MBR rootkit infection

[Pres-drew]

Salve a tutti ho aspettato 1pò di tempo prima di riprovare a risolvere il problema...quest'estate ho avuto problemi con svchost.exe e grazie all'aiuto di alcuni del forum ho risolto in parte . Avendo anche un pc portatile ho lasciato stare il fisso e ho evitato di formattare. Ora speravo qualcuno mi aiutasse a pulire definitivamente il pc visto che il virus è ancora presente e da solo non saprei da che parte girarmi. La presenza del virus è riscontrabile tramite questo log.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Status check on 28/11/2010 at 15.44.27,42

No HelpAssistant account in User list

~~ Checking mbr ~~

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x89DE31F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x89de31f8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
copy of MBR has been found in sector 0x03A384C41
malicious code @ sector 0x03A384C44 !
PE file found in sector at 0x03A384C5A !
Use "Recovery Console" command "fixmbr" to clear infection !

~~ Checking for termsrv32.dll ~~

termsrv32.dll present!


HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\termservice\parameters
ServiceDll REG_EXPAND_SZ %SystemRoot%\System32\termsrv32.dll

~~ Checking profile list ~~

S-1-5-21-796845957-839522115-725345543-1087
%SystemDrive%\Documents and Settings\HelpAssistant

S-1-5-21-796845957-839522115-725345543-1088
%SystemDrive%\Documents and Settings\HelpAssistant

S-1-5-21-796845957-839522115-725345543-1089
%SystemDrive%\Documents and Settings\HelpAssistant

S-1-5-21-796845957-839522115-725345543-1090
%SystemDrive%\Documents and Settings\HelpAssistant

S-1-5-21-796845957-839522115-725345543-1091
%SystemDrive%\Documents and Settings\HelpAssistant.PC-E6DB5C5D0E48

~~ Checking for HelpAssistant directories ~~

none found

[alberto_summers]

ok inserisci il cd di installazione di windows, vai sulla modalità ripristino, e dal prompt dei comandi digiti fixmbr

occhio che il virus non si sia esteso troppo, rischi di trovarti col pc inutilizzabile

[Pres-drew]

Ok grazie per aver risposto ora vado alla ricerca del cd.
Il problema mi pare di capire che sia piuttosto grave, bene.

Ah sul pc sono presenti due cartelle System Volume Information una su C e l'altra su E, mm.
All'interno sembrano uguali, ma aprendo il documento di testo tracking risultano esserci scritte cose differenti. Pensi centri qualcosa il virus? (la cartella su E si è creata quest'estate)

[alberto_summers]

no be' senza esagerare, in genere windows ricostruisce la tua mbr ad hoc per il pc in questione

se invece vuoi sapere cosa fa il virus, purtroppo non si può sapere da qui, ma se vuoi ripulirlo da diffusioni impreviste, prova con un live cd linux oppure quelli di norton e simili che non richiedono di operare da windows