Come rimuovere il virus BEAGLE usando una live di linux ( srosa.sys hldrrr.exe )
Oggi ho discusso nuovamente qualche minuto con il virus in oggetto che a differenza dei virus / spyware / malaware canonici ha un ottimo sistema per camuffarsi.
L’unica cosa che si nota è un drastico calo delle prestazioni del computer ed una splendida schermata blu in caso si tenti l’avvio in modalità provvisoria.
Questo virus si installa come driver di preriferica e di conseguenza non appare in nessun task manager, inoltre si camuffa anche a livello di filesystem, il file srosa.sys (per esempio) che risiede dentro c:\windows\system32\drivers si vede solo da prompt dos facendo un dir /a, dentro esplorara risorse, anche se si imposta per visualizare i files nascosti e di sistema, non si vede.
Ovviamente non si può nemmeno cancellare, visto che si windows un programma in esecuzione non è cancellabile.
A questo punto per rimuovere il cattivone si deve:
1) fare il boot da un live cd linux che permette la scrittura su ntfs, tipo ubuntu, sidux o knoppix nelle loro ultime release (ma ce ne sono altre)
2) si devono cancellare i files
c:\windows\system32\drivers\srosa.sys
c:\windows\system32\drivers\hldrrr.exe
3) si devono creare delle directory con lo stesso nome dei files cancellati, questo per evitare che il pc si infetti nuovamente in futuro
4) si faccia ripartire windows
FATTO !!!
A questo punto si puo’ installare / aggiornare il proprio antivirus, che beagle aveva rimosso o danneggiato e si deve fare una scansione del pc in cerca di eventuali scampoli di infezione.
Inoltre è buona cosa fare un giro nel registro di configurazione, cercare le stringhe “srosa” e “hldrrr” e cancellarne tutte le occorrenze.
Nota: le voci di registro che contengono la dicitura LEGACY non sono cancellabili, lasciate dove sono.