backhome

Win32/mebroot Mbr rootkit Trojan Helpassistant: Guida per rimuovere virus

1 aprile // commenti 2 commenti

Guida dettagliata che ti spiega come rimuovere il virus Mebrot.Mbr Trojan Horse che danneggia il settore di avvio del disco fisso, annidandosi in Win32. Il virus crea un nuovo utente chiamandolo ironicamente “Helpassistant”. I sintomi dell’infezione sono: PC lentissimo che se collegato ad internet ne causa il blocco ripetuto e si avverte un suono acustico continuo proveniente dal bios.

Nuovo blog nuovo virus! Questo era il titolo alternativo che volevo dare al post, scartato in favore dell’attuale, affinché possa essere trovato da chi necessita di una guida che spiega la procedura per rimuovere definitivamente il virus dal sistema operativo Windows XP.

Ho messo online Webselecta da circa un mese. Ho navigato centinaia di siti alla ricerca delle migliori risorse disponibili in rete e in una sfortunata occasione, mi sono beccato questo maledetto virus. Non preoccuparti, tutti i link presenti in questo blog sono testati e sicuri. ;)

Stavo lavorando tranquillamente, ad un cero punto il PC diventa lentissimo, praticamente inutilizzabile. Panico totale! La situazione peggiora…crash continui…cosa fare? Le ho provate tutte con Windows XP sia in modalità standard che provvisoria con e senza rete!!

  • CCleaner
  • Adware
  • SUPERAntiSpyware
  • TweakNow RegCleaner
  • Spybot Search & Destroy
  • Scansione Antivirus (Nod32)

Niente da fare, il PC sembrava normale ma dopo pochi minuti, CRASH!!!! Ero veramente disperato, pensavo di buttare il PC dalla finestra e comprarmene uno nuovo.

Poi con calma sono andato a guardarmi per bene tutte le impostazioni. Andando su Risorse del computer > C > programmi> Documents and Settings, scopro che oltre al mio normale utente esiste: Helpassistant.

Helpassistant???? ma cosa cavolo è questo? Nemmeno il tempo di dirlo che compare la schermata blu. Spengo tutto e vado sul portatile ad informarmi. Trovo questo benedetto post.

Seguendo i passi riportati nel post, non sono riuscito a risolvere, ma per lo meno ho capito quale era la strada giusta da percorrere. Qui di seguito citerò la proceduta indicata dal blog aggiungendo alcune modiche (frutto di ricerche e prove) che mi hanno permesso di risolvere completamente il problema.




Iniziamo!

1 ) Vai alla fine di questa pagina e subito dopo il titolo “Update” dove trovi scritto “To detect and remove latest variant of rootkit please use mbr.exe version 0.3.1 or newer”. Scarica il programma “mbr.exe” salvalo nel desktop. [Non preoccuparti è sicuro]

2 ) Riavvia il PC. Subito dopo la schermata di boot (solitamente mostra il logo della tua scheda madre) premi ripetutamente F8 per accedere alle opzioni della modalità provvisoria.

3 ) Nelle opzioni scegli: “Modalità provvisoria senza rete” e premi invio, partirà la procedura di avvio provvisorio.

4 ) Quando appare la schermata per la scelta dell’utente, dato che i virus ha creato un nuovo utente chiamandolo “Administrator”, non selezionarlo! Scegli il tuo, il nome che hai dato quando hai creato l’utente. (Es: Agostino)

5 ) Clicca su Start> Programmi > Accessori > Prompt dei comandi. Ti apparirà una piccola finestra nera.

6 ) Se nella schermata appare c:\document and settings, digita subito dopo cd .. e premi invio [attenzione cd SPAZIO ..] Questa operazione ti permette di risalire alla cartella C:

7 ) Ora digita mbr.exe e premi invio. Verrà eseguita un scansione e visualizzerai un log come questo:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0950A600
malicious code @ sector 0x0950A603 !
PE file found in sector at 0x0950A619


8 ) Nella penultima riga troverai “malicious code”. Questa è la conferma che è stato trovato il virus. I codice/i riportati sono i settori dell’hard disk infetti e possono variare in base al tipo di infezione.

9 ) Subito dopo digita mbr.exe -f per eliminare il virus. [Attenzione mbr.exe SPAZIO -f ]

10 ) Il messaggio che dovresti visualizzare è simile a questo [i codici possono variare, l’importante che alla fine del messaggio ci sia [original MBR restored successfully]

Stealth MBR rootkit detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit infection detected !
MBR INT 0x13 hook detected !
malicious code @ sector 0x0950A603 size 0x1ca !
copy of MBR has been found in sector 13!
original MBR restored successfully !


11 ) Chiudi il prompt dei comandi

12 ) Vai in Risorse del computer-> C > Programmi> Documents and Settings

13 ) Elimina tutte le cartelle che trovi tranne il tuo nome utente e All Users. In base alla gravità della tua infezione il virus crea cartelle nuove come per esempio Administrator – Helpassistant – Helpassistant + nome computer etc. Eliminale tutte tranne il tuo utente e All User.

14) Riavvia il PC normalmente e quando sei in Windows controlla se ancora presente l’account utente indesiderato Se è ancora presente eliminalo. Se non riesci, vai in modalità provvisoria e ripeti l’operazione sopra.

Ora viene il turno di Combofix che si occupa di ripulire il sistema da file, processi infetti e Malware. ;)

Disattivare l’antivirus non serve perchè al riavvio si riattiva. Questo può causare problemi alla procedura automatica di Combofix. Ti consiglio quindi di disinstallarlo completamente e di installarlo nuovamente alla fine di questa operazione.

Segui la guida descritta qui . Ti avviso che l’operazione potrebbe essere lunga, non utilizzare nessun programma, non toccare il mouse, attendi paziente anche se dalla finestra blu di Combofix non sembra succedere nulla.

Alla fine del processo elimina l’icona rossa di Combofix (tasto destro + elimina). Vai su risorse del computer C: trova la cartella Qoobox ed elimina tutta la cartella che contiene il malware rimosso. [Se non riesci a rimuoverla, riavvia il PC e torna in modalità provvisoria e cancella la cartella] Quando è stata eliminata, svuota il cestino e pulisci il sistema con CCleaner

Avvia CCleaner > scheda pulizia > avvia pulizia. Scheda registro > trova problemi > ripara selezionati [Importante! Conferma il backup delle voci rimosse]

Al termine della pulizia reinstalla e aggiorna l’antivirus e procedi con la scansione approfondita di eventuali file infetti residui.

Ultima sorpresa: Nod32 non riesce ad eliminare Win32.Mebroot

Ho eseguito tutti passaggi sopraelencati senza problemi, ma all’ultimo punto…..

Nod32 mi avvisa che sono stati trovati 3 virus tutti con il seguente messaggio: “Settore Mbr del disco fisico 1 infetto da Win32.Mebroot Eliminare?” Io ovviamente scelgo “Si” e Nod32 mi dice che è impossibile eliminare “Win32.Mebroot” Procedura non consentita! Come???

Ok, mi preparo al peggio e vado alla ricerca della soluzione: In pochi minuti l’ho trovata!!!! Si chiama ESET Mebroot Remover e si scarica dal sito ufficiale di Easet, produttore di Nod 32. Scaricato e salvalo nel Desktop!

Ho avviato il programma e istantaneamente eliminato questo maledetto virus che mi ha fatto perdere due giorni in tentativi ed imprecazioni varie. La minaccia è stata definitivamente eliminata dal sistema. Ho riavviato e tutto è tornato alla normalità.

I’m Happy 8)

Un sentito ringraziamento a Il Sofista per i preziosi consigli.

Photo credits| Zyg ZaG

2 Commenti Lascia un commento

  1. Ciao grazie per averlo condiviso!!! Che Dio ti benedica. Buona vita :)

    Rispondi

Tutti i link sono "No Follow Free". Per saperne di più

Feed RSS dei commenti a questo post. TrackBack URL

Lascia un commento

Seguimi su Google+
Non perdere gli aggiornamenti!

Sono anche su Twitter :)