Home > Sicurezza, Windows > GUIDA ALLA RIMOZIONE DEL VIRUS MY-PHOTO ALBUM LIVE MESSENGER

GUIDA ALLA RIMOZIONE DEL VIRUS MY-PHOTO ALBUM LIVE MESSENGER

In questo tutorial voglio indicarvi la procedura corretta per rimuovere il virus/malware MY PHOTO che dal 10 Giugno 2007 sta imperversando in MSN diffondendosi tramite Windows Live Messenger. Questo virus vi viene inviato dai vostri contatti conosciuti, e vi invita ad accettare un file .zip chiamato My_Photo.zip oppure my_photoAlbum.zip che una volta scaricato va a modificare il registro di configurazione di windows e ad installare quattro moduli DLL(Librerie dinamiche di Windows tradotto in italiano per chi non lo sapesse!!). Viste alcune segnalazioni e richieste di aiuto ora vi indico come rimuovere questo stupidssimo malware che scoccia e basta la vita dei poveri MSN users…..

Prima di illustrarvi come rimuoverlo voglio mostrarvi i risultati delle scansioni antivirus contro questo malware, che purtroppo imperversa ancora distanza di mesi grazie ad una sotto-valutazione da parte delle stesse software house che producono gli antivirus e gli anti-malware.

Come ben potete notare dalla foto il malware viene rilevato da pochissimi antivirus; pertanto se volete optare per un antivirus free e buono restate su Antivir Personal Edition, che anche se è free si conferma ancora in ottime posizioni alla pari con gli antivirus a pagamento.

Tornando a noi, per rimuovere il malware Andate su Start e poi se Esegui e digitate regedit e date Invio.
A questo punto siete dentro all’editor del registro di configurazione del vostro Windows. Ora nel menu a sinistra scorrete l’albero gerarchico e cercate le chiavi che vi indichiamo di seguito…

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad]rdshost = {829053f7-6ED6-4557-95D4-628CF4C5946D}

[HKEY_CLASSES_ROOT\CLSID\{C0FCE446-B97E-460A-8D0B-6A73BADFD0A9}\InProcServer32 @= rdfhost.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]rdshost = {c0fce446-b97e-460a-8d0b-6a73badfd0a9}

Quando le avete trovate rimuovetele definitivamente. Ora siamo già a buon punto perchè abbiamo inbitio il caricamento all’avvio del malware e quindi ci resta solo da rimuovere i file maligni creati in fase di installazione dallo stesso…..

Andate su Risorse del Computer(per semplificarvi la vita :D) e nella cartella Windows fate un cerca inserendo come termini di ricerca questi files:

Photo album.zip
rdfhost.dll
rdihost.dll rdshost.dll

Selezionateli e rimuoveteli.

Scaricate il fix direttamente da link sottostante:

DOWNLOAD TOOL

Spero di esservi stato di aiuto, ma soprattutto di essere stato chiaro ed esaustivo anche stavolta…..

P:S> Questo malware resta tuttavia un’applicazione nociva un pò datata ma che non è stata inserita nei database da parte di tutte le case produttrici di antivirus. In poche parole consiglio a chi ha Avast(pessimo antivirus FreeEdition), o a chi avesse McAFee o Norton di disinstallarli e installare antivirus a pagamento evoluti come Kaspersky, BitDefender o Nod32, oppure di optare per l’ottima soluzione free edition Antivir 7; che aggiornato è pure veloce e molto preciso nelle scansioni e nei rilevamenti. In ogni caso chi avesse quest’ultimi antivirus non è soggetto all’infezione anche se riceve il malware perchè viene rilevato se è aggiornato a dopo il primo Aprile 2007…..Quindi rifiutate prodotti come Norton, Avast e McAfee perchè siete esposti e a 360 non solo a questo stupido malware!!!!

P:P:S> Questa guida la pubblicai ancora un anno fa ma spero sia ancora valida nel caso qualche visitatore sia ancora infetto o abbia ancora problemi con questo vecchio virus.

  1. marialuce de rosa
    6 agosto 2008 alle 04:17

    appena premo il tasto per entrare in msn si apre una finestra di blocco note.come rimuovela x poter entrare in msn?
    ringrazio e saluto

  2. 9 agosto 2008 alle 12:03

    Ciao maria.

    Il discorso si fa complesso qua nel senso che un bel malware mi sa che non te lo leva nessuno.

    Devi controllare nel registro di configurazione (start esegui regedit e invio) queste chiavi nel caso ci siano programmi con nomi strani

    HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
    HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
    HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
    HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
    HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
    HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
    HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

  3. Giuliano
    2 settembre 2008 alle 21:10

    Sono stato vittima del virus, credo di averlo rimosso per bene ma ho ancora un problemino. In realtà ho già risolto 2 altri problemi collaterali:
    1.\ non potevo avviare il task manager [risolto]
    2.\ non potevo avviare l’editor del registro [risolto]
    Adesso non riesco a risolvere quest’ultimo problema, l’assenza del pulsante arresta sistema nel menu start. Tale problema viene dato risolvibile modificando le impostazioni di risparmio energetico, ma a me non cambia nulla.

    Avete qualche suggerimento?

    GRAZIE TANTE
    Giuliano Langella

  1. No trackbacks yet.

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger cliccano Mi Piace per questo: