Siamo alle solite. Ogni tanto mi devo rompere le scatole su un client contaminato da qualche schifezza, e più passano gli anni meno ne ho voglia. Comunque questa volta si tratta di un trojan molto simile ad uno che avevo già incontrato, che si manifesta con una icona nella system tray che annoia continuamente l’utente con un messaggio simile a questo:
Il colpevole è un eseguibile chiamato c:\windows\system32\braviax.exe; l’ho individuato poiché era l’unico programma sospetto in esecuzione automatica, ed era privo di qualunque signature del produttore; questa variante pesa circa 6 Kb. Dopo qualche tentativo infruttuoso con i soliti tools, ho rimosso lo spyware manualmente, procedendo in questo modo:
Ho riavviato in “Modalità provvisoria con prompt dei comandi”, ho cancellato il file incriminato tramite prompt ed ho creato un finto c:\windows\system32\braviax.exe tramite Notepad. In realtà è un semplice file di testo con una parola. Successivamente ho settato il bit di sola lettura dal prompt impartendo il seguente comando: attrib +r c:\windows\system32\braviax.exe
Al riavvio il problema è scomparso, anche se appare un messaggio d’errore che lamenta la corruzione dell’eseguibile (per forza!).
Una volta rimossa l’infezione si può procedere a riparare eventuali danni fatti dal trojan; nel mio caso è sparito l’antivirus ed alcuni programmi non si avviano.
Related posts
ciao andrea….
la tua “indolenza post-ferie” è durata più di quanto mi aspettassi da te.
esiste un programma , scoperto da me di recente che più di una volta mi ha ripulito macchine dove i “soliti tool” hanno fallito.
si chiama “superantispyware” . oddio… il nome vagamente “trash” non incoraggia un granchè, cavolo però mi ha ripulito ogni sorta di schifezza!
ma non funzionava tutto meglio quando potevi riavviare in dos e con un semplice
c:/>cd windows
c:/windows>del braviax.exe
…nostalgico dos
Io uso una procedura leggermente diversa: settare il bit di sola lettura a volte non bsata, ci sono delle bestiacce che se ne fregano, lo tolgono e si rimettono a posto.
Se invece del file si crea una directory, con lo stesso nome del file, questa non potra’ essere rimossa come se fosse un file perche’ un file in effetti non lo e’, ma il nome risultera’ occupato quindi il virus ci si spezza i dentini contro
Ciao Andrea!
Ti seguo da quando ho trovato qui una bella guida su come installare Wordpress e mi spiace che tu abbia seccature col pc.
Ho un solo consiglio che (per ora) funziona: passa a un bel Mac! Anche di seconda mano…
Altrimenti si rischia il masochismo.
Scusa se mi son permesso eh!
…ma da quando hai i feed da feedburner tagliati?
cosi’, per chiedere
Sai che lo “strumento di rimozione malware” (http://www.microsoft.com/italy/security/malwareremove/default.mspx) ha fatto pulizia di quel coso lì? Non ci credeva nessuno, eppure…
–
Giuliano
In effetti leggo su Punto Informatico che lo strumento di Microsoft, nella “passata” di Giugno ha rimosso un sacco di questi simpatici figli di… trojan!
Infatti letto anch’io!
Solite rogne di uinzozz
spippolazione, bella l’idea della directory!
Fabio sei un grande - SUPERAntiSpywere è veramente SUPER - grazie