Inviato April 1, 2007 "la Photoalbum album.zip„ sta spargendosi rapidamente via MSN. Pare sia una variante di Backdoor.Win32.IRCBot. Se qualcuno riceve i messaggi via MSN come il seguente, non apritelo. Estraendo Photoalbum .zip, c'è un file "Photoalbum2007.pif„, 18.944 byte, compressi con UPX. Kaspersky lo rileva come Backdoor.Win32.IRCBot.aaq. Sull'esecuzione, questo ircbot crea una copia in %windows% \ Photo album.zip Inserisce questa .dll in Explorer.exe. %system% \ rdshost.dll Collega una scanalatura del IRC: darkjester.xplosionirc.net Rimozione. 1. Cancellare queste entrate di registrazione: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad]rdshost = {829053f7-6ED6-4557-95D4-628CF4C5946D} [HKEY_CLASSES_ROOT\CLSID\{829053f7-6ED6-4557-95D4-628CF4C5946D}\InProcServer32]@= rdshost.dll [HKEY_CLASSES_ROOT\CLSID\{C0FCE446-B97E-460A-8D0B-6A73BADFD0A9}\InProcServer32 @= rdfhost.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]rdshost = {c0fce446-b97e-460a-8d0b-6a73badfd0a9} 2. Riavviare WINDOWS 3. Cancellare questi file manualmente o con Avenger selezionate Input Script Manually e cliccate sulla lente di ingrandimento, nella finestra di input fate un copia/incolla di queste righe in nero: %Windows% \ Photo album.zip %System% \ rdfhost.dll %System% \ rdihost.dll %System% \ rdshost.dll Cliccate su "Done" e poi sul Semaforo rispondendo "Si" alle successive domande finchè il PC non fa il reboot. Cancellate la cartella C:\Avenger Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato April 1, 2007 ciao, ieri mia sorella ha beccato sto virus infame, ho provato a seguire la guida di rimozione sotto ma... nel registro di sistema avevo solo uno delle tre stringhe, l'ho cancellata, ho riavviato , ho cencellato photoalbum, ma in system32 trovo solo rdshost.dll lo cancello e si ricrea automaticamente dopo 3 secondi Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato April 1, 2007 Ciao... Questa non è la sezione giusta... posta il problema nella sezione dei Virus Comunque... Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata e disattiva nascondi file protetti di sistema. (Pannello di controllo > Opzioni Cartella > Visualizzazione) Controlla se hai questi files ed eliminali: (in modalità provvisoria) <Windows>\photo album.zip <System>\rdfhost.dll Da START\ESEGUI digita : regedit ed elimina queste chiavi se presenti: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad rdshost {5344BB88-3DE1-409F-8307-C85923A1F4DD} HKCR\CLSID\{5344BB88-3DE1-409F-8307-C85923A1F4DD} _______________________________ Se non si risolve, prova così: Scaricati Sav32Cli (sav32sfx.exe) da QUESTO LINK Scarica le IDEs (aggiornameni delle firme) for SAV ultima versione in formato .Exe oppure individua quella apposita per il tuo virus da QUESTO LINK esegui il file scaricato sav32sfx.exe per estrarre i file in una cartella Copia il file eseguibile IDE che hai scaricato nella cartella creata ed eseguilo per estrarre le firme aggiornate e copia la cartella generata (che si chiama SAV32CLI) in un CD-RW Riavvia il Pc Al riavvio (durante la schermata della RAM premi F8 e nel menu opzioni avanzate seleziona "Riavvia in Modalità provvisoria con Prompt dei comandi" (DOS) Quando il computer si è avviato , al Prompt digita: D:[+Invio] (sempre che D: sia la lettera del tuo lettore CD , altrimenti cambiala di conseguenza...) Entrato nell'unità CD digita: CD SAV32CLI e quindi digita: SAV32CLI -ALL -REMOVE -P=C:\LOGFILE.TXT Un file LOG sarà generato in C:\ (LOGFILE.TXT) Postalo per vedere i risultati Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato April 1, 2007 Questa è un'analisi del file Photoalbum.zip eseguita su VirusTotal AhnLab-V3 2007.3.31.0 04.01.2007 Win32/ShadoBot.worm.24772AntiVir 7.3.1.47 04.01.2007 TR/Agent.24772 Authentium 4.93.8 03.31.2007 no virus found Avast 4.7.936.0 03.31.2007 no virus found AVG 7.5.0.447 03.31.2007 Worm/Generic.BAG BitDefender 7.2 04.01.2007 Worm.Sedoubot.A CAT-QuickHeal 9.00 03.31.2007 (Suspicious) - DNAScan ClamAV devel-20070312 04.01.2007 Trojan.IRCBot-967 DrWeb 4.33 04.01.2007 BackDoor.IRC.Shadowbot eSafe 7.0.15.0 03.31.2007 suspicious Trojan/Worm eTrust-Vet 30.6.3527 03.31.2007 no virus found Ewido 4.0 04.01.2007 Backdoor.IRCBot.aaq FileAdvisor 1 04.01.2007 no virus found Fortinet 2.85.0.0 04.01.2007 W32/Parite.fam F-Prot 4.3.1.45 03.30.2007 no virus found F-Secure 6.70.13030.0 04.01.2007 Backdoor.Win32.IRCBot.aaq Ikarus T3.1.1.3 04.01.2007 Win32.SuspectCrc Kaspersky 4.0.2.24 04.01.2007 Backdoor.Win32.IRCBot.aaq McAfee 4997 03.31.2007 no virus found Microsoft 1.2306 04.01.2007 no virus found NOD32v2 2160 03.31.2007 a variant of Win32/IRCBot.WO Norman 5.80.02 03.31.2007 W32/Malware.NKD Panda 9.0.0.4 04.01.2007 no virus found Prevx1 V2 04.01.2007 no virus found Sophos 4.16.0 03.30.2007 no virus found Sunbelt 2.2.907.0 03.31.2007 VIPRE.Suspicious Symantec 10 04.01.2007 no virus found TheHacker 6.1.6.083 03.30.2007 no virus found UNA 1.83 03.16.2007 no virus found VBA32 3.11.3 04.01.2007 suspected of Trojan-PSW.Pinch.130 (paranoid heuristics) VirusBuster 4.3.7:9 03.31.2007 no virus found Webwasher-Gateway 6.0.1 04.01.2007 Trojan.Agent.24772 Trend Micro 8.310-1002 TROJ_IRCBOT.ST Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato April 3, 2007 Ecco una piccola utility che dovrebbe eliminare il worm dal proprio pc. Per eliminare il worm, vi basterà scaricare QUESTO piccolo programmino, eseguirlo, selezionare in che driver avete installato Windows (solitamente è C:\) e cliccare su “Cura il tuo pc dal worm di Live Messenger“. Un ringraziamento a Guido Arata. Autore del programma. Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato June 19, 2007 Altro tool nel caso il primo dovesse fallire: MSNFix.zip decomprimi il file, aprila cartella e clicca su MSNFix.bat. (attendi che ci vuole un attimo) Clicca E e premi Invio Poi clicca R e premi Invio Se l'infezione (o parte di essa) [Malware found] viene individuata premi N. Apparirà un rapporto... postarlo se richiesto Condividi questo messaggio Link di questo messaggio Condividi su altri siti