Release : Spybot Search&Destroy 1.6.0.25 Beta Version

Ultimo aggiornamento : 05.06.08

Latest Changes:

Ultimamente sta girando un nuovo virus di msn / windows live messenger.
Come al solito questo virus si prende aprendo il link che vi propone e scaricando il file.

A me è arrivato questo messaggio Questa è la tua foto? http://youtube.my3gb.com/index.php?=MIOINDIRIZZODIMSN

Come si puo vedere a prima vista puo’ anche sembrare vero.. ma se guardate bene non è il vero sito di youtube in realta’ è un sito che ti permette di registrarti un nome e avere quel sito. ( Tipo altervista o netsons ). E facendoti credere che veramente è la tua foto ti mette il tuo indirizzo che usi su msn allo scopo di farti aprire il link e scaricare il file che ATTENZIONE non è una immagine ma un file eseguile .exe.

Purtroppo non ho ancora la soluzione se avete aperto il virus, appena mi informo meglio postero’ come cancellarlo dal pc, sempre su questo articolo!

Ringrazio Franco e p2pForum.it

Ecco cosa dovete fare per eliminare questo virus ( troyan ) :

1) Scaricate Avenger
2) Dentro al file zip, aprite Avenger.exe e avviatelo.
3) Nel box bianco inserite quanto segue :

Files to delete:
C:\WINDOWS\system32\sysregi.exe
C:\WINDOWS\scvhost.exe
C:\WINDOWS\wksvcsc.exe

folders to delete:
C:\WINDOWS\temp
C:\WINDOWS\Tasks

registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Windows UDP Control Services

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

4) Cliccate su EXECUTE e il pc dovrebbe riavviarsi, se non si riavvia fatelo voi.

Ora usando hijackthis ( se non c’e’ l’avete scaricatelo ) mettete la spunta su “do a system scan only”.
Mette la spunta su quese voci:

C:\WINDOWS\system32\sysregi.exe
C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [MSN] scvhost.exe
O4 - HKLM\..\Run: [Nod32 Runtime] sysregi.exe
O4 - HKLM\..\RunServices: [Nod32 Runtime] sysregi.exe

e cliccate su FIX CHECKED.

Facendo questo dovrebbe sistemarsi tutto, purtroppo devo retificare la risposta che ho dato a Franco nei commenti dove dicevo che non è pericoloso. Purtroppo è pericoloso in quanto un rbot quindi il proprietario del troyan quando vuole vi puo’ entrare nel pc e fare quel cazzo che vuole..

Spero che vi serva come lezione per i prossimi messaggi strani che vi arriveranno.

Sicuramente dopo ogni aggiornamento di Antivir avrete notato quanto è fastidioso quel Pop-UP pieno di pubblicità che vi arriva in mezzo al vostro Dekstop.
Ecco, ora vi diro’ come eliminare finalmente questo problema.

1) Aprite Blocco-Note
2) Incollare questo codice :

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifie
rs\0\Paths\{3f4dabe0-8061-4eb3-8ae7-265a4c579700}]
“Description”=”Start von avnotify.exe unterbinden.”
“SaferFlags”=dword:00000000
“ItemData”=”C:\\Programmi\Avira\\AntiVir PersonalEdition Classic\\avnotify.exe”

3) Salvarlo con estensione .REG ( es. Nopopup.reg )
4) Una volta creato cliccaci sopra 2 volte, Cliccare su SI e infine su OK
5) Il gioco è fatto!

Invece se non hai sbatti di farlo scaricarlo direttamente cliccando QUA

Fonte e Ispirazione Geekissimo