Appartiene alla categoria degli "mbr rootkit" (virus presenti già dal 2006). MBR sta per master boot record ovvero il settore di avvio del disco fisso. TRADOTTO: SE FORMATTATE C: NON RISOLVETE NIENTE.
Sintomi: pc lentissimo in tutte le operazioni, se collegato ad internet si blocca e va in crash in una decina di minuti. Attualmente (09/11/2009) è invisibile ai 10 migliori antivirus sul mercato, ai vari antirootkit etc etc.
Verifica: andate su "pannello di controllo" e poi su "account utente". Se oltre al vostro nome trovate help assistant o helpassistant o varianti con nomi strani siete infetti.
Eliminazione rapida e indolore:
1 - scaricate mbr.exe e salvatelo su c:\ (per il momento non fatelo partire)
2 - riavviate il pc in modalità provvisoria (premendo F8 mente si sta riavviando)
3 - cliccate su start/programmi/accessori/ e poi aprire il command prompt (il prompt dei comandi)
4 - se vi trovate in una sottocartella di c:\ (esempio c:\document and settings\etc\etc) basta digitare il comando cd .. per risalire a c:
5- a questo punto se siete su c:\ digitate mbr.exe Il programmino eseguirà un scansione del MBR e verrà visualizzato un piccolo log come questo
device: opened successfully user: MBR read successfully kernel: MBR read successfully malicious code @ sector 0x132c0ab6 size 0x1ce ! copy of MBR has been found in sector 62 !
In questo caso "malicious code" significa che il virus è inoculato dentro il vostro mbr (arrrrrgh!)
6 - digitare mbr.exe -f per elinare il virus. Dovrebbe a questo punto restituire un log di questo tipo
Stealth MBR rootkit detector 0.2.2 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully MBR rootkit infection detected ! MBR INT 0x13 hook detected ! malicious code @ sector 0x12a14c00 size 0x1ca ! copy of MBR has been found in sector 62 ! original MBR restored successfully !
7- riavviare e controllare se ancora presente l'account utente indesiderato e quindi eliminarlo, eliminare anche la relativa cartella dentro c:\account and settings\helpassistant . Aggiornare il proprio antivirus e procedere con una scansione approfondita di tutto l'harddisk. Le provabilità che questo virus abbia scaricato decine di trojan e altri virus è infatti altisssima.
