[risolto][win Xp] Braviax.exe

[wjmat]

disabilita il ripristino conf. di sistema
scarica hijackthis, rinominalo con un nome a casaccio e carica un log

[CLAUDIO78]

ho fatto tardi ma alla fine "sembra" si sia arreso, quel maledetto.
Penso sia stato il virus più duro che abbia mai incontrato .
Una delle cose che più mi ha dato fastidio è stato il fatto che molti programmi antivirus/antimalware in modalità provvisoria non fungono mentre in passato quella di operare "in provvisorio" era una delle soluzioni/opzioni più frequenti, anche perchè il virus non si "avviava" con altri driver e lo potevi tranquillamente eliminare.
Onestamente non saprei dire come ho fatto, ho usato tutti i software esistenti ma mi viene il dubbio che la cosa giusta l'ho fatta seguendo Gigoachef, ho infatti eliminato manualmente (start-cerca-tutti i file-.sys) il beep.sys dalla cartella \driver (io ne avevo solo uno) e il cru629.dat (start-cerca-.dat), ho ridato al s.o. il beep.sys tramite CD di windows, poi ho eliminato con killbox il braviax.exe (una cosa curiosa: ho scaricato una prima volta killbox ma non me lo avviava come tutti gli altri programmi, allora senza eliminare l'exe precedente l'ho riscaricato e firefox l'ha automaticamente rinominato killbox(2).exe e così ha funzionato mistero...).
Killbox ha eliminato il braviax con tanto di avviso, mi ha chiesto di riavviare e al nuovo boot il virus non c'era più ....sperem...

[wjmat]

ciao, sono contento che hai risolto
per sicurezza posta un log di hijackthis e fai una scansione con prevx che è veloce

poi per info personali e magari per altri...
hai operato in provvisoria?
come hai ripristinato il file da cd di win?

[CLAUDIO78]

ora non posso postare il log di hijack perchè il problema affliggeva un notebook che non ho sottomano.
Appena possibile il pc sarà scansionato con tutti i software che ieri notte gli ho installato (kapersky, ad-aware, spybot, a-squared, prevx, etc etc etc).
Infine, non ho operato in provvisoria proprio perchè la maggior parte dei software attuali funzionano tramite "servizi" che non si avviano in modalità provvisoria (basta andare su START-ESEGUI-MSCONFIG-SERVIZI e spuntando "nascondi i servizi Microsoft" balzano agli occhi) quindi se tenti di avviarlo questo non parte.
Poi credo che braviax.exe corrompa quel file sys che a sua volta inibisca l'esecuzione degli altri software o li danneggi durante l'installazione, dato che alcuni non me li ha fatti installare mentre altri si ma non avviare.
Ps: appena cancellato il file beep.sys mi è apparsa una finestrella che chiedeva il cd di winXP in modo da cercare il file mancante. Ho inserito il cd, gli ho dato l'ok, ha rimuginato un attimo e poi è scomparso tutto. Deduco che abbia copiato il file dal disco.

[IddoCop]

Aiutoooooo....ieri il mio antivirus Kapersky aprendo una pagina internet, mi ha segnalato un tentativo di installazione di un worm....io naturalmente gli ho detto di negare la procedura e l'avviso mi è uscito per tre volte. All'ultimo avviso mi chiedeva di interrompere e io acconsentivo. Mi si chiudeva la pagina web e il pc si resettava. All'avvio del PC l'antivirus non era più attivo, il Firewall neanche e spuntava fuori questa icona (bollino rosso con la x bianca) che mi avvisava in inglese che il mio Pc era infetto. Poi mi si apriva la pagina di qst XP Security Center il quale iniziava il controllo della macchina trovandomi dei virus e dei worm. Dubbioso di qst programma saltato fuori all'improvviso.....sono andato avanti cautamente e quando ho cliccato per vedere che era mi mandava ad una pagina web dove mi proponevano di comprare qst programma che avrebbe risolto il mio problema. http://it.pcthreat.com/parasitebyid-6864it.html
Ho fatto di tutto....ho cancellato tante file che hanno già segnalato ma il file xpsecuritycenter.exe e braviax.exe dopo essere stati cancellati ritornano d'incanto....ora non mi resta che voi...che qualcuno mi aiuti!!! Sono nelle vostre mani....se no mi tocca finire nelle mani del Signor Format C: :-(

[wjmat]

Quote:

Originariamente inviato da IddoCop

Aiutoooooo....ieri il mio antivirus Kapersky aprendo una pagina internet, mi ha segnalato un tentativo di installazione di un worm....io naturalmente gli ho detto di negare la procedura e l'avviso mi è uscito per tre volte. All'ultimo avviso mi chiedeva di interrompere e io acconsentivo. Mi si chiudeva la pagina web e il pc si resettava. All'avvio del PC l'antivirus non era più attivo, il Firewall neanche e spuntava fuori questa icona (bollino rosso con la x bianca) che mi avvisava in inglese che il mio Pc era infetto. Poi mi si apriva la pagina di qst XP Security Center il quale iniziava il controllo della macchina trovandomi dei virus e dei worm. Dubbioso di qst programma saltato fuori all'improvviso.....sono andato avanti cautamente e quando ho cliccato per vedere che era mi mandava ad una pagina web dove mi proponevano di comprare qst programma che avrebbe risolto il mio problema. http://it.pcthreat.com/parasitebyid-6864it.html
Ho fatto di tutto....ho cancellato tante file che hanno già segnalato ma il file xpsecuritycenter.exe e braviax.exe dopo essere stati cancellati ritornano d'incanto....ora non mi resta che voi...che qualcuno mi aiuti!!! Sono nelle vostre mani....se no mi tocca finire nelle mani del Signor Format C: :-(

ciao, perchè hai scritto nella discussione di braviax?

[YayaEfr]

Anche io sono alle prese con questo virus sto seguendo la procedura della DISINFEZIONE PER INFETTI.
Ho disattivato il ripristino di sistema e ho fatto pulizia con ATF CLEANER.
Ora sto iniziando con gli altri programmi, però leggendo inq uesto topic ho visto questa risoluzione di cancellare file in che cosa consiste?

[Chill-Out]

Quote:

Originariamente inviato da YayaEfr

Anche io sono alle prese con questo virus sto seguendo la procedura della DISINFEZIONE PER INFETTI.
Ho disattivato il ripristino di sistema e ho fatto pulizia con ATF CLEANER.
Ora sto iniziando con gli altri programmi, però leggendo inq uesto topic ho visto questa risoluzione di cancellare file in che cosa consiste?

Cioa è molto probabile che i tool indicati nella Guida che stai giustamente seguendo elimini l'infezione, al termine allega tutti i log per il controllo

[YayaEfr]

Li scriverò tutti qui editando man mano.

1. Log di Malwarebytes Anti-Malware mbam-log-08-20-2008 (12-46-57).txt
2. Log di A-Squared Free a2scan_080820-125559.txt
3. Log di F secure Online Scanner F-secure online scanner.txt (non ha trovato nulla)
4. Dr. Web Cure it non ha trovato nulla
5. Log di Eset Sys Inspector Sys Inspector
6. Log di HiJackthis hijackthis.log
7. Log di Gmer GMER.log
8. Prevx PREVX.log

Voci rosse di Gmer:

Quote:

Library C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCR80.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [1412] 0x78130000

Library C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCR80.dll (*** hidden *** ) @ C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe [1744] 0x78130000

Library C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCR80.dll (*** hidden *** ) @ C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe [1752] 0x78130000

Library C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCR80.dll (*** hidden *** ) @ C:\WINDOWS\system32\spoolsv.exe [2016] 0x78130000

(Ho CAmbiato il log di MalwareBytes Anti-Malware)

[xcdegasp]

rifai la scansione con malwarebytes inquanto a fine scansione devi dare il comando elimina se vuoi che corregga cio che trova

[YayaEfr]

L'ho fatto però forse avrei dovuto fare il log dopo vero?
edit:

sono riuscita a recuperare il log dove mi dava la giusta eliminazione ora lo posto
scusatemi

[YayaEfr]

Ok sto procedendo con Dr.Web Cure it!
Mi auguro funzioni tutto questo, F-secure non ha rilevato nulla forse xkè il mio antivirus AntiVir di Avira aveva già messo in quarantena tutto.
Ho chiuso i fastidiosi processi che mi facevano apparire gli avvisi spyware quindi sto eseguendo tutto in tranquillità.
Mi auguro che tt si possa risolvere

[YayaEfr]

Finito

[xcdegasp]

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
fixa:

Codice:

R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray

per prevx:

Codice:

C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\1OXDBH9R\AV2009Install_77040507[1].exe	InMem: 0	Det [b]	PX5: 1957D01621AE99EE2DA201349CAFD800F7AC7801	Malware Group: Fraudulent Security Program

Scaricare ed eseguire ATF-Cleaner -> download seguendo queste brevi indicazioni (non richiede installazione):
nella finestra che si è aperta contrassegnare "Select All", poi clickare sul menù "Firefox" e contrassegnare "Select All" e procedere nello stesso modo anche nel menù "Opera", infine premere "Empty Selected";

poi mi dovresti fare una nuova scansione con HiJackThis nel seguente modo:
aprire HiJackThis poi cliccare "open the misc tools section" andare in "open ads spy" levare la spunta a "quick scan" e infine avviare la scansione clickando sul tasto "scan". non è necessario pubblicare questo log


se puoi dopo anche una bella scansione completa con avira e una nuova con gmer

[YayaEfr]

Sto eseguendo lo Scan con HiJackthis ma devo eliminare le voci che trova?
Comunque ho fixato le voci di prima.
A fine di tutto farò la scansione cn Avira e Gmer.
Dopo aver fatto questo spariranno dall'avvio Braviax.exe e Burritous.exe e 6.tmp?
Il TeaTimer bloccava eventuali modifiche del registro ma ho paura che nonappena io lo chiuda si ripresenti il problema.

Queste sono le voci risultate dalla scansione.. ora faccio quella di Avira

Codice:

C:\Documents and Settings\All Users\Dati applicazioni\TEMP : 84151293  (97 bytes)
C:\Documents and Settings\All Users\Dati applicazioni\TEMP : DFC5A2B2  (176 bytes)
C:\Documents and Settings\All Users\Dati applicazioni\TEMP : 84151293  (97 bytes)
C:\Documents and Settings\All Users\Dati applicazioni\TEMP : DFC5A2B2  (176 bytes)

[xcdegasp]

Quote:

Originariamente inviato da YayaEfr

Sto eseguendo lo Scan con HiJackthis ma devo eliminare le voci che trova?

assolutamente sì

Quote:

Originariamente inviato da YayaEfr

Comunque ho fixato le voci di prima.
A fine di tutto farò la scansione cn Avira e Gmer.
Dopo aver fatto questo spariranno dall'avvio Braviax.exe e Burritous.exe e 6.tmp?
Il TeaTimer bloccava eventuali modifiche del registro ma ho paura che nonappena io lo chiuda si ripresenti il problema.

ti dice chi fa questa operazione altrimenti non serve a nulla quella segnalazione

Quote:

Originariamente inviato da YayaEfr

Queste sono le voci risultate dalla scansione.. ora faccio quella di Avira

Codice:

C:\Documents and Settings\All Users\Dati applicazioni\TEMP : 84151293  (97 bytes)
C:\Documents and Settings\All Users\Dati applicazioni\TEMP : DFC5A2B2  (176 bytes)
C:\Documents and Settings\All Users\Dati applicazioni\TEMP : 84151293  (97 bytes)
C:\Documents and Settings\All Users\Dati applicazioni\TEMP : DFC5A2B2  (176 bytes)

preferirei avere il report completo, grazie

[YayaEfr]

il report è qll completto sl che della seconda scansione di HiJackThis
Vi do anche il report di AVIRA
AVSCAN-20080821-101128-F68397D7.LOG
e questa di GMER
GMER2.log

[xcdegasp]

avira non risulta impostato correttamente, per esempio non esegue azioni automatiche sui file individuati ma si limita all'interatività e in seconda istanza ignora, inoltre non ricerca i rootkit cosa che è fondamentale nel tuo caso
segui questa semplice guida -> http://www.hwupgrade.it/forum/showthread.php?t=1514684 e pubblica un nuovo log dopo averl impostato correttamente

mi spiace e non vorrei risultare pedante, purtroppo se non hai impostazioni corrette nonriusciamo a risolvere

gmer però mi sembra non abbia più avuto le voci rosse giusto?

[YayaEfr]

Ok scusatemi domani mattina eseguo il tutto ho avuto dei problemi a venire

[YayaEfr]

Ecco il nuovo log di Avira configurato questa volta

AVSCAN-20080821-233133-29F0BE84.LOG

Gmer non ha avuto voci rosse