Come rimuovere il virus BEAGLE usando una live di linux ( srosa.sys hldrrr.exe )
Oggi ho discusso nuovamente qualche minuto con il virus in oggetto che a differenza dei virus / spyware / malaware canonici ha un ottimo sistema per camuffarsi.
L’unica cosa che si nota è un drastico calo delle prestazioni del computer ed una splendida schermata blu in caso si tenti l’avvio in modalità provvisoria.
Questo virus si installa come driver di preriferica e di conseguenza non appare in nessun task manager, inoltre si camuffa anche a livello di filesystem, il file srosa.sys (per esempio) che risiede dentro c:\windows\system32\drivers si vede solo da prompt dos facendo un dir /a, dentro esplorara risorse, anche se si imposta per visualizare i files nascosti e di sistema, non si vede.
Ovviamente non si può nemmeno cancellare, visto che si windows un programma in esecuzione non è cancellabile.
A questo punto per rimuovere il cattivone si deve:
1) fare il boot da un live cd linux che permette la scrittura su ntfs, tipo ubuntu, sidux o knoppix nelle loro ultime release (ma ce ne sono altre)
2) si devono cancellare i files
c:\windows\system32\drivers\srosa.sys
c:\windows\system32\drivers\hldrrr.exe
3) si devono creare delle directory con lo stesso nome dei files cancellati, questo per evitare che il pc si infetti nuovamente in futuro
4) si faccia ripartire windows
FATTO !!!
A questo punto si puo’ installare / aggiornare il proprio antivirus, che beagle aveva rimosso o danneggiato e si deve fare una scansione del pc in cerca di eventuali scampoli di infezione.
Inoltre è buona cosa fare un giro nel registro di configurazione, cercare le stringhe “srosa” e “hldrrr” e cancellarne tutte le occorrenze.
Nota: le voci di registro che contengono la dicitura LEGACY non sono cancellabili, lasciate dove sono.
[...] Mi devo ricordare di non prestare MAI PIU’ il pc a qualcuno senza stare con lui a sorvegliare … [...]
non è esatto
esiste unlocker
http://www.ilsoftware.it/querydl.asp?ID=885
o altri simili prodotti
Non credo funzioni, beagle e’ una brutta bestia, e’ probabile che se anche cancello il programma da disco automagicmente lui ce lo rimette prima che possa creare la cartella.
Comunque al prossimo che trovo lo proverò.
Ma, gia’ che c’eri, potevi installare l’altivirus DEVFINITIVO: gnu/linux
Magari, ma dove lavoro io c’è un sacco di materiale che viaggia solo su windows.
Che ci vuoi fare…
monta linux e usa windows virtualizzato (virtualbox,vmware)
Molti virus danno ai propri eseguibili nomi random, in questo caso la tecnica migliore e scovarli con uno o, meglio, più antivirus lanciati dal live cd.
Mi sono fatto un minicd con quattro antivirus funzionanti in linux: bitdefender, f-prot, clamav ed antivir.
Poi ho fatto uno script con una pseudo interfaccia grafica (xdialog) che mi consente di scegliere l’av (anche tutti in sequenza..) e la porzione del filesystem montato da controllare. Alla fine del controllo viene generato un file di log con il quale vado ad eliminare gli intrusi.
Per le lunghe ricerche ( 4 av sono tanti..) ho messo anche una funzione di spegnimento al termine della ricerca, viene comunque generato un file di log alla radice del filesystem controllato.
@spippolo: si, ovviamente in caso di virus serve a poco, in quanto spesso come giustamente dici il file viene ricreato successivamente. io correggevo la frase che ti ho quotato, in quanto in effetti i locked file li cancelli eccome
@happy, i software che uso divorano risorse, non posso permettermi di virtualizzare
@kaspare bello il tuo cd, e’ libero ? e’ reperibile da qualche parte ? se vuoi ti sponsorizzo col blog…
@luna lo so, lo so
Salve a tutti, sono un sostenitore linux se non che sostenitore dell’opensource e uso linux da oltre un anno e mezzo e sono soddisfattissimo di questo sistema.
volevo però portare alla vostra attenzione una cosa;
un utente windows che conosce solo windows, non sa cosa sia linux ne cosa sia un live cd, quindi questa guida può essere valida per coloro che usano già linux, o comunque lo conoscono.
io suggerirei di modificare la guida e aggiungere anche una parte per soli utenti windows, usando quindi solo il sistema windows.
è vero che i file usati dal sistema nn possono essere cancellati, ma possono essere sempre manipolizzati.
vi spiego:
quei due file :
c:\windows\system32\drivers\srosa.sys
c:\windows\system32\drivers\hldrrr.exe
rinominateli in srosa.old e hldrrr.old 8il sistema non si opporrà a questa modifica, è testato
) , riavviate il pc e poi potrete cancellarli tranquillamente poichè avendo cambiate le estenzioni non verranno riconosciuti come driver di sistema o eseguibili e quindi caricati in memoria, molto più rapido per i semplici utenti windows no???
cmq viva linux for ever…
ah un’altra cosa non tutte le distro leggono e scrivono ntf nativamente quindi nn tutte le live potrebbero andare bene, seconda cosa quando un file è bloccato perchè caricato in memoria, non installate programmi aggiuntivi per sbloccarli, basta solo modificare l’estenzione in .old e riavviare, meno utility free installate su windows meno il registro viene incasinato… alla proxima XD
@salvio, i file in questione NON si cancellano e NON si rinominano, non sono normali programmi in esecuzione, il virus stesso li protegge, pensa che oltre tutto riesce ad impedire l’aggiornamento di eventuali antivirus gia’ installati e l’installazione di nuovi.
Quando ho detto che e’ una brutta bestia non scherzavo.
Parli bene tu, che usi linux, da dove vivi sembra tutto facile
Se poi un utente windows non sa’ cos’e’ un cd live di linux c’è da tenere presente che ci sono altre vie per eliminare beagle, io ho solo esposto la mia usando un live cd linux.
Come non ho detto che la mia e’ una soluzione universale, per i virus che cambiano continuamente questo non e’ l’approccio adatto.
E poi l’avevo specificato che si deve “fare il boot da un live cd linux che permette la scrittura su ntfs, tipo ubuntu, sidux o knoppix nelle loro ultime release (ma ce ne sono altre)”
[...] completo da [...]
@spippolo non mi sono mai posto il problema della distribuzione del mio livecd a suo tempo scrissi una guida qui:
http://knoppix.crealabs.it/viewtopic.411.html
ora lo script è “cresciuto un po” e non ho problemi ad inviarlo a chiunque.
Quanto al sistema dovrei vedermi le licenze di f-prot, bitdefender ed antivir per capire se posso distribuirlo.
@savio oramai quasi tutti i livecd contengono ntfs-3g e credo che l’ avere un pc bloccato da un virus possa essere un ottima opportunità per cimentarsi con linux poi si sà “da cosa nasce cosa”
Bello.
Ho visto in giro che sta’ circolando la notizia di un live cd che contiene il solo f-prot, devo scaricarlo e provarlo (al primo pc infetto che mi capita)
magari ci scrivero’ anche qualcosa.
Salve…
ottima guida!
La mia ragazza ha proprio qul maledetto srosa.sys >.>
ora sto usando la mia live di ubuntu per risolvere questo problema da lei…
ma c’e’ un altro problemuzzo…. non mi fa montare l’hard disk dove ho windows infetto perche’ dice che non e’ stato chiuso bene. dice:
“$logfile indicates unclean shutdown (0,0) Failed to mount ‘dev/sda1′> Operation not supported Mount is denied because NTFS is marked to be in use {…}”
windows e’ morto e non avviabile in alcun modo… @.@
come faccio? posso forzare il processo di mount senza mettere a rischio i dati di win?
grazie per le eventuali risposte
Davide.
Puoi provare a fare cosi:
http://www.spippolazione.net/index.php/2008/02/25/lunix-non-monta-i-drive-ntfs-smontati-male/
e’ una guida che ho scritto per le chiavette usb che si sfilano al volo senza smontarle, ma vale per ogni disco ntfs, tutte le volte che l’ho usata e’ sempre andato tutto liscio, ma ovviamente non mi assumo responasbilità…
fammi sapere
Grazie mille per la risposta veloce ed efficace:-)
ora provo a fare qualcosa ma non la vedo tanto nera come all-inizio…..
anche perche’ riesco almeno a fare qualcosa con la live di linux
sia santificato il suo nome > LINUX
mi ha salvato la pelle piu’ volte
grazie ancora.
Davide.
Volevo ringraziarti…ottima spiegazione..io non ci capisco nulla ma grazie alla tue indicazioni ho risolto il problema…sei un mito!!
Grazie mille
scusate io ho seguito le istruzioni e ora quando accendo windows mi si apre una cartella con scritto hldrrr.exe (quella che ho creato io)…
volevo cancellare le chiavi di registro ma davanti a srosa c’è scritto
legacy e la stessa cosa? comunque grazie per le indicazioni
volevo aggiungere ora l’antivirus funziona, sembra tutto ok a parte quella cartella. Meno male che c’è linux che ci tira fuori dai guai!!!!!!!
ringrazio chi ha scritto questo post così bene.
[...] QUI trovate “come rimuvoverlo a modo mio” usando una live di linux [...]
Avevo da poco terminato una missione di GTA che non riuscivo mai a completare e finalmente mi sono “avviato verso casa” per effettuare un salvataggio. All’improvviso mi si riavvia il PC.. esclamo: NoooOO! Maledizione che c..aspita succede?!
. Et voilà mi ha salvato ancora una volta winzozz. (Tranne quella volta con il W32:vitro che è stata una bomba atomica nel pc, ho dovuto formattare in low-level)
Aspetto nuovamente l’avvio di win e corro subito nel Visualizzatore Eventi per cercare qualche indizio.
Non ho tempo di clickare il tasto Start, che Avast ?antivirus? mi dice che tutti i servizi stanno per essere arrestati da un altro programma. La mia prima reazione è stata di spegnere il router e cercare invano di riavviare Avast il quale, un messaggio d’errore diceva: Non è un programma Win32 valido, così come con molti programmi antimalware.
Mi venne in mente il Kaspersky Rescue CD, software gratuito offerto da Kaspersky basato anch’esso su Linux
Mi chiedo però come possa farsi fregare in quel modo un antivirus?? Adesso sono passato ad Avira, voglio un antivirus free..che dite? Da quello che dice av-comparatives.org sembra essere molto efficace.
Mi sa che passerò più tempo con il mio amico Ubuntu, l’inespugnabile e performante Ubuntu.