11/09/2009

Eliminare il virus Helpassistant (help assistant o affini)


Appartiene alla categoria degli "mbr rootkit" (virus presenti già dal 2006). MBR sta per master boot record ovvero il settore di avvio del disco fisso. TRADOTTO: SE FORMATTATE C: NON RISOLVETE NIENTE.

Sintomi: pc lentissimo in tutte le operazioni, se collegato ad internet si blocca e va in crash in una decina di minuti. Attualmente (09/11/2009) è invisibile ai 10 migliori antivirus sul mercato, ai vari antirootkit etc etc.

Verifica: andate su "pannello di controllo" e poi su "account utente". Se oltre al vostro nome trovate help assistant o helpassistant o varianti con nomi strani siete infetti.

Eliminazione rapida e indolore:
1 - scaricate mbr.exe e salvatelo su c:\ (per il momento non fatelo partire)

2 - riavviate il pc in modalità provvisoria (premendo F8 mente si sta riavviando)

3 - cliccate su start/programmi/accessori/ e poi aprire il command prompt (il prompt dei comandi)

4 - se vi trovate in una sottocartella di c:\ (esempio c:\document and settings\etc\etc) basta digitare il comando cd .. per risalire a c:

5- a questo punto se siete su c:\ digitate mbr.exe Il programmino eseguirà un scansione del MBR e verrà visualizzato un piccolo log come questo

device: opened successfully user: MBR read successfully kernel: MBR read successfully malicious code @ sector 0x132c0ab6 size 0x1ce ! copy of MBR has been found in sector 62 !
In questo caso "malicious code" significa che il virus è inoculato dentro il vostro mbr (arrrrrgh!)

6 - digitare mbr.exe -f per elinare il virus. Dovrebbe a questo punto restituire un log di questo tipo

Stealth MBR rootkit detector 0.2.2 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully MBR rootkit infection detected ! MBR INT 0x13 hook detected ! malicious code @ sector 0x12a14c00 size 0x1ca ! copy of MBR has been found in sector 62 ! original MBR restored successfully !

7- riavviare e controllare se ancora presente l'account utente indesiderato e quindi eliminarlo, eliminare anche la relativa cartella dentro c:\account and settings\helpassistant . Aggiornare il proprio antivirus e procedere con una scansione approfondita di tutto l'harddisk. Le provabilità che questo virus abbia scaricato decine di trojan e altri virus è infatti altisssima.

53 commenti:

Anonimo ha detto...

ciao sofista...
purtroppo non sono riuscita ad eliminarlo neanche così, il secondo log (quello della disinfezione) è uguale al primo, nessuna differenza.
e la malefica cartella continua ad esserci...
cosa consigli?
grazie.

maria

Gorgia ha detto...

Hai digitato "mbr.exe -f" in modalità provvisoria?

Può capitare che questo tool non riesca a eliminare completamente il virus ma che comunque aggiustando l'mbr lo disattiva e quindi anche se poi ti trova ancora del codice malicius non fa niente. L'importante è poi eliminare la cartella dentro document and settings e poi l'account utente indesiderato. Se poi dopo aver riavviato la cartella eliminata ricompare allora bisognerebbe riprovare con mbrfix dalla console di ripristino di xp... purtroppo però se nel pc hai delle partizioni fatte con tool di terze parti le perdi, quindi consiglio di no arrivare a questo punto.

davidissimo ha detto...

Grazie x questa guida! Mi hai salvato! Ti ho linkato nel mio blog, grazie 1000!!

Gorgia ha detto...

Figurati, visto che impiegato 2 giorni per risolvere il problema ho ritenuto importante condividere la soluzione, considerando anche il fatto su internet ho trovato molto poco.. o almeno non sapevo come trovare le informazioni.

Danielix ha detto...

Ho avuto lo stesso problema ed ho utilizzato il metodo consigliato, che è lo stesso che avevo anche in diversi forum.
MBR mi dà lo stesso tipo log che hai avuto te, le cartelle HelpAssistant cancellate non si formano più , ho passato un buon ativirus che mi ha tolto un paio di infezioni ma facendo una scansione con GMER, non so se lo conosci, mi dice che c'è un root kit, ecco il log:
http://www.mediafire.com/download.php?uzuumyytrm2
Che ne pensi?

Gorgia ha detto...

@ Danielix
Ti consiglierei di usare questo tool per vedere tutti i processi di svchost. Ti da una descrizione di tutti i processi noti, se c'è qualcosa di sospetto dovresti trovarlo


http://www.codeplex.com/svchostviewer

Danielix ha detto...

Ti ringrazio per l'aiuto, ma cosa potrei trovare di strano che mi permette di capire l'anomalia??
Un'altra domanda: usando GMER il programma mi dà la possisibilità di cancellare quel file evidenziato in rosso (sicuramente virus) e la sua chiave.
Ho paura nel farlo perchè è comunqua una chiave di registro, cosa ne pensi?

Gorgia ha detto...

Molto sinteticamente: svchost gestisce altri processi sotto di lui, infatti nella task manager puoi trovarti benissimo 5 o 6 svchost contemporaneamente. Con quel tool vedi i processi sotto e la loro descrizione se sono di windows o conosciuti. Vedi se trovi il processo indicato da gmer e magari puoi recuperare più info su internet.
Poi prima di eliminare la chiave fai un backup del registro.

Danielix ha detto...

Ho utilizzato il programmino che tu mi hai gentilmente consigliato, non è che mi abbia chiarito le idee, in quanto il file in questione evidenziato in rosso da GMER e considerato da lui come probabile rootkit, è un file utilizzato da windows, così come indicato da svchost_viewer, in parole povere non è un file estraneo al sistema operativo.
Per concudere il discorso, ora il computer mi funziona bene, non mi da errori quando sono su internet, mi apre MSN messenger, non si formano più cartelle Help Assistant, ho fatto diverse scansioni con vari antivirus, antimalware e antirootkit che mi dicono che il sistema è pulito, solo GMER mi da la presenza di un rootkit. Il mio problema è che vorrei avere la matematica che il mio computer non sia a rischio.

Gorgia ha detto...

@Danielix
Mi mandi un capture con il sottoprocesso incriminato come ad esempio questo http://www.3sulblog.com/wp-content/uploads/2009/Febbraio/bilbo/SvcHost_Viewer.jpg

Danielix ha detto...

dove scarico il programma capture?

Gorgia ha detto...

Stamp sulla tastiera e poi incolla in qualsiasi programma di grafica, anche paint.

Giovanna ha detto...

Un bacio a chi ha trovto questo programmino che cancella il virus "helpassistent"!!!! Era da una settimana che il mio pc lavorva al 15% ora va come una freccia!!!

Danielix ha detto...

Ho risolto il mio problema utilizzando questo programmino che mi ha liberato definitivamente dal rootkit:
http://www.hwupgrade.it/forum/showthread.php?t=1564958

Gorgia ha detto...

@Danielix Grazie per la segnalazione

fabio ha detto...

Ringrazio il sofista che mi ha dato lo spunto per provare a cancellare questo virus. Come altri, seguendo la procedura non l'ho eliminato.
Credo sia perché a me non usciva nel sector 62. Allora ho fatto partire mbr anche in modalità normale, dopo aver ricancellato cartella ed account, (esegui>Control userpasswords2> a questo punto eliminare l'utente helpassistent),dal prompt dei comandi, e quindi ho dato due volte il comando mbr.exe -f e alla seconda volta mi è uscito questo consiglio:
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x89493f30
NDIS: Broadcom NetXtreme Gigabit Ethernet -> SendCompleteHandler -> 0x894d0480
Warning: possible MBR rootkit infection !
user & kernel MBR OK
copy of MBR has been found in sector 0x098A7FEC
malicious code @ sector 0x098A7FEF !
PE file found in sector at 0x098A8005 !
Use "Recovery Console" command "fixmbr" to clear infection !

Cioé la console di ripristino, non ho eseguito.
Ho fatto invece una pulizia totale con avg Antivirus. Riavviato, tutto a posto.

fabio ha detto...

Volevo aggiungere altre due osservazioni. Nel mio caso la finestra che avverte del virus(Trend ChipAwayVirus has detected a boot...), usciva già prima di far partire la modalità provvisoria, e si sovrappone alla schermata generata dal F8.
Inoltre tutto quel lavoro del computer che si sente una volta scelto di entrare senza intervenire, è la generazione della cartella dell'account di Helpassistent che copia integralmente quella dell'Administrator, quindi diversi giga.

Giorgio ha detto...

Grazie per aver condiviso, erano 15 giorni che cercavo una soluzione!

Anonimo ha detto...

grazie, guida molto utile

Anonimo ha detto...

Ciao,
anche io sono incappato in questo antipaticissimo virus.
Ora il PC funziona correttamente, ma mbr.exe mi segnala ancora la presenza di malicious code, inoltre con la console di ripristino di XP quando rispondo S alla domandxa di riscrittura dell'MBR non m ifa niente e mi ripropone sempre la domanda finchè non rispondo NO. Hai idee in merito??
Ciao e grazias ancora

tony ha detto...

Ho seguito la guda dopo essere stato infettato da questo dannato virus.

Ho avviato windows in modalità provvisario, ed eseguito il comando mbr.exe.. e successivamente mbr.exe -f

Morale? mi ha dato come risultato nella finestra dei comandi operazione riuscita, ma riavviando NON MI RICONOSCE PIU NESSUN SISTEMA OPERATIVO sull'hd, e quindi il pc è di fatto inservibile!!!!

Cos'è successo, come posso rimediare?
Non posso permettermi di perdere i file sull'hard disk

Gorgia ha detto...

@ tony : dovresti provare con mbrfix dalla console di ripristino di xp

Anonimo ha detto...

ciao, scusami anche io ho questo problema. Ho scaricato il programma che dici ma quando vado sul prompt dei comandi mi dà solo C:\document and setting e non importa quale comando io gli dia ma non ritorna a C e quindi non mi prende il comando mbr.exe -f cosa posso fare? Se clicco invece mbr.exe mi dà questo log:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 62 !
copy of MBR has been found in sector 0x02542D6C1
malicious code @ sector 0x02542D6C4 !
PE file found in sector at 0x02542D6DA

squall ha detto...

allora premetto che ho fatto tutto come scritto ma il problema non si è risolto. il log che mi è uscito (sia facendo mbr.exe che mbr.exe -f è lo stesso) è il seguente :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x01314FFD8
malicious code @ sector 0x01314FFDB !
PE file found in sector at 0x01314FFF1 !

un altra cosa strana è che io non ho nessuno account oltre al mio ma la cartella helpassistant c'è sempre.....

Gorgia ha detto...

@ anonimo : devi digitare "cd .." senza virgolette e con lo spazio

@ squall : se non hai più l'utente significa che comunque il virus è stato rimosso. Anche se mbr.exe trova delle tracce il virus non è più attivo (ti rendi subito conto dalle prestazioni del pc). Prova il programma e relativa guida consigliato da danielix http://www.hwupgrade.it/forum/showthread.php?t=1564958
Ho provato anch'io questo programma per maggiore sicurezza... una scansione in più non fa mai male. Unica pecca dovete avere pazienza durante lo scaricamento degli aggiornamenti.

Anonimo ha detto...

Ciao,
sì, lo mettevo senza virgolette ma era uguale, allora ho messo il programma direttamente sotto document and setting, ed è andato^^
Lo ho scritto perchè magari qualcun'altro ha lo stesso problema...
Ti ringrazio, senza questa guida starei ancora cercando di capire come eliminarlo...

fero ha detto...

anche io non riesco a toglierlo... mbr.exe mi da gli stessi messaggi dell'ultimo anonimo... e non mi ha funzionato il programma A-squared... dato che avviavo modalità provvisoria col supporto di rete pensavo che il virus fosse attivo perché c'erano 3 services.exe un po' strani, infatti chiudendone 1 mi è partito il famoso countdown di 60 sec che riavvia il pc. tra l'altro ho notato che il virus prende possesso del firewall di windows mettendo come eccezioni 4 porte tcp con nome "Services"... nessuno ha trovato altre soluzioni perché il mio è un netbook e ho difficoltà a fare la Console di Ripristino. ciao e grazie !

venderevideosulweb ha detto...

cercate helpassistant all'interno del registro di sistema e cancellate tutte le voci che trovate..

poi dal pannello di controllo disabilite l'utente helpassistant io ho risolto anche così

Anonimo ha detto...

ma come problemi da anche ogni tanto quello di emettere un beep continuo quando si blocca il pc?

Gorgia ha detto...

@anonimo
sì fa un beep quando si blocca, ma il tuo potrebbe essere anche un problema hardware quindi segui le indicazioni per capire se si tratta del virus in questione.

Darjo ha detto...

Ho un problema simile...

Sistema operativo: Windows Vista

Da ieri mi è comparso l'account "REMOTE DESKTOP HELP ASSISTANT", però non c'è nessuna cartella con questo nome e il computer non dà alcun segno di malfunzionamento (non va lento e non crasha), l'unico problema è questo Account che mi compare all'avvio accanto ad Utente.

Ho provato ad eliminarlo, al primo riavvio non compare, ma se vado in "Account Utente" c'è, comunque ad un nuovo riavvio riappare anche nella schermata iniziale.

Ho provato con "mbr.exe" ma il log che mi dà è questo:

"Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: error reading MBR "

Lo stesso anche con "mbr.exe -f".

Come posso risolvere?

Grazie in anticipo

Gorgia ha detto...

@Darjo Secondo me il tuo problema ha poco a che fare con questo in quanto hai vista e non xp. MBR.EXE infatti non funziona con vista. Ti consiglio comunque di provare a installare questo http://www.malwarebytes.org/ ,fare l'aggiornamento e poi la scansione del sistema.
Buona fortuna.

Darjo ha detto...

Ti ringrazio per la risposta...

il programma mi ha rilevato (e rimosso) 3 trojan, ma il problema dell'account persiste.

Anonimo ha detto...

Anke io ho lo stesso problema di Darjo e ho win XP. Nessuna cartella all'avvio con il nome helpassistant e all'avvio trovo l'account protetto da pass.

Anonimo ha detto...

ciao sofista!
io non riesco ad accedere al desktop perchè all'avvio di windows mi chiede una password con account "REMOTE DESKTOP HELP ASSISTANCE"
Come faccio?
Aiuto! e grazie

Anonimo ha detto...

Ciao Sofista e a tutti!anch'io ho lo stesso problema.Sist.Op.Xp,all'avvio appare solo l'utente RemoteDesktop Help Assistance protetto da password e con privilegi di amministratore..che casino!!Help!
Grazie!

Gorgia ha detto...

Rispondo al volo a quella che sembra una vera è propria epidemia. Per quanto riguarda gli ultimi commenti a parte il nome non mi sembra che riguardi il virus trattato in questo articolo.
Per coloro i quali non riescono ad accedere più al proprio pc consiglio di usare un cd autopartente con dei tool per recuperare la password e verificare altri problemi come:
erd connander http://www.ilbloggatore.com/2009/04/29/erd-commander-50ripristina-il-tuo-sitemarecupera-la-tua-pass%E2%80%A6/
oppure BartPE http://www.hwupgrade.it/articoli/1006/index.html
Purtroppo a distanza e con così poche informazioni non riesco ad aiutarvi. Se qualcuno riesce a risolvere questo problema per favore condivida le informazioni in modo da fare un altro post.

Darjo ha detto...

Mi associo all'appello di Gorgia, se qualcuno ha la soluzione ci aiuti!!!

Anonimo ha detto...

http://avira-antivir-rescue-system.softonic.it/

leggete, io ora provo..poi vi dico..

MINA VAGANTE ha detto...

io ho lo stesso problema ma non riesco ne ad eliminarlo con il programma,visto ke alla scansione mbr.exe -f,non mi trova niente,ne eliminando la voce dal registro..come bisogna fare?pare ke è scoppiata veramente una pandemia!!! aiuto!

MINA VAGANTE ha detto...

RAGAZZI! forse ho trovato la soluzione definitiva dopo 4 ore di duro lavoro al pc!
allora :Nel Pannello di Controllo andate in Strumenti di Amministrazione ed aprite Gestione Computer.
Espandete la visualizzazione di Utenti e gruppi locali
In Users dovreste trovare l'account HelpAssistant e Remote User! se cliccate su proprieta sia dell'uno e poi dell'altro troverete una voce :'Account disabilitato';selezionate la casella in modo da disattivarlo,premete ok e riavviate il pc!all'accesso non dovreste piu trovare quell'odioso account!l'ho fatto 10 min fa e sembra funzioni...speriamo bene!!! :)

Anonimo ha detto...

il problema è che io nn posso accedere al pannello di controllo perchè all'avvio mi compare solo l'utente "Help Desktop Assistant.."
ho provato con un boot da disco con Avira..ma nulla!!

Gorgia ha detto...

All'ultimo anonimo rispondo: se non riesci più ad accedere al pc devi usare erd connander http://www.ilbloggatore.com/2009/04/29/erd-commander-50ripristina-il-tuo-sitemarecupera-la-tua-pass%E2%80%A6/
1)fare partire il programma su altro pc e masterizzare il disco di ripristino
2) avviare il pc bloccato dal cd di ripristino
3) forzare la password, inserire una nuova, eliminare l'account indesiderato.

Anonimo ha detto...

@Giorgia.
grazie provo..solo che nn riesco a capire da dove scaricare Erd..!!

MINA VAGANTE ha detto...

confermo ,il problema l'ho definitivamente risolto ricorrendo alla guida che ho descritto nell'ultimo commento.secondo me questo problema è nato subito dopo l'ultimo aggiornamento di windows..

Gorgia ha detto...

@Mina Vagante: non vorrei essere pessimista ma il problema secondo me resta. Hai disattivato l'accout, ma chi lo ha attivato? Sicuramente un trojan o un virus quindi ti consiglio una scansione con nod32, avira, malwarebytes e hijackthis.

Darjo ha detto...

Sono daccordo con Gorgia, bisogna trovare la causa dell'attivazione e comunque io non posso usare il metodo di Mina Vagante perché avendo un Home Premiun non ho accesso a "Utenti e Gruppi Locali".

Anonimo ha detto...

Per chi nn riesce ad accedere al proprio utente(che spero abbia privilegi da amministratore) seguite questa guida.Così potete accedere al sistema operativo.

http://support.microsoft.com/default.aspx?scid=kb;it;321305

Poi non so ancora come eliminare del tutto il virus che crea l'utente "Remote HelpDesktop Assistant".. però almeno potete rivedere il vostro desktop!!!

Darjo ha detto...

Salve a tutti... buone notizie:
ho risolto il problema dell'account
(dovuto ad un virus chiamato msnmsgs.exe) leggendo la discussione di questo utente con lo stesso problema -> http://forum.aiutamici.com/yaf_postst67681_Problemi-account-utente-remote-desktop-help-assistant.aspx

Spero d'esser stato d'aiuto.

Gorgia ha detto...

@Darjo
Grazie per la segnalazione.

carlocdn@hotmail.com ha detto...

Salve, ho un pc acer con win xp ee seguendo la guida non riesco a eliminare il virus, se provo con mbrfix cosa succede alla partizione nascosta dedicata al ripristino del sistema? Quale altro metodo posso usare?

Anonimo ha detto...

ciao Gorgia,
ho seguito ciò che tu hai detto ma la risposta finale che mi fa (dopo mbr.exe -f) è questa:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x04A891C1
malicious code @ sector 0x04A891C4 !
PE file found in sector at 0x04A891DA !

alla fine non mi dice "original MBR restored successfully !"
devo preoccuparmmi? oppure va bene lo stesso?

grazie grazie
siete molto di aiuto

Stefano ha detto...

Buon giorno a tutti

Intanto un ringraziamento infinito per tutti i suggerimenti e i commenti che qui ho trovato, che mi hanno (spero) permesso di venire a capo della cosa su un computer di un amico veramente disperato.

Volevo chiedervi un parere: poichè non ho chiaro come ha fatto a beccarlo, (dal mbr.exe parrebbe che abbia intercettato la scheda di rete e usi la connessione internet per riscaricarsi, fino a cura), mi è venuta in mente una cattiveria di questo genere:

- a computer "PULITO", creare un account amministratore, diciamo "pippo".
- Loggarsi con questo utente
- cambiare i permessi della cartella HelpAssistant, opportunamente svuotata, per renderla accessibile solo a "Pippo", togliento tutti gli altri.

Quando rientro con l'utente normale, mi da effetivamente "accesso negato", che speravo fosse un modo per impedire al virus di attaccasi al computer.

vi pare possa funzionare?

Grazie, saluti a tutti

Related Posts with Thumbnails