Photoalbum.zip - Il Virus Di Msn

[$angelique!?]

"la Photoalbum album.zip„ sta spargendosi rapidamente via MSN.

Pare sia una variante di Backdoor.Win32.IRCBot.

Se qualcuno riceve i messaggi via MSN come il seguente, non apritelo.

Estraendo Photoalbum .zip, c'è un file "Photoalbum2007.pif„, 18.944 byte, compressi con UPX. Kaspersky lo rileva come Backdoor.Win32.IRCBot.aaq.

Sull'esecuzione, questo ircbot crea una copia in

%windows% \ Photo album.zip

Inserisce questa .dll in Explorer.exe.

%system% \ rdshost.dll

Collega una scanalatura del IRC:

darkjester.xplosionirc.net

Rimozione.

1. Cancellare queste entrate di registrazione:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad]rdshost = {829053f7-6ED6-4557-95D4-628CF4C5946D}

[HKEY_CLASSES_ROOT\CLSID\{829053f7-6ED6-4557-95D4-628CF4C5946D}\InProcServer32]@= rdshost.dll

[HKEY_CLASSES_ROOT\CLSID\{C0FCE446-B97E-460A-8D0B-6A73BADFD0A9}\InProcServer32 @= rdfhost.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]rdshost = {c0fce446-b97e-460a-8d0b-6a73badfd0a9}

2. Riavviare WINDOWS

3. Cancellare questi file manualmente o con Avenger selezionate Input Script Manually e cliccate sulla lente di ingrandimento, nella finestra di input fate un copia/incolla di queste righe in nero:

%Windows% \ Photo album.zip

%System% \ rdfhost.dll

%System% \ rdihost.dll

%System% \ rdshost.dll

Cliccate su "Done" e poi sul Semaforo rispondendo "Si" alle successive domande finchè il PC non fa il reboot. Cancellate la cartella C:\Avenger

[pepsimen]

ciao, ieri mia sorella ha beccato sto virus infame, ho provato a seguire la guida di rimozione sotto ma...

nel registro di sistema avevo solo uno delle tre stringhe, l'ho cancellata, ho riavviato , ho cencellato photoalbum, ma in system32 trovo solo rdshost.dll lo cancello e si ricrea automaticamente dopo 3 secondi

[Kuma]

Ciao...

Questa non è la sezione giusta... posta il problema nella sezione dei Virus

Comunque...

Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata e disattiva nascondi file protetti di sistema. (Pannello di controllo > Opzioni Cartella > Visualizzazione)

Controlla se hai questi files ed eliminali: (in modalità provvisoria)

<Windows>\photo album.zip

<System>\rdfhost.dll

Da START\ESEGUI digita : regedit ed elimina queste chiavi se presenti:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

rdshost

{5344BB88-3DE1-409F-8307-C85923A1F4DD}

HKCR\CLSID\{5344BB88-3DE1-409F-8307-C85923A1F4DD}

_______________________________

Se non si risolve, prova così:

Scaricati Sav32Cli (sav32sfx.exe) da QUESTO LINK

• Scarica le IDEs (aggiornameni delle firme) for SAV ultima versione in formato .Exe
  
• oppure individua quella apposita per il tuo virus da QUESTO LINK
  
• esegui il file scaricato sav32sfx.exe per estrarre i file in una cartella
  
• Copia il file eseguibile IDE che hai scaricato nella cartella creata ed eseguilo per estrarre le firme aggiornate
  
• e copia la cartella generata (che si chiama SAV32CLI) in un CD-RW
  
• Riavvia il Pc
  
• Al riavvio (durante la schermata della RAM premi F8 e nel menu opzioni avanzate seleziona
  
• "Riavvia in Modalità provvisoria con Prompt dei comandi" (DOS)
  
• Quando il computer si è avviato , al Prompt digita: D:[+Invio]
  
• (sempre che D: sia la lettera del tuo lettore CD , altrimenti cambiala di conseguenza...)
  
• Entrato nell'unità CD digita: CD SAV32CLI
  
• e quindi digita: SAV32CLI -ALL -REMOVE -P=C:\LOGFILE.TXT
  

Un file LOG sarà generato in C:\ (LOGFILE.TXT) Postalo per vedere i risultati

[$angelique!?]

Questa è un'analisi del file Photoalbum.zip eseguita su VirusTotal

AhnLab-V3 2007.3.31.0 04.01.2007 Win32/ShadoBot.worm.24772

AntiVir 7.3.1.47 04.01.2007 TR/Agent.24772

Authentium 4.93.8 03.31.2007 no virus found

Avast 4.7.936.0 03.31.2007 no virus found

AVG 7.5.0.447 03.31.2007 Worm/Generic.BAG

BitDefender 7.2 04.01.2007 Worm.Sedoubot.A

CAT-QuickHeal 9.00 03.31.2007 (Suspicious) - DNAScan

ClamAV devel-20070312 04.01.2007 Trojan.IRCBot-967

DrWeb 4.33 04.01.2007 BackDoor.IRC.Shadowbot

eSafe 7.0.15.0 03.31.2007 suspicious Trojan/Worm

eTrust-Vet 30.6.3527 03.31.2007 no virus found

Ewido 4.0 04.01.2007 Backdoor.IRCBot.aaq

FileAdvisor 1 04.01.2007 no virus found

Fortinet 2.85.0.0 04.01.2007 W32/Parite.fam

F-Prot 4.3.1.45 03.30.2007 no virus found

F-Secure 6.70.13030.0 04.01.2007 Backdoor.Win32.IRCBot.aaq

Ikarus T3.1.1.3 04.01.2007 Win32.SuspectCrc

Kaspersky 4.0.2.24 04.01.2007 Backdoor.Win32.IRCBot.aaq

McAfee 4997 03.31.2007 no virus found

Microsoft 1.2306 04.01.2007 no virus found

NOD32v2 2160 03.31.2007 a variant of Win32/IRCBot.WO

Norman 5.80.02 03.31.2007 W32/Malware.NKD

Panda 9.0.0.4 04.01.2007 no virus found

Prevx1 V2 04.01.2007 no virus found

Sophos 4.16.0 03.30.2007 no virus found

Sunbelt 2.2.907.0 03.31.2007 VIPRE.Suspicious

Symantec 10 04.01.2007 no virus found

TheHacker 6.1.6.083 03.30.2007 no virus found

UNA 1.83 03.16.2007 no virus found

VBA32 3.11.3 04.01.2007 suspected of Trojan-PSW.Pinch.130 (paranoid heuristics)

VirusBuster 4.3.7:9 03.31.2007 no virus found

Webwasher-Gateway 6.0.1 04.01.2007 Trojan.Agent.24772

Trend Micro 8.310-1002 TROJ_IRCBOT.ST

[$angelique!?]

Ecco una piccola utility che dovrebbe eliminare il worm dal proprio pc.

Per eliminare il worm, vi basterà scaricare QUESTO piccolo programmino,

eseguirlo, selezionare in che driver avete installato Windows (solitamente è C:\)

e cliccare su “Cura il tuo pc dal worm di Live Messenger“.

Un ringraziamento a Guido Arata.

Autore del programma.

[Kuma]

Altro tool nel caso il primo dovesse fallire:

MSNFix.zip

• decomprimi il file, aprila cartella e clicca su MSNFix.bat. (attendi che ci vuole un attimo)
  
• Clicca E e premi Invio
  
  
• Poi clicca R e premi Invio
  
• Se l'infezione (o parte di essa) [Malware found] viene individuata premi N.
  
• Apparirà un rapporto... postarlo se richiesto