Siamo alle solite. Ogni tanto mi devo rompere le scatole su un client contaminato da qualche schifezza, e più passano gli anni meno ne ho voglia. Comunque questa volta si tratta di un trojan molto simile ad uno che avevo già incontrato, che si manifesta con una icona nella system tray che annoia continuamente l’utente con un messaggio simile a questo:
Il colpevole è un eseguibile chiamato c:\windows\system32\braviax.exe
; l’ho individuato poiché era l’unico programma sospetto in esecuzione automatica, ed era privo di qualunque signature del produttore; questa variante pesa circa 6 Kb. Dopo qualche tentativo infruttuoso con i soliti tools, ho rimosso lo spyware manualmente, procedendo in questo modo:
Ho riavviato in “Modalità provvisoria con prompt dei comandi”, ho cancellato il file incriminato tramite prompt ed ho creato un finto c:\windows\system32\braviax.exe
tramite Notepad. In realtà è un semplice file di testo con una parola. Successivamente ho settato il bit di sola lettura dal prompt impartendo il seguente comando: attrib +r c:\windows\system32\braviax.exe
Al riavvio il problema è scomparso, anche se appare un messaggio d’errore che lamenta la corruzione dell’eseguibile (per forza!).
Una volta rimossa l’infezione si può procedere a riparare eventuali danni fatti dal trojan; nel mio caso è sparito l’antivirus ed alcuni programmi non si avviano.
Commenti
17 risposte a “Your computer is infected!”
ciao andrea….
la tua “indolenza post-ferie” è durata più di quanto mi aspettassi da te.
esiste un programma , scoperto da me di recente che più di una volta mi ha ripulito macchine dove i “soliti tool” hanno fallito.
si chiama “superantispyware” . oddio… il nome vagamente “trash” non incoraggia un granchè, cavolo però mi ha ripulito ogni sorta di schifezza!
ma non funzionava tutto meglio quando potevi riavviare in dos e con un semplice
c:/>cd windows
c:/windows>del braviax.exe
…nostalgico dos
Io uso una procedura leggermente diversa: settare il bit di sola lettura a volte non bsata, ci sono delle bestiacce che se ne fregano, lo tolgono e si rimettono a posto.
Se invece del file si crea una directory, con lo stesso nome del file, questa non potra’ essere rimossa come se fosse un file perche’ un file in effetti non lo e’, ma il nome risultera’ occupato quindi il virus ci si spezza i dentini contro 🙂
Ciao Andrea!
Ti seguo da quando ho trovato qui una bella guida su come installare WordPress e mi spiace che tu abbia seccature col pc.
Ho un solo consiglio che (per ora) funziona: passa a un bel Mac! Anche di seconda mano…
Altrimenti si rischia il masochismo.
Scusa se mi son permesso eh! 🙂
…ma da quando hai i feed da feedburner tagliati?
cosi’, per chiedere 😉
Sai che lo “strumento di rimozione malware” (http://www.microsoft.com/italy/security/malwareremove/default.mspx) ha fatto pulizia di quel coso lì? Non ci credeva nessuno, eppure…
—
Giuliano
In effetti leggo su Punto Informatico che lo strumento di Microsoft, nella “passata” di Giugno ha rimosso un sacco di questi simpatici figli di… trojan!
Infatti letto anch’io!
Solite rogne di uinzozz
spippolazione, bella l’idea della directory! 🙂
Fabio sei un grande – SUPERAntiSpywere è veramente SUPER – grazie
Ho risolto il problema creando una cartella con il prompt dei comandi. Ho anche settato il bit di sola lettura come suggerito.Grazie tantissimo.
Ciao,
ho seguito alla lettera le istruzioni e ha funzionato benissimo anche se il mio file si chiamava brastk.exe, l’unico “residuo” è un file, delself.bat, sul desktop.
Grazie mille
Aiutatemi per favore… c’è brastk.exe sul mio pc e nn vuole proprio andare via. Il problema è che non mi fa aprire nessun programma e poi non ho capito come”settare” e tutte le altre operazioni da voi descritte. Per favore aiutatemi…
Anche io stanotte ho avuto brastk.exe e ho risolto brutalmente e banalmente così.
0. stacca il cavo di rete e comunque la connessione a internet così non ti arriva altra m…. sul pc
1. cancella da c:\windows\system32 l’eseguibile wini10841.exe che lo spyware tenta di lanciare (te ne accorgi tenendo sotto controllo il taskmanager)
2. apri l’editor del registro di sistema (c:\windows\regedit.exe e con il comando “trova” individua e poi rimuovi TUTTE le componenti che contengono la parola “brastk”
3. riavvia il pc
A questo punto possono succedere due cose:
4a) se l’iconcina odiosa rossa con la croce bianca è sparita, allora ringrazia Andrea Beggi che pubblica il mio commento nonché io che l’ho scritto;
4b) se l’iconcina è ancora lì (ma io non credo), offendimi liberamente.
Con SUPERAntiSpywere ho risolto completamente il problema di brastk.exe
grazie Fabio, superantispyware è stato grande anche in versione free.ringrazio anche tutti quelli che si sono sprecati in paroloni tecnici,probabilmente per sentirsi più importanti di quello che sono in realtà e gli auguro di trovare in ogni situazione di bisogno gente come loro!comunque ribadisco il programma funziona, non date soldi a chi per aiutarvi ve ne chiede,sono parassiti come i virus che fanno,spargete voce!ciao a tutti.p.s. se incontrate autovelox o pattuglie quando siete in auto,avvisate con i fari chi vi viene incontro,non gioite delle disgrazie altrui,un giorno potrebbe tornarvi utile.