Mi scuso per il lungo ma necessario titolo del post. Stamane utilizzavo il PC di un amico ed aprendo Msn Messenger da invisibile per controllare la posta, pare abbia infettato qualche contatto tra i quali Napolux (che mi ha segnalato anche questo post). Oltre a scusarmi con quanti avrò “attaccato” vi spiego come ho fatto ad eliminarlo.

Come per il virus photoalbum.zip chi utilizza Msn Messenger o Windows Live Messenger è più colpito da virus del genere: si tratta di un malware che rientra nella famiglia Backdoor Win32/IRCBot.AAL e del quale potete trovare informazioni (anche se non sono riuscito a farlo) negli elenchi di Mcafee, F-Secure, Symantec.
Se ricevete nelle conversazioni di Msn dei link del tipo (ci sono diverse varianti come quella di member.lycos.nl ma di nessuna dovete aprile il file .exe che vi invitano a scaricare nè cliccare sul link):

Emoticon con il tuo volto:-O
Oh nudo .
“oh naked ? indirizzo”

Il consiglio è quello di non accettare mai link che non sembrano scritti da una persona e che all’interno contengono indirizzi email, collegamenti a qualsiasi tipo di file: nel caso del virus in esame il file di solito si chiama Nakedmodel18.com. Non è un sito ma un vero e proprio file che infetta il Pc: crea infatti un file services.exe (che dovremo cancellare, ha lo stesso nome di un famoso processo di Windows presente in C:WindowsSystem32) in alcune cartelle (probabilmente quelle utente), caricandolo all’avvio.

Come eliminare il Virus

Alcuni antivirus non si accorgono della sua presenza mentre più facilmente una scansione con gli Anti Spyware (come Ad-Aware) può risolvere il problema.

In tal caso ci sono tre procedure che consiglio, la prima abbastanza veloce così come la seconda. Entrambe per chi non vuole perdere molto tempo: la terza invece è valida più in generale nel caso
di virus su Msn Messenger. Attenzione: in TUTTE le procedure tenere MSN chiuso.

Prima Soluzione

Eliminiamo dunnque il file:
C:Documents e SettingsutenteImpostazioni Localitempservices.exe (ricordati che la cartella Impostazioni Locali o anche Local Settings è nascosta, per vederla bisogna andare in Strumenti—>Opzioni Cartella—>Visualizzazione e spuntare “Visualizza cartelle e files nascosti”) .

Seleziona il file e cancellalo: nel caso non sia possibile e venga utilizzato dal PC si può procedere come nel seguente modo o utilizzare l’utility Unlocker per sbloccare il file e poterlo dunque eliminare:

1. Vai in Start — Clicca su Esegui e scrivi “msconfig” e premi INVIO.
2. Nella schermata che appare spostati nella scheda Avvio. Individua nell’ elenco “Services.exe” e togli il segno di spunta dalla casella a fianco
3. Clicca su Ok e riavvia il computer
4. Al successivo Riavvio vai nella directory dov’è presente services.exe (ad esempio in C:Documents e SettingstuonomeutenteImpostazioni Localitempservices.exe) ed eliminalo manualmente
5. Svuota il cestino
6. Il virus dovrebbe essere debellato (per controllare fai una scansione online con Bitdefender)

Seconda Soluzione

Se vuoi utilizzare direttamente dei programmi e delle utility che magari non hanno bisogno di installazioni puoi scegliere tra: MSN FIX TOOL (file. zip) (seguire le istruzioni a video), Live Kill CLEAN MESSENGER, Kaspersky Virus Removal Tool.

Terza Soluzione

Questa soluzione invece è consigliata assolutamente ai più esperti e pignoli; dovrebbe essere usata sempre in generale. Utilizza alcune precauzioni ed alcuni software già citati in precedenza.

1) Disattiva il Ripristino configurazione di sistema (tasto destro del mouse sull’icona Risorse del Computer-> seleziona la voce Proprietà->apri la scheda Ripristino configurazione di Sistema->spunta la voce Disattiva ripristino configurazione di sistema->conferma, la modifica, con Applica e premi Ok).
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino al completamento della procedura

2) Provvedi a svuotare del suo contenuto la cartella Prefetch in C:Windows (non elminare la cartella!)

3) Installa CCLEANER, avvialo e in Opzioni -> Imostazioni spunta la voce Cancellazione sicura e poi su Avanzate togli la spunta a Cancella solo file più vecchi di 48 ore. Dunque alla voce Pulizia spunta tutte le voci comprese nella sezione Avanzate.
Puoi dunque Avviare la Pulizia per fare la scansione: successivamente nel menu a sinistra clicca su Registro, seleziona tutte le voci comprese nella sezione e premi su Trova Problemi. Dunque alla fine clicca su Ripara Selezionati.

4) Ora è possibile utilizzare uno dei tool proposti nella Seconda Soluzione e successivamente controllare la presenza di spyware o malware utilizzando ad esempio HIJACKTHIS.

Buon lavoro a tutti. Se avete dubbi scrivete nei commenti.

17 Comments

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

  • io mi sono infettato… e col primo metodo nn avevo risultati,…..

    ho usato il secondo, spero che sia andato a buon fine… grazie per le informations….

    sciauuuuuuuu

  • ciao.io l’ho ricevuto oggi (aprendolo da brava volpe) non da te ma visto che ne sai qsa ne approfitto..solo che ecco il mio era qsa tipo naudvanonna. ho seguito la procedura ma non trovo services.exe cosa significa? sono infettata o no?guardando la cronologia dei msg con chi l’ha inviato a me ho visto che ho iniziato a inviarglielo anche io, quindi temo… ma può essere da qualche altra parte? grazie mille

  • @megareda: Di nulla!!

    @val: Probabile tu non sia infettata: puoi risolvere facendo una scansione dell’antivirus. Di solito il file infetto si trova nella directory citata nel post.

  • Ciao. Ho una situazione simile a quella di “val” soltanto che sono sicuro di essere infetto anche se non trovo service.exe (e non so come l’opzione visualizza file nascosti non mi si applica). Ho utilizzato Avast, Spybot, C Cleaner, Avira AntiVir e infine pur non sapendolo utilizzare HIJACK THIS. Ho anche disinstallato e reinstallato msn aggiornato all’ultima versione, ma quei messaggi continuo ad essere inviati. Ho provato anche con START -> ESEGUI -> Regedit ma nulla.. Non ho la possiblità di formattare il computer e visto che molti sono riusciti a debellarlo voglio continuare a provare.. Aspetto notizie…

  • ciao. come per “jay” sono sicura di essere infetta perchè aprendo msn live inizia a mandare quel link a tutti. ho provato a seguire prima e seconda soluzione ma non trovo il file “services.exe” e non so come risolvere il problema. ti ringrazio in anticipo ;)
    aspetto una tua risposta risolutrice.

  • ho lo stesso problema.. ho fatto sia il primo ed il secondo metodo ma non ci riesco -.- quella cartella non si toglie… su msn continua ad inviare virus a tutti i miei contatti -.-

  • Avete ricevuto messaggi in messenger tipo:

    “Mario scrive:
    -link-
    Mario scrive:
    le tue foto sono pubblicati su questo sito :s”?

  • io si e come un deficente io che non apro mai cose che non mi fido l’ho aperto e mi sono infettato ma ho provato in tutti i modi ma non riesco ad eliminarlo! NON VOGLIO FORMATTARE IL PC!!!!!!

  • ciao, purtroppo mi sono infettato con il virus che crea quel caspita di file (services.exe) che non si cancella.Ho usato unlocker e non si cancella nemmeno al riavvio del sistema.ho usato msn fix e nessun risultato. ho usato live kill clean messenger, e niente. Ho disinstallato msn e…niente!! ho usato anche il primo metodo scritto sopra da te ma nn ho avuto nessun risultato.Il terzo metodo lo può usare solo ki è davvero esperto,o posso farcela anch’io col tuo aiuto??? per favore risp. sto diventando pazzoooo.

  • idem nn riesco a cancellare il file con i metodi

  • ankio non riesco a toglierlo con nessuno dei due metodi… che dici posso provare con il 3?

  • ragazzi!!! Ci sono riuscito!!!! Ho installato l’antivirus NOD32, mi ha trovato una trentina di antivirus! li ha trovati e cancellati tutti ,anche services.exe!!! ciaoo!!!

  • scusate ho sbagliato a scrivere :(

    ragazzi!!! Ci sono riuscito!!!! Ho installato l’antivirus NOD32, mi ha trovato una trentina di virus facendo la scansione!! li ha trovati e cancellati tutti ,anche services.exe!!! ciaoo!!!

  • anchio sono stato infettato dal Services.exe, ho provato ad usare Kaspersky Virus Removal Tool senza risultato. Ora vorrei disinstallare Kaspersky Virus Removal Tool ma non riesco a farlo. Mi potete aiutare a disinstallare Kaspersky Virus Removal Tool?

    vi ringrazio anticipatamente

  • ho come antivirus avast e ccleaner ultimmente mi esce di continuo allarme avast email autentiche nomi cioè(FARFALLINA74@HOTMAIL.IT) poi di continuo con nomi diversi ho provato a cancellare e ha fre la scanzione ma mi dice che ci sono cinque virus nel cestino di avast …aiutami disperata devo ricorere a formettaro o cè una soluzione ……grazie marl da modena

  • Importante è – se usi Windows da Xp in poi – disattivare il Ripristino configurazione di sistema, altrimenti la pulitura non è completa.

    Poi ti consiglio i seguenti programmi:

    HijackThis

    cwshredder

    NoAdware

    AVG Free 8.0