WLM: Rimuovere il Malware Photo Album.zip

by

Avevamo parlato del nuovo malware che si diffonde via MSN o Windows Live Messenger.

Per rimuoverlo abbiamo intanto bisogno di:

CCleaner
ReegSeeker (Guida By P2Pforum)
Avenger

Il Backdoor è già presente in rete in due varianti.

All’interno del file Photo Album.zip si trova photo album.pif o photo album2007.pif nella seconda variante.

Il malware copia e crea i seguenti files:

%windows%\photo album.zip
%system%\rdfhost.dll
%system%\rdihost.dll
%system%\rdshost.dll

%windows% è la cartella dove avete installato Windows
%system% è:
\windows\system su win98 e ME
\windows\system32 su win2000 e XP

Vengono inoltre create le seguenti chiavi di registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad]
rdshost = {829053f7-6ED6-4557-95D4-628CF4C5946D}
[HKEY_CLASSES_ROOT\CLSID\{829053f7-6ED6-4557-95D4-628CF4C5946D}\InProcServer32]
@= rdshost.dll
[HKEY_CLASSES_ROOT\CLSID\{C0FCE446-B97E-460A-8D0B-6A73BADFD0A9}\InProcServer32] @= rdfhost.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad]
rdshost = {c0fce446-b97e-460a-8d0b-6a73badfd0a9}

Per rimuovere il virus è necessario scollegarsi da internet:

Innanzitutto avviate CCleaner disattivando dalle opzioni avanzate “cancella solo file più vecchi di 48 ore”.
Analizzate e pulite il sistema. Successivamente aprite Avenger, selezionate Input Script Manually e cliccate sulla lente di ingrandimento.

Nella finestra di input fate un copia/incolla di queste righe:

Files to delete:

C:\windows\photo album.zip
C:\Windows\System32\rdfhost.dll
C:\Windows\System32\rdihost.dll
C:\Windows\System32\rdshost.dll

Supponendo sempre che la vostra Windows sia installata in C:

Cliccate su “Done” e poi sul Semaforo rispondendo “Si” alle successive domande finché il PC non fa il re-boot.

Cancellate la cartella C:\Avenger

Avviate RegSeeker e con la funzione “Cerca files inutili”, inserite uno per volta i seguenti valori, cancellandone le corrispondenze:

rdfhost.dll
rdihost.dll
rdshost.dll

Si ringrazia Simone per averci inviato l’articolo.

Fonte P2Pforum.it

Annunci

4 Risposte to “WLM: Rimuovere il Malware Photo Album.zip”

  1. :-) Says:

    Ma che versione di Messenger hai?

    Che significa “Windows Vista Messenger”?

  2. Uploads Staff Says:

    Leggi questo post.

  3. Cristina Says:

    ho ricevuto un virus come qst proprio oggi e non riesco più a liberarmene!
    come faccio? ogni volta che entro in messenger e inizio a scrivere nella casella di scrittura, il virus si invia ai miei contatti automaticamente…

  4. blalbs Says:

    tt cazzate

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...


%d blogger hanno fatto clic su Mi Piace per questo: