Cerca nel blog

2006/04/03

Nuovo videomail virale: ci prendono tutti in giro. Anche i virus

Questo articolo vi arriva grazie alle gentili donazioni di "felzad" e "carlo@mac*.org".
L'articolo è stato aggiornato rispetto alla sua versione iniziale.

Una nuova ondata di e-mail virali sta arrivando da un paio di giorni nelle caselle di posta. Il meccanismo non è nuovo ma comunque astuto e interessante dal punto di vista psicologico: l'e-mail sembra provenire da un conoscente e ha un titolo che incuriosisce e induce ad aprire l'allegato, che è una trappola.

Per esempio, uno dei titoli è "come ci prendono tutti in giro?", accompagnato dal testo "avevate mai visto una cosa del genere? perchè non le fanno vedere alla televisione queste cose? consiglio di farlo girare !!".

Un altro messaggio contiene la frase "guardate un pò qui, certe cose in TV non te le fanno vedere... non ho potuto fare a meno di inviarlo a tutto il mio indirizzario".

Un terzo esempio ha come testo "è incredibile che certe cose si vedano solo sui blog. Diffondete.". Altri messaggi parlano di un "incidente pazzesco mai trasmesso in tv".

Cliccando sull'allegato, il video non parte, apparentemente perché è "impossibile trovare il codec" (come mostrato nell'immagine qui sopra). In realtà l'allegato fa credere a Windows di essere un file video (usando il Content-Type: video/x-ms-asf), ma è un pezzo di codice HTML che porta al sito Vcodecget.net. In altri casi porta a Vcodecpull.com.

Nei siti c'è un file eseguibile (per Windows), che l'analisi online di Kaspersky non identifica come pericoloso al momento in cui scrivo. Direi che è comunque evidente l'intento ostile di questi messaggi, per cui il file non va aperto e anzi va cancellato subito.

Ho già segnalato i siti ostili a Netcraft e quindi la barra anti-phishing di Netcraft dovrebbe riconoscerlo tra breve. Usatela (è gratis) e ricordate di non aprire gli allegati inattesi, neanche se ve li mandano (apparentemente) gli amici!


Aggiornamento (2006/04/03 11:30)


Netcraft ha stranamente rifiutato entrambe le mie segnalazioni dicendo "The URL you recently submitted could not be accepted as a phishing site by the Netcraft Anti-Phishing Team, for the following reason: Sorry, we cannot verify that this is a fraudulent site, nor can we verify that the executable is malicious." Non riescono a verificare che sia un sito fraudolento e che l'eseguibile sia ostile. E' invece evidente che si tratta di software ostile, per le ragioni che ho spiegato loro dettagliatamente. Che ne dite se glielo diciamo in coro tutti insieme usando la funzione Report della loro barra?


Aggiornamento (2006/04/03 13:45)


Ricevo ripetute segnalazioni del fatto che l'e-mail sembra provenire da un conoscente della vittima. Il legame di indirizzo fra mittente (apparente) e vittima suggerisce che questo non sia un semplice dialer, ma abbia anche un componente virale (infetta e poi si propaga).


Aggiornamento (2006/04/04 13:30)


Ora ai siti-trappola si è aggiunto anche www.vcodec-get.com (col trattino). L'ho segnalato al volo a Netcraft, chissà se stavolta capiscono.
Rodri nota che i tre siti sono intestati a persone di Firenze:
Registrant di Vcodecget.com:
Antonella Pizzicoli
antpizzicoli@yahoo.com
Via Bonifacio Lupi 7
Florence, Florence Florence IT
+3.9055231881

Registrant di vcodecpull.com:
gustavo Doieni
via caduti di cefalonia 18
firenze firenze 40155
IT
simonrolf1@yahoo.com
+39.055274625

Administrative Contact di Vcodec-get.com:
Pizzicoli, Antonella  antpizzicoli@yahoo.com
Via Bonifacio Lupi 7
Florence, Florence 50129
Italy
+39-055-231-881
Sospetto che i dati siano fasulli (il primo numero risulta inesistente, il secondo squilla a vuoto), ma sarebbe interessante scoprire se esistono vie con questi nomi a Firenze. E se i dati sono fasulli, con quale criterio sono stati inventati dal truffatore? Perché proprio Firenze, per esempio?

68 commenti:

Anonimo ha detto...

Incredibile invece che non possiamo bruciare con i lanciafiamme questi simpaticoni: farebbero un falò decisamente... folcloristico! Perché dobbiamo sempre tentare di capire e perdonare tutti? Chi VUOLE deliberatamente sbagliare non è degno di vivere. Compresi gli sciacalli informatici!

Anonimo ha detto...

Caspita lo sapevo... un amico me l'ha inviato... mi pareva strano... difficilmente mi manda questi messaggi ... ma la curiosità era tanta... così lo passo e ripasso con l'antivirus etrust... nada e così lo apro... ora che mi succederà? (nota vedo che cerca di collegarsi ad un indirizzo esterno prontamente bloccato da mio firewall) se avete novità aggiornatemi !!! Saluti by Michele AS TomClancy
( ... e poi dicono che la curiosità e donna...grrrrr)

Anonimo ha detto...

Anche io ci sono cascato ed ho richiesto il codec (grrrr.....)!!!
Come si chiama il file scaricato (se esite) che lo cancello?
L'allegato l'ho cancellato subito.

Paolo Attivissimo ha detto...

L'allegato cambia nome ma di solito contiene "vcodec" e finisce in ".exe". Guarda nell'e-mail che hai ricevuto, sarà indicato dentro l'allegato (da aprire col Blocco Note!!!), oppure elenca i file più recenti che hai ricevuto.

Tieni presente che questo comunque *non* elimina l'infezione.

Pubblicherò dettagli sul funzionamento del file ostile appena ne ho. Per ora so, da segnalazioni di lettori in privato, che tenta di uscire su Internet.

Anonimo ha detto...

Attualmente (11.45 AM 03/04/06) la barra di netcraft da un risk rating pari a 10 su entrambi gli url citati nell'articolo

Anonimo ha detto...

cascato pure iooooooooooo
. Ho torvato il file segnalato da Paolo Attivissimo e l'ho cancellato. ora sto scannando il pc con tutti gli antivirus noti. Attualmente non noto sintomo

Anonimo ha detto...

Come dice Luca, la barra di NetCraft dà un risk rating pari a 10 visitando i siti, ma non blocca l'url del sedicente "codec".
Io ho fatto la mia parte, ho segnalato a NetCraft l'url, ma anche la mia segnalazione è stata rifiutata per gli stessi motivi... :-(

Anonimo ha detto...

Ho provveduto ad avvisare la Symbolic (F-Secure) che mi farà sapere il da farsi.
Per ora lo stanno studiando anche loro.
Saluti by Michele AS TomClancy

Anonimo ha detto...

ho scaricato il codec aprendo il filmato con il blocco note e l'ho inviato a kaspersky... dice che è pulito, ma io nn mi fiderei... se qualcuno vuole riprovare per confermarmi io intanto l'ho buttato nel cestino senza installarlo of course

Anonimo ha detto...

....beh se netcraft, etrust, kaspersky e altri non hanno trovato nulla, magari...non c'è proprio nulla da trovare..

Anonimo ha detto...

Ma scusate, non è la stessa tecnica di quei simpaticoni dello spam-virus di Natale?
Anche lì ti mandavano una mail da un mittente conosciuto con un filmato che non partiva perché richiedeva l'aggiornamento del codec...
Nessuno aveva individuato i responsabili?

Anonimo ha detto...

aggiornamento sul problema da Symbolic (F-SECURE)

"(...)verrà aggiunto tra poco alle impronte di FSAV. La avviseremo non appena
sarà riconosciuto.
Per ora, grazie per la collaborazione,(...)"

Michele AS TomClancy

Anonimo ha detto...

SYMBOLIC RISOLVE !!!

Ho ricevuto una mail dall'assistenza Symbolic (gentilissimi).

"(...)il file eseguibile (quello che viene scaricato dal web se si cliccasull'allegato ASX, non l'ASX stesso che è solo un link), viene orariconosciuto da FSAV come Trojan-Dropper.Win32.Agent.AHY.(...)"

Anonimo ha detto...

ma quindi...alla luce di quanto dice Symbolic, se io trovo il file eseguibile e lo cancello dall'ahrd disk ho risolto il problema?

Paolo Attivissimo ha detto...

Non è questione di cancellare il file: tutto dipende da se l'hai eseguito o no.

Anonimo ha detto...

Anche io ci sono pollescamente caduto, ma il PC per ora non dà sintomi. Sarebbe interessante capire cosa fa sto virus per capire se lo si è preso o meno.
Alex

Flavia Ceccarelli ha detto...

io ho eseguito il file e Windows Media Player ha scaricato il codec, ma apparentemente non è successo ancora nulla...

Anonimo ha detto...

anch'io ci sono cascato come un pero... e ho cliccato sull'eseguibile .exe anche più di una volta perchè non succedeva niente... ho capito subito dopo che non andava qualcosa... ho fatto scansioni con Microsoft Antispyware, Windows Defender e scaricato Kaspersky ma non mi ha rilevato niente... adesso non so cosa fare :(

Anonimo ha detto...

@Alex e Flavia: potete controlare se avete questo file sul disco?
\(Windows)\system32\pio12.dll

dove (Windows) può essere WINNT, WIN98 o simili, insomma la directory dove sta quel certo sistema operativo che ha qualche problemino di virus :-)
Sembra che questa DLL venga creata dal trojan. Ma non so che cosa faccia, non è facilissimo accedervi, almeno sulla mia macchina di test...

Anonimo ha detto...

Bisogna essere dei polli ad aprire un allegato quando si ricevono e-mail del genere. Evidentemente i consigli di paolo Attivissimo li leggono in tanti ma pochi li seguono

Paolo Attivissimo ha detto...

Non sottovalutare l'efficacia di un messaggio psicologicamente ben congegnato, che ti arriva oltretutto (apparentemente) da qualcuno che conosci.

Anonimo ha detto...

si ho pio12.dll in c./windows/system32

che faccio? cancello?

Sì ammetto di essere un pollo...ora mi dite che faccio? Fsecure online vede il virus...ma come lo cancello?
grazie
Alex

Anonimo ha detto...

Paolo, come da tuo suggerimento ho segnalato i due siti a Netcraft.
Fatelo in tanti, così si svegliano!
Carlo

Anonimo ha detto...

ti dico che io non c'ero mai cascato finora, però adesso sono un pollo... l'email mi era arrivata da una persona conosciuta e con addirittura la sua firma in fondo al messaggio.
ho appena aggiornato kaspersky sono andato a vedere anch'io se avevo il file pio12.dll e come sono passato sopra kaspersky mi ha avvisato del file infetto con il nome Trojan-Downloader.Win32.Agent.ahy e mi chiede se elimanare o ignorare... in più se clicco sul link del virus per avere informazioni mi dice che il virus non è presente nella viruslist.

Anonimo ha detto...

Se un antivirus (uno qualunque, basta che sia aggiornato) offre di rinominare o cancellare quel pio12.dll, direi di lasciarglielo fare; farlo manualmente è molto più complicato, da quello che vedo, perché la DLL sembra "iniettata" dentro un processo e non si può accedere direttamente al file.
Adesso sono riuscito a copiare questo pio12.dll su una chiavetta, spero di non averlo corrotto durante la creazione del file perché ho usato un metodo non proprio da manuale.

Anonimo ha detto...

Io veramente ho cancellato senza alcun problema pio12.dll da c:\windows\system32 e in questo momento ce l'ho dentro il cestino.
Norton antivirus aggiornato non lo vede come viris
alex

Anonimo ha detto...

@Alex: io finora ho usato una macchina di test Win2000 e quel file era inaccessibile anche in modalità provvisoria. Ho notato adesso che l'unico modo per poterlo toccare era rifare il boot in "modalità provvisoria / prompt dei comandi" e a quel punto potevo cancellarlo. Quindi immagino che la DLL sia agganciata al processo explorer.exe (ma è solo una supposizione).
Comunque, se sei riuscito a eliminare il file senza problemi, tanto meglio. Se gli antivirus on-line non ti segnalano altre infezioni, probabilmente hai risolto (tocca ferro, non vorrei gufarti).

Anonimo ha detto...

Kaspersky mi ha cancellato il file pio12.dll senza nessun problema, ho anche riavviato il PC per vedere se all'avvio il file potesse replicarsi ma per il momento non c'è, speriamo in bene, vorrei tanto sapere cosa mi ha combinato questo file :(

Anonimo ha detto...

Quoto:"Non sottovalutare l'efficacia di un messaggio psicologicamente ben congegnato, che ti arriva oltretutto (apparentemente) da qualcuno che conosci."

Appunto apparentemente, tipica tecnica per carpire la fiducia della gente, mi pare che nel tuo libro l'acchiappavirus lo spieghi molto bene.
Tra l'altro recentemente un virus usava la tecnica del codec mancante, quindi se tanto mi da tanto..diffidate gente diffidate ah no era meditate gente meditate :-)

Anonimo ha detto...

pio pio ...
questi cani bastardi fanno pure gli spiritosi, ci sono cascato proprio come un pollo, il messaggio era in italiano e l'indirizzo della mia amica era perfetto, lei ogni tanto mi manda allegati e fesserie varie, e ora che faccio?
se reistallo tutto il sistema operativo evito qualsiasi rischio presente e futuro o peggioro la situazione?

saluti
Lucio

Anonimo ha detto...

Ma santo cielo.

Io i codec ce li ho già. Se un video mi dice che non c'è quello che gli serve, L'ULTIMA cosa che mi verrebbe in mente di fare è proprio di andare a scaricare UN CODEC CHE NON CONOSCO.

Ma non imparate proprio niente? Ma allora sto blog cosa lo leggete a fare?

Anonimo ha detto...

Ciao di nuovo, ho una domanda per quelli che hanno eseguito quel file vcodec*.exe: potete verificare se avete sul disco un file chiamato setupw.exe, di 62Kb con un'icona simile all'altro? E' possibile che sia stato scaricato in automatico da quell'ormai famoso pio12.dll.
Se c'è, magari per prudenza cambiategli l'estensione in qualcosa tipo .0xe o .vir e mandatelo al vostro vendor di antivirus di fiducia per una verifica.

Anonimo ha detto...

come sei saggio Rodri. Non credi che invece di dire quanto sei bravo tu,sarebbe meglio dare qualche suggerimento ai polli come me che ci sono caduti? Forse quello che non ha capito nulla del blog di Paolo Attivissimo e dello spirito che lo caratterizza sei proprio tu...
Alex

Anonimo ha detto...

@FAB
Ciao Fab...ho controllato: avevo pio12.dll ma non ho setupw.exe

Uso WinXp Pro SP2
alex

PS: ho fatto girare almeno 4 antivisrus diversi...quindi è anche possibile che mi abbiano sterilizzato il PC

Anonimo ha detto...

Prendere per il culo fa solo esser polli 2 volte.

Paolo ha già parlato in passato, e parlo di pochissimi mesi fa, di uno stesso IDENTICO caso di infezione virale trasmessa tramite questa fagianata dei video e dei codec fasulli.

Ora, se la gente non impara proprio niente anche a fargli il disegnino, non è né colpa mia né di Paolo.
Dovrei dare qualche suggerimento? Sì uno lo dò: non accendere il PC se non lo sai usare.

Anonimo ha detto...

Un consiglio.
Per vedere se effettivamente la dll incriminata è pioxxx.dll usate process explorer da www.sysinternals.com (freeware) e cercate la dll dal menu find. Indirettamente potete vedere sotto quale eseguibile si nasconde.
Ciao
Emilio

Anonimo ha detto...

tronco qui la polemica e non ti rispondo nemmeno se provochi solo per rispetto a Attivissimo e a chi, in questo frangente, ha voluto aiutare i polli.

Alex

Anonimo ha detto...

@ Rodri

nessuno nasce "imparato", se tu sei nato "imparato" beato te, ma il tuo atteggiamento sprezzante non credo sia utile a chi, per inesperienza o curiosità, ha eseguito quel file. Se Paolo insultasse, come fai tu, i "polli" non andrebbe molto lontano nella sua opera di divulgazione sulla sicurezza informatica.

Anonimo ha detto...

Dai ragazzi, basta litigare sui polli, che in tempo di aviaria porta male. Pax et bonum.

BTW quel setupw.exe è pure lui un installatore per un altro downloader, simile al Bomka (quell'altro finto Codec che ricordavano Gabriele e Rodri).

Anonimo ha detto...

@ Fab:
si ho trovato il file setupw.exe nel mio profilo utente - Impostazioni Locali - Temporary Internet Files.
La scansione con Kaspersky non mi dice niente.

Paolo Attivissimo ha detto...

Udite, udite!!

Rendonsi edotti lorsignor Lettori che Rodri ha oggidì espiato le sue incaute parole con un memorabile acto de contrizione. Ei ha testé decespugliato a mani nude lo intero mio giardino sotto lo cocente sole della Repubblica del Ticino.

In considerazione di cotale pena, si dichiara clausa l'incresciosa diatriba et si invita ogni coinvolta et sconvolta persona ad libagione abundante con birra et focaccia.

Anonimo ha detto...

@maga: il mio consiglio, se lo vuoi, è di inviare quel file a Kaspersky per l'analisi (anche perché come ti dicevo, è possibile che questo installi un file, che scarica un altro file, che scarica un altro file etc.).
Se non è infetto, tanto meglio; se è infetto, aggiorni la tua protezione, aiuti K. a migliorare il suo prodotto e fai un favore agli altri utenti.

@Paolo: prosit!

Anonimo ha detto...

A me andando in entrambi i siti citati da paolo ricevo come responso: "Directory Listing Denied
This Virtual Directory does not allow contents to be listed." avranno chiuso i siti incriminati? O.o

Comunque la mail non mi è arrivata :D

Paolo Attivissimo ha detto...

Al momento in cui scrivo sono ancora aperti, ma configurati in modo da ospitare e dare accesso soltanto ai file del falso codec, un file di un falso video e un file di grafica (quello mostrato nell'articolo).

Anonimo ha detto...

Colgo al volo le parole di Paolo, e, vista l'ora, sostituisco la libaigone a base di birra e focaccia con un più consono cappuccio e brioche, e invito anche Rodri ad affondare i denti nel bombolone della pace.

Alex

Anonimo ha detto...

E' una nuova variante di BHO.MuchoCool: http://www.malwarelist.org/startup/scheda.asp?num=2772

Anonimo ha detto...

Una mia collega l'ha aperto e infettato la LAN aziendale, c'è un tool per rimuoverlo ? Oppure qualcuno mi spiega come fare ?

Anonimo ha detto...

Le strade esistono consultare www.tuttocitta.it

I siti sono "ospitati" in cina:
usando
resolveip e whois si ottiene:
www.Vcodecget.com IP: 61.242.150.169 -China United Telecommunications Corporation

Se cerchi il nome del maschietto su google arrivi ad un file excel di domini "strani".

silvertree ha detto...

Ciao a tutti, volevo giusto segnalare che le vie esistono entrambe... ho controllato personalmente grazie a Route 66 2004... Penso che non serva assolutamente a nulla, ma ho calcolato anche il tragitto: 5.6 km

Anonimo ha detto...

Torniamo ai dati. Le due strade a Firenze esistono ma i nomi delle persone non sono in elenco. I codici postali sono giusti salvo il 40155 che è di Bologna. Quanto a vcodecpull intestato al solito nome è riportato anche su www.webhelper4u.com come hijacker. Vedi :www.webhelper4u.com/CWS2/cwslists/securityscamhijackers.xls
Un hijacker è un piccolo programma o impostazione di registro responsabile di modifiche alla pagina iniziale di IE. Se il browser viene avviato con una pagina iniziale diversa si è stati dirottati. Gli hijacker aggiungono anche un piccolo file che ripristina le impostazioni dirottate ad ogni avvio di sistema. Spesso gli hijacker utilizzano programmi di installazione ActiveX e/o sfruttano buchi di sicurezza.

Anonimo ha detto...

Salve,
io non sono una vittima diretta ma nella mia azienda abbiamo l'aviaria e un mio collega ha fatto il fatitico click.Lui è uno dei rari casi di utente amministratore locale ha diffuso email a tutti ma probabilmente solo lui lo ha preso. Mi confermate che un utente non amministratore non riesce ad installare il virus? Io ho bloccato l'accesso al sito www.vcodecpull.com ed ho bloccato le estensioni asx, i siti ho visto che cambiano anche se fanno riferimento sempre allo stesso IP (61.242.150.169) ma l'estensione è sempre asx o cambia???

Grazie

Anonimo ha detto...

@Anonimo: non ho provato a controllare se un utente non privilegiato riesce comunque a infettare la macchina. Ma non rimanere nel dubbio, fai una scansione con un paio di antivirus aggiornati (ce ne sono un paio nominati in questo thread e sicuramente anche altri che rilevano questo trojan) oppure una scansione online dai siti di AV che preferisci.
L'allegato in questo caso è sempre un .ASX e i siti da bloccare li trovi nel post originale di Paolo.
Ti chiedo una conferma: il tuo collega che si è infettato ha spedito mail infette a tutti gli altri? C'era il suo indirizzo come mittente di queste mail e gli header erano corretti?

Anonimo ha detto...

Scusa per il ritardo ma ieri non ero in ufficio.

A tuttora Virusscan 7.1.0 con dat 4375 del 06/04/006 non lo rileva f-secure si come Trojan-Downloader.Win32.Agent.ahy
Si il mio collega ha fatto doppio click ed ha mandato a tutti gli utenti nella sua rubrica con lo stesso allegato a nome suo e questo a fatto si che motli aprissero l'allegato.

Anonimo ha detto...

usando kaspersky mi ha rilevato inizialmente il Trojan-Dropper.Win32.Agent.ahy l'ha rimosso ma ogni tanto ricompare di nuovo e anche un'altro che si chiama Trojan-Downloader.Win32.Boomka.h; non so se i due sono collegati tra di loro o simili

Anonimo ha detto...

La cosa è stranissima. Inizialmente avevo il file pio12.dll che sono riuscito a cancellare. Ora il problema è che Norton ciclicamente mi rileva kaboom.dll in system32. Lo mette in quarantena e poi ricompare. Il punto è che non capisco quando ricompare (non lo fa al riavvio del PC, non lo fa all'avvio di un certo programma, insomma lo crea quando cazzo gli apre a lui). Qualcuno sa come risolvere il problema? Grazie

Anonimo ha detto...

@Anonimo #1, grazie per la conferma: sto cercando di capire come funziona questo trojan (ok, non ho vita sociale), ma a un lumacone come me serve molto tempo per capire qualcosa e ultimamente non ne ho avuto.
@Anonimo#2 e maga: i due trojan Agent.ahy e Bomka sono collegati, nel senso che il primo scarica da vari siti un file chiamato setupw.exe che è un installer una variante del Bomka. Su un sistema infetto potrebbero esserci anche altri file chiama ietools.exe e msx.dll.
Ma non è facile prevedere cosa farà una macchina infetta da Bomka, perché è sotto controllo remoto e penso che scarichi uno script di istruzioni per compiere azioni e prelevare altro software. Credo che un primo metodo di difesa potrebbe essere un personal firewall che avvisi su qualunque applicazione si connetta in rete.
Paolo, se leggi ancora questo thread aperto, tu cosa ne pensi? Hai altri strumenti di prima difesa da suggerire?

Paolo Attivissimo ha detto...

Paolo, se leggi ancora questo thread aperto, tu cosa ne pensi? Hai altri strumenti di prima difesa da suggerire?

Mac OS X o Linux ;-)

battute a parte, direi di no, il personal firewall è buona cosa, ma ancora più buona è l'educazione dell'utente a non aprire gli allegati inattesi.

Anonimo ha detto...

Mac OS X o Linux ;-)

Touché :-)
Però oggi è uscito pure un virus cross platform, quindi c'è poco da scherzare!
No, seriamente, ti chiedevo un consiglio per chi già si trova a bordo uno di questi trojan-downloader che non si sa cosa ti scaricano sulla macchina. L'AV può funzionare ma non è detto, ma un controllo sulle connessioni in uscita dovrebbe riuscire a limitare drasticamente questi trojan.

Paolo Attivissimo ha detto...

Una volta tanto concordo con la raccomandazione di zio Bill: una volta infetta, la macchina va spianata, non riparata.

Ci metti molto più tempo a estirpare un malware che a ripristinare da un'immagine disco sana (a patto di averla fatta!!!), e qualsiasi estirpazione non ha garanzie.

Anonimo ha detto...

mi sa che mi conviene formattare :(
o portarmi il mac in ufficio

Anonimo ha detto...

si, ho controllato su MSN Local.
le vie esistono ma hanno dei prefissi completamnte diversi (almeno la 1a)

Anonimo ha detto...

assurdo..
a me ogni volta che riavvio appare la finestra rundll che mi dice che il file dll pio12.dll non viene trovato..
cheppalle ma ci sarà sempre??

Anonimo ha detto...

Anche a me ogni volta che riavvio appare la finestra:
RUNDLL
Errore durante il caricamento di C:\WINDOWS\system32\pio12.dll
Impossibile trovare il modulo specificato.
Cosa dobbiamo fare???

Anonimo ha detto...

Ciao a tutti. Anche io dopo aver faticosamente debellato pio12.dll, ogni volta che apro il pc mi compare il messaggio in finestra:

RUNDLL
Errore durante il caricamento di C:\WINDOWS\system32\pio12.dll
Impossibile trovare il modulo specificato.

Mi direste cosa posso fare.
Grazie a tutti.

Anonimo ha detto...

Nel registro di configurazione c’è ancora una voce che tenta di caricare pio12 in memoria, durante l'avvio di windows.
Per eliminare il collegamento a questa voce andate su start/esegui e digitate regedit
Una volta nel registro andate in:

HKEY-LOCAL-MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN

sulla destra troverete una voce che fa riferimento al pio12.dll che avete eliminato in precedenza, cancellate questa riga è tutto sarà risolto!

Anonimo ha detto...

Nel registro di configurazione c’è ancora una voce che tenta di caricare pio12 in memoria, durante l'avvio di windows.
Per eliminare il collegamento a questa voce andate su start/esegui e digitate regedit
Una volta nel registro andate in:

HKEY-LOCAL-MACHINE\SOFTWARE\MICROSOFT\WINDOWS \CURRENTVERSION\RUN

sulla destra troverete una voce che fa riferimento al pio12.dll che avete eliminato in precedenza, cancellate questa riga e tutto sarà risolto!

Anonimo ha detto...

Ciao Mirfla,
volevo ringraziarti per l'aiuto. Giuro che farò ancora più attenzione nel ricevere la posta.
Buona settimana,
Mauro

Anonimo ha detto...

ciao, ho tolto il pio12.dll ed il suo collegamento in registro, ora è tutto ok ma tutte le volte che riavvio la macchina, parte un’installer che mi chiede il cd per installare un fantomatico fax, vuole il file fax.msi…..cosa devo fare?