Siamo alle solite. Ogni tanto mi devo rompere le scatole su un client contaminato da qualche schifezza, e più passano gli anni meno ne ho voglia. Comunque questa volta si tratta di un trojan molto simile ad uno che avevo già incontrato, che si manifesta con una icona nella system tray che annoia continuamente l’utente con un messaggio simile a questo:

Il colpevole è un eseguibile chiamato c:\windows\system32\braviax.exe; l’ho individuato poiché era l’unico programma sospetto in esecuzione automatica, ed era privo di qualunque signature del produttore; questa variante pesa circa 6 Kb. Dopo qualche tentativo infruttuoso con i soliti tools, ho rimosso lo spyware manualmente, procedendo in questo modo:

Ho riavviato in “Modalità provvisoria con prompt dei comandi”, ho cancellato il file incriminato tramite prompt ed ho creato un finto c:\windows\system32\braviax.exe tramite Notepad. In realtà è un semplice file di testo con una parola. Successivamente ho settato il bit di sola lettura dal prompt impartendo il seguente comando: attrib +r c:\windows\system32\braviax.exe
Al riavvio il problema è scomparso, anche se appare un messaggio d’errore che lamenta la corruzione dell’eseguibile (per forza!).
Una volta rimossa l’infezione si può procedere a riparare eventuali danni fatti dal trojan; nel mio caso è sparito l’antivirus ed alcuni programmi non si avviano.