Principalmente si propaga tramite le reti peer to peer (p2p) come emule, ma anche via email. Lo si può trovare spesso in archivi contenenti programmi e crack.
Una volta eseguito il suo file crea i files hldrrr.exe e mdelk.exe in C:\windows\system32\drivers oltre alla cartella download. Mostra una schermata dove fa selezionare il programma da cracckare. Dopo il riavvio carica il driver srosa.sys,situato nella medesima cartella,termina e cancella i software di sicurezza,che non potranno più essere utilizzati. Scarica vari files da internet nella cartella download e li avvia.
Inoltre questo malware, modificando 2 chiavi di registro, disabilita la modalità provvisoria, per cui tentando di accedere a windows in safe mode si ricevera una bella schermata blu .
Tutti i files di questo malware sono nascosti con tecniche rootkit,per cui non si possono visualizzare tramite esplora risorse.
Come vedere se si è infetti:
– I programmi di sicurezza sono stati cancellati
– La modalità provvisoria non funziona
– Una scansione con gmer evidenzia files in rosso
1) disattivazione ripristino conf di sistema:
● tasto destro del mouse sull’icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok
2) scarica questo e incolla questo script
Files to delete:
%SystemDrive%WINDOWSsystem32driverssrosa.sys
%SystemDrive%WINDOWSsystem32wintems.exe
%SystemDrive%WINDOWSsystem32drivershldrrr.exe
%SystemDrive%WINDOWSsystem32driversmdelk.exe
%SystemDrive%WINDOWSsystem32mdelk.exe
%SystemDrive%WINDOWSSYSTEM32BAN_LIST.TXT
folders to delete:
%UserProfile%Dati applicazionim
%SystemDrive%WINDOWSsystem32driversdownld
%AppData%Roamingm
%SystemDrive%WINDOWSSystem32driversdown
registry keys to delete:
HKLMSYSTEMCurrentControlSetServicessrosa
HKLMSYSTEMCurrentControlSetEnumRootLEGACY_SROSA
HKLMSYSTEMControlSet003EnumRootLEGACY_SROSA
HKLMSYSTEMControlSet002EnumRootLEGACY_SROSA
registry values to delete:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun drvsyskit
HKLMSoftwareMicrosoftWindowsCurrentVersionRun mule_st_key
3) scarica questo utilizza il kaspersky antivirus scanner , se hai già il kaspersky non funziona, quindi usa f-secure a questo indirizzo
4) per sicurezza scarica questo e scansiona tutto il sistema. Questa versione è aggiornata ogni 15 giorni, se non ti funziona vai qui
5) scarica questo e fa una pulizia del sistema con ccleaner
Per eventuali problemi post rimozione fai queste operazioni:
Per riattivare i servizi scarica questo.
I servizi da riattivare sono i seguenti:
● Avvisi
● Centro sicurezza P.C.
● Aggiornamenti automatici
● Connessioni di rete
● Zero Configuration reti senza fili
● Windows Firewall/ Condivisione connessione Internet (ICS)
http://www.hwupgrade.it/forum/showthread.php?t=1562611