Mi scuso per il lungo ma necessario titolo del post. Stamane utilizzavo il PC di un amico ed aprendo Msn Messenger da invisibile per controllare la posta, pare abbia infettato qualche contatto tra i quali Napolux (che mi ha segnalato anche questo post). Oltre a scusarmi con quanti avrò “attaccato” vi spiego come ho fatto ad eliminarlo.
Come per il virus photoalbum.zip chi utilizza Msn Messenger o Windows Live Messenger è più colpito da virus del genere: si tratta di un malware che rientra nella famiglia Backdoor Win32/IRCBot.AAL e del quale potete trovare informazioni (anche se non sono riuscito a farlo) negli elenchi di Mcafee, F-Secure, Symantec.
Se ricevete nelle conversazioni di Msn dei link del tipo (ci sono diverse varianti come quella di member.lycos.nl ma di nessuna dovete aprile il file .exe che vi invitano a scaricare nè cliccare sul link):
Emoticon con il tuo volto:-O
Oh nudo .
“oh naked ? indirizzo”
Il consiglio è quello di non accettare mai link che non sembrano scritti da una persona e che all’interno contengono indirizzi email, collegamenti a qualsiasi tipo di file: nel caso del virus in esame il file di solito si chiama Nakedmodel18.com. Non è un sito ma un vero e proprio file che infetta il Pc: crea infatti un file services.exe (che dovremo cancellare, ha lo stesso nome di un famoso processo di Windows presente in C:WindowsSystem32) in alcune cartelle (probabilmente quelle utente), caricandolo all’avvio.
Come eliminare il Virus
Alcuni antivirus non si accorgono della sua presenza mentre più facilmente una scansione con gli Anti Spyware (come Ad-Aware) può risolvere il problema.
In tal caso ci sono tre procedure che consiglio, la prima abbastanza veloce così come la seconda. Entrambe per chi non vuole perdere molto tempo: la terza invece è valida più in generale nel caso
di virus su Msn Messenger. Attenzione: in TUTTE le procedure tenere MSN chiuso.
Prima Soluzione
Eliminiamo dunnque il file:
C:Documents e SettingsutenteImpostazioni Localitempservices.exe (ricordati che la cartella Impostazioni Locali o anche Local Settings è nascosta, per vederla bisogna andare in Strumenti—>Opzioni Cartella—>Visualizzazione e spuntare “Visualizza cartelle e files nascosti”) .
Seleziona il file e cancellalo: nel caso non sia possibile e venga utilizzato dal PC si può procedere come nel seguente modo o utilizzare l’utility Unlocker per sbloccare il file e poterlo dunque eliminare:
1. Vai in Start — Clicca su Esegui e scrivi “msconfig” e premi INVIO.
2. Nella schermata che appare spostati nella scheda Avvio. Individua nell’ elenco “Services.exe” e togli il segno di spunta dalla casella a fianco
3. Clicca su Ok e riavvia il computer
4. Al successivo Riavvio vai nella directory dov’è presente services.exe (ad esempio in C:Documents e SettingstuonomeutenteImpostazioni Localitempservices.exe) ed eliminalo manualmente
5. Svuota il cestino
6. Il virus dovrebbe essere debellato (per controllare fai una scansione online con Bitdefender)
Seconda Soluzione
Se vuoi utilizzare direttamente dei programmi e delle utility che magari non hanno bisogno di installazioni puoi scegliere tra: MSN FIX TOOL (file. zip) (seguire le istruzioni a video), Live Kill CLEAN MESSENGER, Kaspersky Virus Removal Tool.
Terza Soluzione
Questa soluzione invece è consigliata assolutamente ai più esperti e pignoli; dovrebbe essere usata sempre in generale. Utilizza alcune precauzioni ed alcuni software già citati in precedenza.
1) Disattiva il Ripristino configurazione di sistema (tasto destro del mouse sull’icona Risorse del Computer-> seleziona la voce Proprietà->apri la scheda Ripristino configurazione di Sistema->spunta la voce Disattiva ripristino configurazione di sistema->conferma, la modifica, con Applica e premi Ok).
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino al completamento della procedura
2) Provvedi a svuotare del suo contenuto la cartella Prefetch in C:Windows (non elminare la cartella!)
3) Installa CCLEANER, avvialo e in Opzioni -> Imostazioni spunta la voce Cancellazione sicura e poi su Avanzate togli la spunta a Cancella solo file più vecchi di 48 ore. Dunque alla voce Pulizia spunta tutte le voci comprese nella sezione Avanzate.
Puoi dunque Avviare la Pulizia per fare la scansione: successivamente nel menu a sinistra clicca su Registro, seleziona tutte le voci comprese nella sezione e premi su Trova Problemi. Dunque alla fine clicca su Ripara Selezionati.
4) Ora è possibile utilizzare uno dei tool proposti nella Seconda Soluzione e successivamente controllare la presenza di spyware o malware utilizzando ad esempio HIJACKTHIS.
Buon lavoro a tutti. Se avete dubbi scrivete nei commenti.
Rispondi a Dario Salvelli Annulla risposta