AVG8, user32.dll e PSW.BANKER4.APSA

Inizierei con un’esclamazione, esattamente quella suggerita da Google cercando il termine “cristo” (fonte qui).

Come ogni Lunedì bisogna iniziare alla grande: solo stamattina sono rientrati 12 PC con lo stesso problema.

In pratica c’è questo virus, PSW.BANKER4.APSA, che infetta il file user32.dll.

Bene, AVG8 rileva user32.dll come infetto e cerca di cancellarlo, riuscendoci (purtroppo).

La cancellazione di questo file puo’ provocare casini incredibili, dal piu’ tranquillo al piu’ pesante:

– Windows potrebbe accorgersene chiedendovi il cd di Windows XP per ricopiarsi il file giusto.
– Windows potrebbe dare schermate blu e non partire piu’ (uau, che bello, fa rima ^^)
– Windows potrebbe funzionare bene fino allo spegnimento, ma non partire piu’ all’avvio successivo

In tutti i casi il mio consiglio è:

– Avviare il PC dalla Console di ripristino (si veda http://support.microsoft.com/kb/307654/it, alla voce “Utilizzo della Console di ripristino di emergenza”) oppure con un cd di Ubuntu.
– Copiare il file c:windowssystem32dllcacheuser32.dll (che dovrebbe essere ancora “buono”) nella cartella c:windowssystem32, tramite il comando (logico -.-) copy c:windowssystem32dllcacheuser32.dll c:windowssystem32
– Tentare di riavviare il PC.

Se da ancora problemi, si potrebbero tentare altre due cose:

1- Prendere il file user32.dll da un’altra installazione di Windows funzionante e non infetta (magari facendo attenzione a Home/Professional – SP2/SP3) e copiarlo sempre in c:windowssystem32.

2- Attaccare il disco della macchina infetta su un pc con un buon antivirus (vedi Avira o Kaspersky, toh), fare una mega-scansione con rimozione cattivissima, e ripristinare l’installazione di XP, usando il cd di Windows.

Una volta risolto il problema, potete dare un’altra chance ad AVG, oppure potete passare al mitico ombrellino rosso, tedesco, cattivo. Ovviamente togliendogli la pubblicità.

E ora che tutto funziona, cantate un po’: Oh oh oh ohhh! Oh oh oh oho OOOooo, magari pensando al fatto che VOI farete questa riparazione solo una volta o due, magari a qualche amico. IO invece la faro’ per 20-30 volte, per settimane, a tonnellate di clienti.

UPDATE 11/11/08: Stando a quanto ha detto punto-informatico, c’è di mezzo anche il file winsrv.dll.
Non ho ancora avuto modo di verificarlo perchè al lavoro per sicurezza faccio un ripristino, quindi vengono ripristinati TUTTI i file, non solo quei due. Comunque sul sito grisoft.it, ORA c’è la spiegazione dettagliata, forse è anche meglio della mia.

UPDATE 13/11/08: Oh mio dio! Io ho sempre creduto che il virus esistesse veramente, leggendo bene pero’ è un FALSO POSITIVO!
CAZZO, AVG DI MMMMDA!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.