Ragazzi da un pò di tempo a questa parte circola su msn un virus chiamato photo album... non accettatelo!! se qualcuno a qualche informazione scrivete (tipo di virus etc..)

Ragazzi da un pò di tempo a questa parte circola su msn un virus chiamato photo album... non accettatelo!! se qualcuno a qualche informazione scrivete (tipo di virus etc..)

ircbot.qc isolato da almeno due giorni

perfetto!

ircbot.qc isolato da almeno due giorni
Ciao, sei sicuro del nome? a che antivirus è associato? quel nome risulta essere in giro da + di 2 giorni, diciamo mesi:)

Ciao

sto diavolo di virus cmq, è ancora tranquillamente in giro, infatti i miei contatti continuano a spedirlo tranquillamente e il mio antivirus nn lo riconosce.. (ho nod32) aggiornato a oggi!

Una mia compagna lo ha accettato e si stavo inviando anche a me!
è un file zip e bisogna accettarlo (normale procedura) e sotto il file ti compare una scritta in inglese che ho letto di fretta (non me la ricordo bene) ma si rifaceva a donne nude!
Cmq il file non mi è arrivato perchè la mia compagna ha chiuso msn !
Voi sapete se il kaspersky lo rileva?:fagiano:

se ti vai mandare il file puoi vedere chi lo ricosce, essendo un file compresso non corri rischi, ciao

PS:Kspersky ha fatto questi aggiornamenti(ultimamente)
http://www.kaspersky.com/viruswatchlite?search_virus=im&x=0&y=0&hour_offset=-2
im sta per instant messanger il veicolo di questa infenzione, puo darsi che sia uno di quelli

se ti vai mandare il file puoi vedere chi lo ricosce, essendo un file compresso non corri rischi, ciao

PS:Kspersky ha fatto questi aggiornamenti(ultimamente)
http://www.kaspersky.com/viruswatchlite?search_virus=im&x=0&y=0&hour_offset=-2
im sta per instant messanger il veicolo di questa infenzione, puo darsi che sia uno di quelli

ora vediamo se ci riesco...
Lei dice che non c'è l'ha più!:mbe:
Ma dubito che abbia AV:D

http://www.cisrt.org/bbs/viewthread.php?tid=924&extra=page%3D1
http://www.cisrt.org/bbs/viewthread.php?tid=918&extra=page%3D1

http://www.cisrt.org/bbs/viewthread.php?tid=924&extra=page%3D1
http://www.cisrt.org/bbs/viewthread.php?tid=918&extra=page%3D1

è proprio questo!
è sotto leggendo c'è pure la frase delle ragazze nude:D

Se hai ancora la possibilità di farti spedire l'archivio, me lo invieresti? Grazie

Ciao

Se hai ancora la possibilità di farti spedire l'archivio, me lo invieresti? Grazie

Ciao

Si certo;)
Ma mi sa che non riuscirò a farlo arrivare...

Ho appena ricevuto un sample di questo malware ma penso che sia un altra variante in quanto è compresso con eXPressor gli altri da come ho letto con upx, da un primo sguardo è uguale agli altri.
Il malware è stato scritto il 14 del mese scorso

AhnLab-V3 2007.3.31.0 04.01.2007 Win32/ShadoBot.worm.24772
AntiVir 7.3.1.47 04.01.2007 TR/Agent.24772
Authentium 4.93.8 03.31.2007 no virus found
Avast 4.7.936.0 03.31.2007 no virus found
AVG 7.5.0.447 03.31.2007 Worm/Generic.BAG
BitDefender 7.2 04.01.2007 Worm.Sedoubot.A
CAT-QuickHeal 9.00 03.31.2007 (Suspicious) - DNAScan
ClamAV devel-20070312 04.01.2007 Trojan.IRCBot-967
DrWeb 4.33 04.01.2007 BackDoor.IRC.Shadowbot
eSafe 7.0.15.0 03.31.2007 suspicious Trojan/Worm
eTrust-Vet 30.6.3527 03.31.2007 no virus found
Ewido 4.0 04.01.2007 Backdoor.IRCBot.aaq
FileAdvisor 1 04.01.2007 no virus found
Fortinet 2.85.0.0 04.01.2007 W32/Parite.fam
F-Prot 4.3.1.45 03.30.2007 no virus found
F-Secure 6.70.13030.0 04.01.2007 Backdoor.Win32.IRCBot.aaq
Ikarus T3.1.1.3 04.01.2007 Win32.SuspectCrc
Kaspersky 4.0.2.24 04.01.2007 Backdoor.Win32.IRCBot.aaq
McAfee 4997 03.31.2007 no virus found
Microsoft 1.2306 04.01.2007 no virus found
NOD32v2 2160 03.31.2007 a variant of Win32/IRCBot.WO
Norman 5.80.02 03.31.2007 W32/Malware.NKD
Panda 9.0.0.4 04.01.2007 no virus found
Prevx1 V2 04.01.2007 no virus found
Sophos 4.16.0 03.30.2007 no virus found
Sunbelt 2.2.907.0 03.31.2007 VIPRE.Suspicious
Symantec 10 04.01.2007 no virus found
TheHacker 6.1.6.083 03.30.2007 no virus found
UNA 1.83 03.16.2007 no virus found
VBA32 3.11.3 04.01.2007 suspected of Trojan-PSW.Pinch.130 (paranoid heuristics)
VirusBuster 4.3.7:9 03.31.2007 no virus found
Webwasher-Gateway 6.0.1 04.01.2007 Trojan.Agent.24772
Trend Micro 8.310-1002 TROJ_IRCBOT.ST

Alcune stringhe presenti nel codice

mfao hey im sending my new photo album, Some bare funny pictures!
lol my sister wants me to send you this photo album
Hey i been doing photo album! Should see em loL! accept please mate :)
HEY lol i've done a new photo album !:) Second ill find file and send you it.
Hey wanna see my new photo album?
looooooooooooooooooooooooooooooooooooooo!! :p
OMG just accept please its only my photo album!!
Hey accept my photo album, Nice new pics of me and my friends and stuff and when i was young lol...
Hey just finished new photo album! :) might be a few nudes ;) lol...
hey you got a photo album? anyways heres my new photo album :) accept k?
hey man accept my new photo album.. :( made it for yah, been doing picture story of my life lol..
\photo album.zip
PRIVMSG %s :MSN worm sent to: %d contacts
DdM
unknown
Explorer.exe
pstorec.dll
PStoreCreateInstance
ProtectedStorage
PRIVMSG %s : wow: %s %s:%s
StringIndex
:String
:String
http:/
https:/
PRIVMSG %s : wow:%s %s:%s
k#chat
w w w.free8.biz
e5d972968afa2721d683b61a0d237b54
lol lol lol :shadowbot2
net stop "Security Center"
net stop SharedAccess
SYSTEM\CurrentControlSet\Services\SharedAccess
Start
Start
SYSTEM\CurrentControlSet\Services\wuauserv
Start
Start
SYSTEM\CurrentControlSet\Services\wscsvc
Start
Start
wget
imstart
sp2f
pstore
skysyn
msnfuck
.exe
PRIVMSG %s :Executed [%s]
PRIVMSG %s :Failed [%s]
dnsapi.dll
suckmydick:pomgfuckingstupidgay!!!
NICK [%s][%iH]%s
USER %s
JOIN %s
PING :
PING :
PING :
PONG :%s
NICK [%s][%iH]%s
JOIN %s
KICK
JOIN %s
.imstart
PRIVMSG
NOTICE
explorer.exe
rdihost.dll
Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
rdihost
CLSID\
\InProcServer32
\photo album.zip
photo album2007.pif
rdihost.dll

Si certo;)
Ma mi sa che non riuscirò a farlo arrivare...

metti in una file archivio protetto da password (inferiore a tre lettere per me sarebbe meglio) e lo metti su mytemp dir

metti in una file archivio protetto da password (inferiore a tre lettere per me sarebbe meglio) e lo metti su mytemp dir

RAGAZZI!!!!!!!!!
La cosa è grave!
Altre 2 mie compagne infette!
Accetto il virus ma kaspersky lo blocca non ne vuole sapere di farlo entrare!!!

disattivalo:D tanto so 10 secondi:D
oppure se trovano i files, te li fai inviare con la pass, sempre che non hai attivato l'opzione di kas che rompe anche sui file protetti da pass:rolleyes:

Ciao

disattivalo:D tanto so 10 secondi:D
oppure se trovano i files, te li fai inviare con la pass, sempre che non hai attivato l'opzione di kas che rompe anche sui file protetti da pass:rolleyes:

Ciao

Cmq sapete se esiste un removal tool per gli infetti ?

per rimuovere il virus
(citando una soluzione già utilizzata su un altro forum: p2p forum utente LadyHawke)


con avenger di cui potete trovare una guida qui, http://www.megalab.it/articoli.php?id=946
inserite lo script

Files to delete:
%windows%\photo album.zip
%system%\rdfhost.dll
%system%\rdihost.dll
%system%\rdshost.dll

per rimuovere il virus
(citando una soluzione già utilizzata su un altro forum: p2p forum utente LadyHawke)


con avenger di cui potete trovare una guida qui, http://www.megalab.it/articoli.php?id=946
inserite lo script

Files to delete:
%windows%\photo album.zip
%system%\rdfhost.dll
%system%\rdihost.dll
%system%\rdshost.dll

HO IL VIRUS
MESSO hxxp://www.mytempdir.com/1278669

HO IL VIRUS
MESSO hxxp://www.mytempdir.com/1278669
E' uguale al mio:D

Si inietta nel processo explorer.exe
http://img511.imageshack.us/img511/9229/wormqa0.png (http://imageshack.us)

Crea il mutex suckmydick:pomgfuckingstupidgay!!! per evitare di avere + copie attive in memoria

Aggiunge i seguenti files:
%windows%\photo album.zip
%windows%\rdihost.dll

Esegui i comandi per disattivare il centro sicurezza e il firewall di windows in questo modo modifica anche i valori nel registro riferiti a questi servizi
net stop "Security Center"
net stop SharedAccess

Aggiunge questa chiave

HKEY_CLASSES_ROOT\CLSID\{B664A568-3AED-44A6-99F1-7DFDE7695326}

HKEY_CLASSES_ROOT\CLSID\{B664A568-3AED-44A6-99F1-7DFDE7695326}\InProcServer32
@="rdihost.dll"

HKEY_CURRENT_USER\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\rdihost


Ciao

perchè sono l'unico che non sa usare the avengerr :cry: :cry:

mi spiega qualcuno come fare velocemente per favore...:help: :help:

queste due
HKEY_CLASSES_ROOT\CLSID\{B664A568-3AED-44A6-99F1-7DFDE7695326}

HKEY_CLASSES_ROOT\CLSID\{B664A568-3AED-44A6-99F1-7DFDE7695326}\InProcServer32
@="rdihost.dll
mi mancavano....corro a segnalarle su HJT :eekk:

perchè sono l'unico che non sa usare the avengerr :cry: :cry:

mi spiega qualcuno come fare velocemente per favore...:help: :help:
leggi questa (http://www.megalab.it/articoli.php?id=946) guida,è veramente ben fatta oltrechè facile da capire ;)

cmq ho notato che entra in funzione solo la sera xke??

raga mi dite il nome di qst virus???
mi dite comeviene inviato???
come bisogna bloccarlo???

raga mi dite il nome di qst virus???
mi dite comeviene inviato???
come bisogna bloccarlo???
post numero 13

mika è qst: Win32.Backdoor.IRCBot +2

Io ho windows vista e avanger non lo supporta... Avete idea di come possa risolvere lo stesso il problema?

sono contento che il mio post vi sia stato utile.. pensavo che qulacun altro lo avesse già segnalato..

se non si apre l'archivio non si prende nulla giusto?

se non si apre l'archivio non si prende nulla giusto?

esatto

allora, ho disattivato tutti i sistemi di sicurezza tranne process guard e regdefend, allora il secondo non ha fatto niente perchè non ne ha avuto l'occasione: il worm tenta di chiudere tutti i programmi in esecuzione, PG non è stao molto d'accordo

se chiude tutti i processi in esecuzione come fa a funzionare? terminati certi processi windows si riavvia, ciao

se chiude tutti i processi in esecuzione come fa a funzionare? terminati certi processi windows si riavvia, ciao

tutti i programmi di sicurezza, cioè nod32 avg antispyware comodo personal firewall pro

Allora mi è sfuggito qualcosa:D :rolleyes: :rolleyes:

Allora mi è sfuggito qualcosa:D :rolleyes: :rolleyes:

forse anche a me, allora ti ri racconto tutto

ho disattivato av antispyware e fw; (ho lascato attivi solo gli hips)
ho scaricato il virus,
l'ho scompattao e lanciato,
dai log dell'hips ho visto che il virus aveva tentato di terminare dei processi ed era stato bloccato e terminato.

scusate ma sono un po tanto nabbo!,quando su avenger clicco inserire gli script manualmente,dove li devo inserire??
(%windows%\photo album.zip
%system%\rdfhost.dll
%system%\rdihost.dll
%system%\rdshost.dll)
pls

Io ho windows vista e avanger non lo supporta... Avete idea di come possa risolvere lo stesso il problema?

Quoto la mia domanda visto che nessuno risponde..
Non so come levare sta m..da e non posso lanciare Avenger sotto Vista..
HELP!

Inoltre nella cartella system di windows non ho nessun di questi files:
%system%\rdfhost.dll
%system%\rdihost.dll
%system%\rdshost.dll

Quoto la mia domanda visto che nessuno risponde..
Non so come levare sta m..da e non posso lanciare Avenger sotto Vista..
HELP!

è diverso, sotto avanger non parte, scaricati il kasperksy antivirus, o avg antispyware, installa aggiorna e lancia una scansione complet ain modalità provvisoria

è diverso, sotto avanger non parte, scaricati il kasperksy antivirus, o avg antispyware, installa aggiorna e lancia una scansione complet ain modalità provvisoria

Grazie mille!

Quoto la mia domanda visto che nessuno risponde..
Non so come levare sta m..da e non posso lanciare Avenger sotto Vista..
HELP!

Inoltre nella cartella system di windows non ho nessun di questi files:
%system%\rdfhost.dll
%system%\rdihost.dll
%system%\rdshost.dll
hai letto la guida?quelli sono devi files,dunque il comando giusto è "files to delete"

ma cazzarola io ho pagato fior di quattrini per un antivirus sicuro (norton antivirus) e poi devo scaricarmi sarkozi sarkazzi perchè il mio non me lo trova? e in più io non sono buono a utilizzare tutti sti programmini avantgard cioè.. non un pivello ma qui se sbaglio mi fotto il pc... uff sono incazzato..a aiuto.

il miglior antivirus si chiama buon senso e non è in vendita.

beh si.. ma non capisco come la tua gentile ironia possa aiutarmi a risolvere il problema..

pure io ho avuto un contatto che ogni volta che entrava in msn mi bombardava sto file zippato, ma visto che continuava a scrivere in inglese e ogni volta cambiava la frase per "allettarmi" prendendo in esame una presunta amica fino ad arrivare alla sorella e madre, era ovvio non fosse lui :)

effettivamente potevi acquistarne uno meno dispendioso e che da la biada al norton ma è questa è colpa del tuo negoziante o dell'amico che ti ha consigliato...

no tranquillo non ti "fotti" il pc, semmai basta formattare e si ritorna al punto di partenza.. ovviamente perdendo mezza giornata a reinstallare tutto :asd:


ad ogni modo ti serve il tool per pulirti dal IRCbot:
http://nod32.it/tools/cleaners/IBOCLEAN.ZIP

se il link diretto non dovesse funzionare basta che vai a cercare IRCbot qui:
http://www.nod32.it/download/free-virus-remover.php

beh si.. ma non capisco come la tua gentile ironia possa aiutarmi a risolvere il problema..

la soluzione era già stata postata e non solo una volta ;)

ma cazzarola io ho pagato fior di quattrini per un antivirus sicuro (norton antivirus) e poi devo scaricarmi sarkozi sarkazzi perchè il mio non me lo trova? e in più io non sono buono a utilizzare tutti sti programmini avantgard cioè.. non un pivello ma qui se sbaglio mi fotto il pc... uff sono incazzato..a aiuto.

metti un antivirus più serio anche di quelli gratuiti con antivir oppure active virus shield.
se hai voglia di spendere soldi ti consiglio: kaspersky internet security, antivir premium

avete provato quali antivirus riescono/non riescono a individuare questo virus?

avete provato quali antivirus riescono/non riescono a individuare questo virus?

tutti quelli buoni, compreso nod32 :D

io ribadisco che bisogna veramente essere tonti per prendersi questo virus, ad ogni modo i giorni in cui era ignoto sono finiti da un bel pezzo quindi se il norton non lo individua ancora è perchè non è aggiornato (dubito seriamente che non riesca a individuare questo virus) :)

da quando ho il pc mi sono affidato a Nortin internet security, che pur costando 50 € circa dove costa poco, non ha mai dato problemi, è sempre stato semplice e sicuro.. almeno sino a a ieri.
Magari è un pò pesantuccio sulle risorse di qualche pc, ma non certo sul mio. sicchè per aver il pc pulito li ho sempre spesi volentieri..
Per risolvere comunque mi sono scaricato la versione 30 day di karspesky. pròverò a utilizzare anche gli altri antivirus gratuiti che mi consigliate.. ma nonostante il post di come risolvere il problema sia stato messo più volte (mi riferisco all'utilizzo di avenger) non l'ho trovato così chiaro. forse choi è più capace da scontate certi passaggi. ad ogni modo meno male che ci siete voi. è come avere un gruppo di persone sempre pronto ad aiutarti. grazie mille a tutti. ( un pò meno a chi sfotte)! ;)


:oink: :oink: :oink:

da quando ho il pc mi sono affidato a Nortin internet security, che pur costando 50 € circa dove costa poco, non ha mai dato problemi, è sempre stato semplice e sicuro.. almeno sino a a ieri.
Magari è un pò pesantuccio sulle risorse di qualche pc, ma non certo sul mio. sicchè per aver il pc pulito li ho sempre spesi volentieri..
Per risolvere comunque mi sono scaricato la versione 30 day di karspesky. pròverò a utilizzare anche gli altri antivirus gratuiti che mi consigliate.. ma nonostante il post di come risolvere il problema sia stato messo più volte (mi riferisco all'utilizzo di avenger) non l'ho trovato così chiaro. forse choi è più capace da scontate certi passaggi. ad ogni modo meno male che ci siete voi. è come avere un gruppo di persone sempre pronto ad aiutarti. grazie mille a tutti. ( un pò meno a chi sfotte)! ;)


:oink: :oink: :oink:

;) dai che anche chi sfotte lo fa per sdrammatizzare un po', non c'è cattiveria...:p il discorso norton ormai è noto: l'internet suite 2007 è sicuramente migliorata rispetto alle precedenti pero' rispetto,per esempio, a quella di kaspersky non c'è paragone....poi solita considerazione: massimo rispetto per le scelte di ognuno :) :)

da quando ho il pc mi sono affidato a Nortin internet security, che pur costando 50 € circa dove costa poco, non ha mai dato problemi, è sempre stato semplice e sicuro.. almeno sino a a ieri.
Magari è un pò pesantuccio sulle risorse di qualche pc, ma non certo sul mio. sicchè per aver il pc pulito li ho sempre spesi volentieri..
Per risolvere comunque mi sono scaricato la versione 30 day di karspesky. pròverò a utilizzare anche gli altri antivirus gratuiti che mi consigliate.. ma nonostante il post di come risolvere il problema sia stato messo più volte (mi riferisco all'utilizzo di avenger) non l'ho trovato così chiaro. forse choi è più capace da scontate certi passaggi. ad ogni modo meno male che ci siete voi. è come avere un gruppo di persone sempre pronto ad aiutarti. grazie mille a tutti. ( un pò meno a chi sfotte)! ;)


:oink: :oink: :oink:

non ho mai sentito nessuno imprecare a priori contro il norton ne sul fattore pesantezza e nemmeno su problemi di virus sfuggiti..
questi imprecamenti avvengono dopo un infezione non rilevata e con la prova di antivirus come antivir, bit-defender (tempo fa' c'era anche nod32 :cry: :cry: ) ti accorgerai che la leggerezza e velocità non è marchio symantec :)

kaspersky è un ottimo antivirus e un ottima suite, ma è un po' più lentino di altri.. il kav7/kis7 non li ho provati quindi non posso dire nulla

forse anche a me, allora ti ri racconto tutto

ho disattivato av antispyware e fw; (ho lascato attivi solo gli hips)
ho scaricato il virus,
l'ho scompattao e lanciato,
dai log dell'hips ho visto che il virus aveva tentato di terminare dei processi ed era stato bloccato e terminato.


perdonami cos' è hips?

perdonami cos' è hips?

ecco la risposta, un bel articolo esaustivo:
http://www.hwupgrade.it/articoli/sicurezza/1545/hips-nuove-tecnologie-per-la-sicurezza_index.html