Appartiene alla categoria degli "mbr rootkit" (virus presenti già dal 2006). MBR sta per master boot record ovvero il settore di avvio del disco fisso. TRADOTTO: SE FORMATTATE C: NON RISOLVETE NIENTE.
Sintomi: pc lentissimo in tutte le operazioni, se collegato ad internet si blocca e va in crash in una decina di minuti. Attualmente (09/11/2009) è invisibile ai 10 migliori antivirus sul mercato, ai vari antirootkit etc etc.
Verifica: andate su "pannello di controllo" e poi su "account utente". Se oltre al vostro nome trovate help assistant o helpassistant o varianti con nomi strani siete infetti.
Eliminazione rapida e indolore:
1 - scaricate mbr.exe e salvatelo su c:\ (per il momento non fatelo partire)
2 - riavviate il pc in modalità provvisoria (premendo F8 mente si sta riavviando)
3 - cliccate su start/programmi/accessori/ e poi aprire il command prompt (il prompt dei comandi)
4 - se vi trovate in una sottocartella di c:\ (esempio c:\document and settings\etc\etc) basta digitare il comando cd .. per risalire a c:
5- a questo punto se siete su c:\ digitate mbr.exe Il programmino eseguirà un scansione del MBR e verrà visualizzato un piccolo log come questo
device: opened successfully user: MBR read successfully kernel: MBR read successfully malicious code @ sector 0x132c0ab6 size 0x1ce ! copy of MBR has been found in sector 62 !
In questo caso "malicious code" significa che il virus è inoculato dentro il vostro mbr (arrrrrgh!)
6 - digitare mbr.exe -f per elinare il virus. Dovrebbe a questo punto restituire un log di questo tipo
Stealth MBR rootkit detector 0.2.2 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully MBR rootkit infection detected ! MBR INT 0x13 hook detected ! malicious code @ sector 0x12a14c00 size 0x1ca ! copy of MBR has been found in sector 62 ! original MBR restored successfully !
7- riavviare e controllare se ancora presente l'account utente indesiderato e quindi eliminarlo, eliminare anche la relativa cartella dentro c:\account and settings\helpassistant . Aggiornare il proprio antivirus e procedere con una scansione approfondita di tutto l'harddisk. Le provabilità che questo virus abbia scaricato decine di trojan e altri virus è infatti altisssima.
53 commenti:
ciao sofista...
purtroppo non sono riuscita ad eliminarlo neanche così, il secondo log (quello della disinfezione) è uguale al primo, nessuna differenza.
e la malefica cartella continua ad esserci...
cosa consigli?
grazie.
maria
Hai digitato "mbr.exe -f" in modalità provvisoria?
Può capitare che questo tool non riesca a eliminare completamente il virus ma che comunque aggiustando l'mbr lo disattiva e quindi anche se poi ti trova ancora del codice malicius non fa niente. L'importante è poi eliminare la cartella dentro document and settings e poi l'account utente indesiderato. Se poi dopo aver riavviato la cartella eliminata ricompare allora bisognerebbe riprovare con mbrfix dalla console di ripristino di xp... purtroppo però se nel pc hai delle partizioni fatte con tool di terze parti le perdi, quindi consiglio di no arrivare a questo punto.
Grazie x questa guida! Mi hai salvato! Ti ho linkato nel mio blog, grazie 1000!!
Figurati, visto che impiegato 2 giorni per risolvere il problema ho ritenuto importante condividere la soluzione, considerando anche il fatto su internet ho trovato molto poco.. o almeno non sapevo come trovare le informazioni.
Ho avuto lo stesso problema ed ho utilizzato il metodo consigliato, che è lo stesso che avevo anche in diversi forum.
MBR mi dà lo stesso tipo log che hai avuto te, le cartelle HelpAssistant cancellate non si formano più , ho passato un buon ativirus che mi ha tolto un paio di infezioni ma facendo una scansione con GMER, non so se lo conosci, mi dice che c'è un root kit, ecco il log:
http://www.mediafire.com/download.php?uzuumyytrm2
Che ne pensi?
@ Danielix
Ti consiglierei di usare questo tool per vedere tutti i processi di svchost. Ti da una descrizione di tutti i processi noti, se c'è qualcosa di sospetto dovresti trovarlo
http://www.codeplex.com/svchostviewer
Ti ringrazio per l'aiuto, ma cosa potrei trovare di strano che mi permette di capire l'anomalia??
Un'altra domanda: usando GMER il programma mi dà la possisibilità di cancellare quel file evidenziato in rosso (sicuramente virus) e la sua chiave.
Ho paura nel farlo perchè è comunqua una chiave di registro, cosa ne pensi?
Molto sinteticamente: svchost gestisce altri processi sotto di lui, infatti nella task manager puoi trovarti benissimo 5 o 6 svchost contemporaneamente. Con quel tool vedi i processi sotto e la loro descrizione se sono di windows o conosciuti. Vedi se trovi il processo indicato da gmer e magari puoi recuperare più info su internet.
Poi prima di eliminare la chiave fai un backup del registro.
Ho utilizzato il programmino che tu mi hai gentilmente consigliato, non è che mi abbia chiarito le idee, in quanto il file in questione evidenziato in rosso da GMER e considerato da lui come probabile rootkit, è un file utilizzato da windows, così come indicato da svchost_viewer, in parole povere non è un file estraneo al sistema operativo.
Per concudere il discorso, ora il computer mi funziona bene, non mi da errori quando sono su internet, mi apre MSN messenger, non si formano più cartelle Help Assistant, ho fatto diverse scansioni con vari antivirus, antimalware e antirootkit che mi dicono che il sistema è pulito, solo GMER mi da la presenza di un rootkit. Il mio problema è che vorrei avere la matematica che il mio computer non sia a rischio.
@Danielix
Mi mandi un capture con il sottoprocesso incriminato come ad esempio questo http://www.3sulblog.com/wp-content/uploads/2009/Febbraio/bilbo/SvcHost_Viewer.jpg
dove scarico il programma capture?
Stamp sulla tastiera e poi incolla in qualsiasi programma di grafica, anche paint.
Un bacio a chi ha trovto questo programmino che cancella il virus "helpassistent"!!!! Era da una settimana che il mio pc lavorva al 15% ora va come una freccia!!!
Ho risolto il mio problema utilizzando questo programmino che mi ha liberato definitivamente dal rootkit:
http://www.hwupgrade.it/forum/showthread.php?t=1564958
@Danielix Grazie per la segnalazione
Ringrazio il sofista che mi ha dato lo spunto per provare a cancellare questo virus. Come altri, seguendo la procedura non l'ho eliminato.
Credo sia perché a me non usciva nel sector 62. Allora ho fatto partire mbr anche in modalità normale, dopo aver ricancellato cartella ed account, (esegui>Control userpasswords2> a questo punto eliminare l'utente helpassistent),dal prompt dei comandi, e quindi ho dato due volte il comando mbr.exe -f e alla seconda volta mi è uscito questo consiglio:
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x89493f30
NDIS: Broadcom NetXtreme Gigabit Ethernet -> SendCompleteHandler -> 0x894d0480
Warning: possible MBR rootkit infection !
user & kernel MBR OK
copy of MBR has been found in sector 0x098A7FEC
malicious code @ sector 0x098A7FEF !
PE file found in sector at 0x098A8005 !
Use "Recovery Console" command "fixmbr" to clear infection !
Cioé la console di ripristino, non ho eseguito.
Ho fatto invece una pulizia totale con avg Antivirus. Riavviato, tutto a posto.
Volevo aggiungere altre due osservazioni. Nel mio caso la finestra che avverte del virus(Trend ChipAwayVirus has detected a boot...), usciva già prima di far partire la modalità provvisoria, e si sovrappone alla schermata generata dal F8.
Inoltre tutto quel lavoro del computer che si sente una volta scelto di entrare senza intervenire, è la generazione della cartella dell'account di Helpassistent che copia integralmente quella dell'Administrator, quindi diversi giga.
Grazie per aver condiviso, erano 15 giorni che cercavo una soluzione!
grazie, guida molto utile
Ciao,
anche io sono incappato in questo antipaticissimo virus.
Ora il PC funziona correttamente, ma mbr.exe mi segnala ancora la presenza di malicious code, inoltre con la console di ripristino di XP quando rispondo S alla domandxa di riscrittura dell'MBR non m ifa niente e mi ripropone sempre la domanda finchè non rispondo NO. Hai idee in merito??
Ciao e grazias ancora
Ho seguito la guda dopo essere stato infettato da questo dannato virus.
Ho avviato windows in modalità provvisario, ed eseguito il comando mbr.exe.. e successivamente mbr.exe -f
Morale? mi ha dato come risultato nella finestra dei comandi operazione riuscita, ma riavviando NON MI RICONOSCE PIU NESSUN SISTEMA OPERATIVO sull'hd, e quindi il pc è di fatto inservibile!!!!
Cos'è successo, come posso rimediare?
Non posso permettermi di perdere i file sull'hard disk
@ tony : dovresti provare con mbrfix dalla console di ripristino di xp
ciao, scusami anche io ho questo problema. Ho scaricato il programma che dici ma quando vado sul prompt dei comandi mi dà solo C:\document and setting e non importa quale comando io gli dia ma non ritorna a C e quindi non mi prende il comando mbr.exe -f cosa posso fare? Se clicco invece mbr.exe mi dà questo log:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 62 !
copy of MBR has been found in sector 0x02542D6C1
malicious code @ sector 0x02542D6C4 !
PE file found in sector at 0x02542D6DA
allora premetto che ho fatto tutto come scritto ma il problema non si è risolto. il log che mi è uscito (sia facendo mbr.exe che mbr.exe -f è lo stesso) è il seguente :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x01314FFD8
malicious code @ sector 0x01314FFDB !
PE file found in sector at 0x01314FFF1 !
un altra cosa strana è che io non ho nessuno account oltre al mio ma la cartella helpassistant c'è sempre.....
@ anonimo : devi digitare "cd .." senza virgolette e con lo spazio
@ squall : se non hai più l'utente significa che comunque il virus è stato rimosso. Anche se mbr.exe trova delle tracce il virus non è più attivo (ti rendi subito conto dalle prestazioni del pc). Prova il programma e relativa guida consigliato da danielix http://www.hwupgrade.it/forum/showthread.php?t=1564958
Ho provato anch'io questo programma per maggiore sicurezza... una scansione in più non fa mai male. Unica pecca dovete avere pazienza durante lo scaricamento degli aggiornamenti.
Ciao,
sì, lo mettevo senza virgolette ma era uguale, allora ho messo il programma direttamente sotto document and setting, ed è andato^^
Lo ho scritto perchè magari qualcun'altro ha lo stesso problema...
Ti ringrazio, senza questa guida starei ancora cercando di capire come eliminarlo...
anche io non riesco a toglierlo... mbr.exe mi da gli stessi messaggi dell'ultimo anonimo... e non mi ha funzionato il programma A-squared... dato che avviavo modalità provvisoria col supporto di rete pensavo che il virus fosse attivo perché c'erano 3 services.exe un po' strani, infatti chiudendone 1 mi è partito il famoso countdown di 60 sec che riavvia il pc. tra l'altro ho notato che il virus prende possesso del firewall di windows mettendo come eccezioni 4 porte tcp con nome "Services"... nessuno ha trovato altre soluzioni perché il mio è un netbook e ho difficoltà a fare la Console di Ripristino. ciao e grazie !
cercate helpassistant all'interno del registro di sistema e cancellate tutte le voci che trovate..
poi dal pannello di controllo disabilite l'utente helpassistant io ho risolto anche così
ma come problemi da anche ogni tanto quello di emettere un beep continuo quando si blocca il pc?
@anonimo
sì fa un beep quando si blocca, ma il tuo potrebbe essere anche un problema hardware quindi segui le indicazioni per capire se si tratta del virus in questione.
Ho un problema simile...
Sistema operativo: Windows Vista
Da ieri mi è comparso l'account "REMOTE DESKTOP HELP ASSISTANT", però non c'è nessuna cartella con questo nome e il computer non dà alcun segno di malfunzionamento (non va lento e non crasha), l'unico problema è questo Account che mi compare all'avvio accanto ad Utente.
Ho provato ad eliminarlo, al primo riavvio non compare, ma se vado in "Account Utente" c'è, comunque ad un nuovo riavvio riappare anche nella schermata iniziale.
Ho provato con "mbr.exe" ma il log che mi dà è questo:
"Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: error reading MBR "
Lo stesso anche con "mbr.exe -f".
Come posso risolvere?
Grazie in anticipo
@Darjo Secondo me il tuo problema ha poco a che fare con questo in quanto hai vista e non xp. MBR.EXE infatti non funziona con vista. Ti consiglio comunque di provare a installare questo http://www.malwarebytes.org/ ,fare l'aggiornamento e poi la scansione del sistema.
Buona fortuna.
Ti ringrazio per la risposta...
il programma mi ha rilevato (e rimosso) 3 trojan, ma il problema dell'account persiste.
Anke io ho lo stesso problema di Darjo e ho win XP. Nessuna cartella all'avvio con il nome helpassistant e all'avvio trovo l'account protetto da pass.
ciao sofista!
io non riesco ad accedere al desktop perchè all'avvio di windows mi chiede una password con account "REMOTE DESKTOP HELP ASSISTANCE"
Come faccio?
Aiuto! e grazie
Ciao Sofista e a tutti!anch'io ho lo stesso problema.Sist.Op.Xp,all'avvio appare solo l'utente RemoteDesktop Help Assistance protetto da password e con privilegi di amministratore..che casino!!Help!
Grazie!
Rispondo al volo a quella che sembra una vera è propria epidemia. Per quanto riguarda gli ultimi commenti a parte il nome non mi sembra che riguardi il virus trattato in questo articolo.
Per coloro i quali non riescono ad accedere più al proprio pc consiglio di usare un cd autopartente con dei tool per recuperare la password e verificare altri problemi come:
erd connander http://www.ilbloggatore.com/2009/04/29/erd-commander-50ripristina-il-tuo-sitemarecupera-la-tua-pass%E2%80%A6/
oppure BartPE http://www.hwupgrade.it/articoli/1006/index.html
Purtroppo a distanza e con così poche informazioni non riesco ad aiutarvi. Se qualcuno riesce a risolvere questo problema per favore condivida le informazioni in modo da fare un altro post.
Mi associo all'appello di Gorgia, se qualcuno ha la soluzione ci aiuti!!!
http://avira-antivir-rescue-system.softonic.it/
leggete, io ora provo..poi vi dico..
io ho lo stesso problema ma non riesco ne ad eliminarlo con il programma,visto ke alla scansione mbr.exe -f,non mi trova niente,ne eliminando la voce dal registro..come bisogna fare?pare ke è scoppiata veramente una pandemia!!! aiuto!
RAGAZZI! forse ho trovato la soluzione definitiva dopo 4 ore di duro lavoro al pc!
allora :Nel Pannello di Controllo andate in Strumenti di Amministrazione ed aprite Gestione Computer.
Espandete la visualizzazione di Utenti e gruppi locali
In Users dovreste trovare l'account HelpAssistant e Remote User! se cliccate su proprieta sia dell'uno e poi dell'altro troverete una voce :'Account disabilitato';selezionate la casella in modo da disattivarlo,premete ok e riavviate il pc!all'accesso non dovreste piu trovare quell'odioso account!l'ho fatto 10 min fa e sembra funzioni...speriamo bene!!! :)
il problema è che io nn posso accedere al pannello di controllo perchè all'avvio mi compare solo l'utente "Help Desktop Assistant.."
ho provato con un boot da disco con Avira..ma nulla!!
All'ultimo anonimo rispondo: se non riesci più ad accedere al pc devi usare erd connander http://www.ilbloggatore.com/2009/04/29/erd-commander-50ripristina-il-tuo-sitemarecupera-la-tua-pass%E2%80%A6/
1)fare partire il programma su altro pc e masterizzare il disco di ripristino
2) avviare il pc bloccato dal cd di ripristino
3) forzare la password, inserire una nuova, eliminare l'account indesiderato.
@Giorgia.
grazie provo..solo che nn riesco a capire da dove scaricare Erd..!!
confermo ,il problema l'ho definitivamente risolto ricorrendo alla guida che ho descritto nell'ultimo commento.secondo me questo problema è nato subito dopo l'ultimo aggiornamento di windows..
@Mina Vagante: non vorrei essere pessimista ma il problema secondo me resta. Hai disattivato l'accout, ma chi lo ha attivato? Sicuramente un trojan o un virus quindi ti consiglio una scansione con nod32, avira, malwarebytes e hijackthis.
Sono daccordo con Gorgia, bisogna trovare la causa dell'attivazione e comunque io non posso usare il metodo di Mina Vagante perché avendo un Home Premiun non ho accesso a "Utenti e Gruppi Locali".
Per chi nn riesce ad accedere al proprio utente(che spero abbia privilegi da amministratore) seguite questa guida.Così potete accedere al sistema operativo.
http://support.microsoft.com/default.aspx?scid=kb;it;321305
Poi non so ancora come eliminare del tutto il virus che crea l'utente "Remote HelpDesktop Assistant".. però almeno potete rivedere il vostro desktop!!!
Salve a tutti... buone notizie:
ho risolto il problema dell'account
(dovuto ad un virus chiamato msnmsgs.exe) leggendo la discussione di questo utente con lo stesso problema -> http://forum.aiutamici.com/yaf_postst67681_Problemi-account-utente-remote-desktop-help-assistant.aspx
Spero d'esser stato d'aiuto.
@Darjo
Grazie per la segnalazione.
Salve, ho un pc acer con win xp ee seguendo la guida non riesco a eliminare il virus, se provo con mbrfix cosa succede alla partizione nascosta dedicata al ripristino del sistema? Quale altro metodo posso usare?
ciao Gorgia,
ho seguito ciò che tu hai detto ma la risposta finale che mi fa (dopo mbr.exe -f) è questa:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x04A891C1
malicious code @ sector 0x04A891C4 !
PE file found in sector at 0x04A891DA !
alla fine non mi dice "original MBR restored successfully !"
devo preoccuparmmi? oppure va bene lo stesso?
grazie grazie
siete molto di aiuto
Buon giorno a tutti
Intanto un ringraziamento infinito per tutti i suggerimenti e i commenti che qui ho trovato, che mi hanno (spero) permesso di venire a capo della cosa su un computer di un amico veramente disperato.
Volevo chiedervi un parere: poichè non ho chiaro come ha fatto a beccarlo, (dal mbr.exe parrebbe che abbia intercettato la scheda di rete e usi la connessione internet per riscaricarsi, fino a cura), mi è venuta in mente una cattiveria di questo genere:
- a computer "PULITO", creare un account amministratore, diciamo "pippo".
- Loggarsi con questo utente
- cambiare i permessi della cartella HelpAssistant, opportunamente svuotata, per renderla accessibile solo a "Pippo", togliento tutti gli altri.
Quando rientro con l'utente normale, mi da effetivamente "accesso negato", che speravo fosse un modo per impedire al virus di attaccasi al computer.
vi pare possa funzionare?
Grazie, saluti a tutti
Posta un commento