Come rimuovere il virus Myphoto.zip

18 06 2007

Da un pò di tempo gira su Windows Live Messenger un fastidiosissimo virus chiamato Myphoto.zip. Quando questo virus infetta un sistema (naturalmente Windows), si auto-invia sempre con il nome di Myphoto.zip quando si chatta con un altro contatto. Molti anti-virus, purtroppo, non sono ancora in grado di rimuovere questo virus. Ma seguendo questa guida si può rimuovere manualmente:

N.B. Prima della rimozione fare il backup del registro. Riavviate in Modalità provvisoria (premendo il tasto F8 al caricamento del sistema), apriamo il Task Manager (Ctrl+Alt+Canc) e terminiamo, se presente, l’applicazione aggiunta dal worm. Chiudete il Task Manager, quindi cercate ed eliminate i seguenti files:

  • C:\windows\instl.exe
  • C:\windows\undllx.sys
  • C:\windows\systeml32x.exe
  • C:\windows\systemvxd32v.exe
  • C:\windows\empzip.tmp
  • C:\windows\vxdload.log
  • C:\windows\winload.log
  • C:\x.exe

Fatto ciò andate nella cartella dell’esecuzione automatica Start—>Tutti i programmi (o programmi)—>Esecuzione automatica, ed eliminate il file DLLXW.EXE

Da Start—>Esegui scrivete regedit, andate nella chiave:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

ed eliminate dal pannello a destra il valore “load32″=”%System%l32x.exe” (%System% è la directory riferita al proprio sistema operativo). Andate in:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

e dal pannello di destra sotto la colonna “Nome” cambiate la stringa
Shell = explorer.exe C:\windows\systemvxd32v.exe

con

Shell = explorer.exe
confermate e chiudete il registro.
Quindi andate in Start—>Esegui, scrivete win.ini, premete OK e sostituite il valore:


[windows]
run = C:\Windows\undllx.sys

con:

[windows]
run =

cliccate su File e poi su Salva

Da Start—>Esegui scrivete system.ini, premete OK e sostituite il valore:
[boot]
shell=explorer.exe c:windowssystemvxd32v.exe

con:


[boot]
shell=explorer.exe

fate click su File e poi su Salva.

Riavviate il computer. Sempre dalla modalità provvisoria, fate una scansione con l’antivirus aggiornato. Riavviate in modalità normale.

N.B. Prima della procedura di rimozione ricordarsi che su sistemi operativi WinME e WinXP si consiglia di disabilitare il Ripristino di configurazione del sistema (System Restore). Per fare ciò, seguite questo procedimento:

Andate su Start—>Guida in linea e supporto tecnico—>Annula le modifiche apportate al computer con Ripristino configurazione di sistema—>Impostazioni ripristino configurazione di sistema—>Disattiva ripristino configurazione di sistema. Quindi fate click su OK.

Terminata la rimozione del virus, riattivate il Ripristino di configurazione di sistema. 😉



Aggiornamento importante: Ho scoperto che il virus può essere rimosso anche con MSNFix insieme a CCleaner. Ed inoltre viene rilevato anche da Nod32.

Annunci