Rimuovere i virus presi da Msn
Agosto 19, 2007 at 8:36 pm | In Trucchi MSN | Leave a CommentAnnuncio importante prima di iniziare la lettura:
Questo è il blog del sito www.paky.p2pforum.it dedicato all’informatica e non solo dove troverete tante altre guide e trucchi, fateci un salto!
Siccome in questo ultimo periodo molti miei amici sono stati beccati da alcuni virus presi tramite msn ho deicso di inserire questa guida per rimuoverli. per eventuali problemi contattatemi pure!!!
Abbiamo intanto bisogno del Removal Tool MSNFix, (nota)
oppure di Ccleaner, ReegSeeker e Avenger se volete lavorare “in Manuale”
Il Backdoor è già presente in rete in due varianti: unifico la procedura poichè cambiano solo alcune .dll
>>INFO SUL MALWARE
All’interno del file Photo Album.zip si trova photo album.pif o photo album2007.pif nella seconda variante
Il malware copia e crea i seguenti files:
%windows%\photo album.zip
%system%\rdfhost.dll
%system%\rdihost.dll
%system%\rdshost.dll
dove %windows% è la cartella dove avete installato Windows e %system% è \windows\system su win98 e ME, e \windows\system32 su win2000 e XP
Vengono inoltre create le seguenti chiavi di registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad]
rdshost = {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}
[HKEY_CLASSES_ROOT\CLSID\{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}\InProcServer32]
@= rdshost.dll
[HKEY_CLASSES_ROOT\CLSID\{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}\InProcServer32] @= rdfhost.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
rdshost = {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}
ed il seguente valore alla voce O21 visibile nel log di hijackthis
O21 – SSODL: rdihost – {77346362-72F4-48E9-B076-A921E28DC0F2} – rdihost.dll (file missing)
(in questo caso la dll è rdihost.dll, ma potrebbe essere anche rdshost.dll oppure rdfhost.dll con reltivi codici diversi)
>> RIMOZIONE AUTOMATICA (SCOLLEGATI DA INTERNET)
- Disattivare il Ripristino di Sistema,(solo su XP ed ME)
- Pulita con CCleaner disattivando dalle opzioni avanzate “cancella solo file più vecchi di 48 ore”
- Scaricate il Removal Tool MSNFix
- Decomprimete il file, lanciate MSNFix.bat, premete R per cercare il malware, poi N per eliminarlo: il log vi confermerà l’avvenuta pulizia
>>RIMOZIONE MANUALE (SCOLLEGATI DA INTERNET):
- Disattivare il Ripristino di Sistema,(solo su XP ed ME)
- Pulita con CCleaner disattivando dalle opzioni avanzate “cancella solo file più vecchi di 48 ore”
- Aprite Avenger, selezionate Input Script Manually e cliccate sulla lente di ingrandimento: nella finestra di input fate un copia/incolla di queste righe:
Files to delete:
C:\windows\photo album.zip
C:\Windows\System32\rdfhost.dll
C:\Windows\System32\rdihost.dll
C:\Windows\System32\rdshost.dll
(supponendo sempre che la vostra Windows sia intallata in C: )
- Cliccate su “Done” e poi sul Semaforo rispondendo “Si” alle successive domande finchè il PC non fa il reboot. Cancellate la cartella C:\Avenger
- Avviate RegSeeker e con la funzione “Cerca files inutili”, inserite uno per volta i seguenti valori, cancellandone le corrispondenze:
rdfhost.dll
rdihost.dll
rdshost.dll
- Fixare la voce O21 con HijackThis
- Eliminare il contenuto della cartella C:\windows\Prefetch e riavviare
AGGIORNAMENTO DEL 13.04.2007
Da qualche giorno ho il piacere di scambiare PVT con lo sviluppatore francese del tool MSNFix che rimuove questo virus.
!aur3n7 ha visto la nostra Guida/Discussione in rilievo ed ha pensato di contattare P2PForum.it per darci ulteriori info sul Tool.
Mi spiegava infatti che MSNFix non rimuove solo il Photo Album, ma è rivolto in genere ai malware legati direttamente a MSN, e tra pochi giorni sarà tradotto anche in inglese, e probabilmente sarà inserita la descrizione delle varie infezioni che il Tool ripulisce.
Cosa più importante, ha inserito online un Form di Upload (anche questo sarà tradotto a breve), attraverso il quale è possibile inviargli files infetti ed eventuali commenti su tipologie di virus provenienti da MSN che il suo Fix non riesce attualmente a ripulire, in modo che possa analizzarli, ed aggiornare quanto più celermente il Tool.
AGGIORNAMENTO DEL 20.04.2007
Come promesso da !aur3n7 il Tool è stato tradotto anche in inglese
Fonte: www.p2pforum.it
Ancora nessun commento. »
RSS feed dei commenti a questo articolo. TrackBack URI
Lascia un commento
RSS
Ultimi articoli Progetto Hip Hop- Fabri Fibra – Speak English (Video)
- Over Fighters – Il Sonno delle Ombre (Video Ufficiale)
- J-Ax – Deca Dance (Il nuovo album)
- Amir – Questa è Roma 2008
- 50 Cent – The War Angel LP (cover + tracklist)
- Alla ricerca di collaboratori
- Fabri Fibra a Quelli Che Il Calcio (17 Maggio 2009)
- A1000 – Bbro feat. Vincenzo da via Anfossi (Official Video)
- Black Eyed Peas: “I Gotta Feeling” (video)
- Cover e tracklist del nuovo album dei Club Dogo – Dogocrazia
Siti amici:
Mappa visitatori dal 07/09/07:
Visite da 20 Ottobre 07:
Ci sono on-line:
Valore del blog:
My site is worth $5402.
How much is yours worth?Licenza
Attribuzione - Non commerciale - Non opere derivate 2.5 Italia
Questo/a opera è pubblicato sotto una
Licenza Creative Commons.
In ogni caso puoi contattare il webMaster del sito per concordare altri tipi di condizioni e usi del materiale.
Blog su WordPress.com. | Theme: Pool by Borja Fernandez.
Entries and comments feeds.
