RUN32DLL infetto, mi date una mano per favore?

Matthew79 · 10-07-2012, 11:51

Ciao ragazzi

Oggi vado su un sito di streaming, e mi compare una maledetta schermata farlocca della Polizia Di Stato che invita a pagare 100€ di multa etc. etc.

Morale della favola computer inutilizzabile, tutto bloccato e stessa schermata che si presenta ad ogni riavvio senza possibilità di accedere ai task manager o di premere alcun tasto.

Tramite il telefono riesco a reperire qualche info sul virus in questione, accedo in modalità provvisoria e riesco a cancellare dal menù "Esecuzione Automatica" il collegamento incriminato che portava alla segeunte destinazione:

%systemroot%\system32\rundll32.exe C:\Users\matthew\AppData\Local\Temp\roper0dun.exe,FQ10

Al che andando in Temp cancello roper0dun.exe e perlomeno evito quella cavolo di schermata all'avvio.

Il problema è che ora ogni riavvio mi si presenta questa finestra di errore:

Ora vorrei sapere per favore:

1) Il file rundll32,exe è un file necessario di sistema o si può cancellare?
2) Nel primo caso è possibile riportarlo allo stato precedente all'infezione?

Ho comunque provato a sportarlo, rinominarlo etc. anche a processo terminato ma mi dice:

Qualche idea su come procedere?

Grazie mille in anticipo a tutti

**Chill-Out** · 10-07-2012, 18:10

Allega un log di HJT

mentapiperita74 · 11-07-2012, 07:52

E' un virus. Una variante di un famoso virus che gira da tempo. Leggi QUI.

Dico che è una variante perchè le istruzioni che ho trovato in giro non corrispondono perfettamente.

Comunque anche io sono alle prese con la rimozione.
Per prima cosa vai in modalità provvisoria (F8 all'avvio), poi "start","esecuzione automatica" cancella la voce (che dovresti avere) "ctfmon" che è un fake.
Se dopo averlo cancellato, non ti compare più in elenco, dovresti aver rimosso l'attivazione del virus all'avvio.
Riavvia in modalità normale e verifica se non ti compare più l'errore.
Poi fai una scansione con un antivirus. Consigliano di utilizzare il Kasperski rescue disk (cerca con google).
Poi usa ccleaner e fai una scansione del registro che ti dovrebbe rimuovere le chiavi che rimandano al virus.

10-07-2012, 11:51	#1
Matthew79 Senior Member Iscritto dal: Nov 2005 Messaggi: 842	RUN32DLL infetto, mi date una mano per favore? Ciao ragazzi Oggi vado su un sito di streaming, e mi compare una maledetta schermata farlocca della Polizia Di Stato che invita a pagare 100€ di multa etc. etc. Morale della favola computer inutilizzabile, tutto bloccato e stessa schermata che si presenta ad ogni riavvio senza possibilità di accedere ai task manager o di premere alcun tasto. Tramite il telefono riesco a reperire qualche info sul virus in questione, accedo in modalità provvisoria e riesco a cancellare dal menù "Esecuzione Automatica" il collegamento incriminato che portava alla segeunte destinazione: %systemroot%\system32\rundll32.exe C:\Users\matthew\AppData\Local\Temp\roper0dun.exe,FQ10 Al che andando in Temp cancello roper0dun.exe e perlomeno evito quella cavolo di schermata all'avvio. Il problema è che ora ogni riavvio mi si presenta questa finestra di errore: Ora vorrei sapere per favore: 1) Il file rundll32,exe è un file necessario di sistema o si può cancellare? 2) Nel primo caso è possibile riportarlo allo stato precedente all'infezione? Ho comunque provato a sportarlo, rinominarlo etc. anche a processo terminato ma mi dice: Qualche idea su come procedere? Grazie mille in anticipo a tutti

10-07-2012, 18:10	#2
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Allega un log di HJT __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

11-07-2012, 07:52	#3
mentapiperita74 Senior Member Iscritto dal: Apr 2010 Messaggi: 1179	E' un virus. Una variante di un famoso virus che gira da tempo. Leggi QUI. Dico che è una variante perchè le istruzioni che ho trovato in giro non corrispondono perfettamente. Comunque anche io sono alle prese con la rimozione. Per prima cosa vai in modalità provvisoria (F8 all'avvio), poi "start","esecuzione automatica" cancella la voce (che dovresti avere) "ctfmon" che è un fake. Se dopo averlo cancellato, non ti compare più in elenco, dovresti aver rimosso l'attivazione del virus all'avvio. Riavvia in modalità normale e verifica se non ti compare più l'errore. Poi fai una scansione con un antivirus. Consigliano di utilizzare il Kasperski rescue disk (cerca con google). Poi usa ccleaner e fai una scansione del registro che ti dovrebbe rimuovere le chiavi che rimandano al virus. __________________ Toshiba L650-116 Intel i5-430 - ATI HD5650 @650/800 1GB GDDR3 - 4GB DDR3 1066MHz - 15,6" 1366X768 LED - HD 500GB

Strumenti
Mostra una versione stampabile Invia questa pagina per email