    Taurex // August 24th, 2007 at 1:11 pm

    Aspettiamo con ansia un programmino….. XD

  2. 3
    Jedi // September 10th, 2007 at 3:21 pm

    Ho preso il virus IMG0024 contenuto all’interno di una cartella zippata…non riesco ad eliminarlo! E’ un’altra versione di photoalbum ma non riesco a farlo fuori! Aiuto!

  3. 4
    Gianfranco // September 15th, 2007 at 2:15 pm

    ho aperto la cartella zip e ho preso il virus..nn riesco ad laiminarlo messenger cade ogni 3 sec..aiutatemi vi prego sto da 4 giorni in questa condizione…!!grazie

  4. 5
    Giu` // September 17th, 2007 at 10:55 pm

    anch’io ho presto il virus come Jedi, e da 3 giorni
    non riesco ad entrare su msn.. aiutooooo!!

  5. 6
    Giu` // September 17th, 2007 at 10:56 pm

    anch’io ho preso il virus come Jedi, e da 3 giorni
    non riesco ad entrare su msn.. aiutooooo!!

  6. 7
    lunetta // September 18th, 2007 at 1:24 pm

    ciao! ho preso sto virus nn accettando nessun file zippato,quindi nn so kome.. ma nn riesco piu a chattare su msn tranquillamente..ho dei problemi!!ho installato nn so quanti antivirus,li sto provando tutti..messo anti spam, installato lo spybot.. ognuno d esse m toglie un numero assurdo d virus,ma nn riesco a togliere il virus di msn. ho provato cn il programma ke consigliate,ma nn riesco.. e con la procedura manuale i file dentro la cartella system32 nn li trovo! uff….sn disperatissima!! ki mi puo aiutare?? x favooore….. lu!

  7. 9
    federica // September 29th, 2007 at 12:47 pm

    Ciao anke il mio msn è stato infettato da un virus ke non so se è lo stesso ke infetta gli altri….. la cartella compressa ke mi è arrivata chattando cn un mio amiko si kiama picts-6502 (75 kb) quando mi sn resa conto ke era un virus l’ho cancellata ma…. trp tardi… ora nn so ke fare… ho scaricato MSNFix…. mi ha rilevato il virus ma nn lo cancella…. io di informatica nn ne capisco nulla… so solo ke nn riesco più a parlare cn i miei amici….uff….mi puoi aiutare???? Grazie!!

  8. 10
    Andrea // October 3rd, 2007 at 3:28 pm

    Anke io ho preso lo stesso virus di federica (picts…)…
    vi prego aiutateci xke io sto impazzendo… :-(
    Grazie….

  9. 11
    lucuz // October 17th, 2007 at 4:23 pm

    ho preso il virus ma grazie a msn fix ho risolto il problema grazie

  10. 12
    Francesca // December 17th, 2007 at 4:59 pm

    anche io stavo impazzendo per eliminarlo questo virus, ne avast ne avg l’hanno tolto poi ho installato MsnFix, e sono riuscita a eliminare il virus.. per fortuna! :)

  11. 13
    Andrea T. // February 11th, 2008 at 2:26 am

    anche io ho lo stesso problema di lunetta, so di avere preso il virus dal messenger ma non riesco a cacciarlo via. Ho provato con avast, con spyware doctor, con antiroot kit, con a-square, con hijack this e con msnfix e con MsnCleaner ma non fanno niente!!! Solo Msn Fix mi dice di trovare qualcosa ma non riesce a cancellarlo, o meglio, lo cancella ma al riavvio sono da capo: tutto parte normalmente ma il desktop scompare e avvio i programmi solo con task manager.
    Qualcuno sa dirmi cosa devo fare?

  12. 14
    Roberto // April 8th, 2008 at 6:43 pm

    Ragazzi, allora ogni volta che cambia il nome del virus cambiano anche le cartelle nel sistema, anche se poi il funzionamento è pressoche uguale.
    Però, prima di tutto SMETTETE DI USARE AVG, TUTTI A DIRE CHE E’ IL MIGLIORE, MA NESSUN ANTIVIRUS PUO ESSERE MIGLIORE SE D’ GRATUITO. USATE KASPERSKY, O NOD32 (MA MEGLIO KASPERKSY CHE HA ANCHE IL FIREWALL) se non volete comprarlo be…non devo neanche dirlo. Comunque piuttosto prendetevi la prova gratuita di 30 giorni, e usatela, anche se questo tipo di virus è difficilmente individuabile da un antivirus, lo trovate qui http://www.kaspersky.it . HiJackThis è un ottimo programma, ma bisogna sapere come usarlo, perche agisce sul registro di windows, postate il log che vi viene fuori alla fine della scansione sul sito di HiJackThis, lo trovate anche su Google. Per il resto, se c’e bisogno di altro..chiedete…se siete a Milano siete anche dove sono io…e non sapete quante persone ogni giorno si beccano sto virus…poi una volta imparato…si impara a non aprire niente inviato dagli altri se prima almeno non gli si è chiesto che cosa ci ha inviato…

    PS: I FILE .EXE SONO ESEGUIBILI…..QUINDI POSSONO SOLO ESSERE PROGRAMMI…..O VIRUS….UN FILE ZIPPATO CHE PENSIAMO SIANO FOTO…DOVREBBE ESSERE PIENO DI FILE JPG, BTM, IMG….CHE SONO FORMATI IMMAGINE…SE AVETE DUBBI SU CHE FORMATO FILE SIA UN CERTO DOCUMENTO USATE GOOGLE, LI TROVATE TUTTO, E UN SACCO DI FORUM UTILI. DAI FORUM SI IMPARA TUTTO…E SBAGLIARE E’ IL MIGLIOR MODO PER IMPARARE!!!

  13. 15
    cacchio // June 18th, 2008 at 1:10 pm

    NON è difficile, ragazzi…andate da un vostro amico (ne avrete sicuramente uno che sa usare i pc), e fatevi formattare il pc, DOPO aver salvato i dati importanti per esempio su un hard disk esterno. E se il vostro amico non è stupido, il virus non ve lo troverete dopo aver reinstallato tutto. E ricordate, fatevi sempre una copia di tutte le “vostre cose”, compresi i contatti msn. COsì, per sicurezza, non sbagliate di certo. Addio :)

Trackbacks

  1. Best of Week #11 « Gioxx’s Wall
  2. MESSENGER: Virus

Leave a Comment

Chiudi
Invia e-mail