Arabski malware


(Wojciechrobak) #1

Witam, zarejestrowałem się, gdyż jest to jedyne forum, na którym znalazłem temat dotyczący tego wirusa. Problem mam taki sam, jak autor tekstu więc podłączam się do tematu. Po jakichś 15 minutach system zaczyna jakby spowalniać aż do momentu kiedy już nic nie da się zrobić. Jedyny sposób to przycisk reset. Wcześniej po włączeniu systemu wyskakiwało mi okienko z tekstem "Aby pomóc w ochronie tego komputera system Windows zamknął ten program" i na chwilę znikał pasek Start. Przeskanowałem system Anti-malwarem, wykryło coś takiego C:\CONFIG\S-1-5-21-1482476501-1644491937-682003330-1013\ConfDriver.exe , po drugim skanowaniu udało się usunąć, okienko już nie wyskakuje, ale niestety mimo tego objawy występują nadal. Nie da się nic robić. Proszę o pomoc, bo sam niestety nic na to nie poradzę. Z góry dziękuję i mam nadzieję, że nie będzie problemu, że podłączyłem się pod ten temat.

Log z hijackthis

http://www.wklej.org/id/323875/

Log z Malwarebytes

http://www.wklej.org/id/323889/


(Łukasz) #2

HJT od dawna się nie używa daje krótkie i nie szczegółowe logi, po za tym infekcje nauczyły się ukrywać i ich nie wykryje .

Pobierz OTL : http://oldtimer.geekstogo.com/OTL.exe

Zapisz na pulpit

W OTL przestawiasz Processes i Modules na All oraz wklejasz w dolne białe okienko Custom Scans/Fixes:

Kliknij Run Scan.

Zawartość logów ( otl.txt i extras.txt ) wklej na http://www.wklej.org lub http://www.wklej.to, ale ręcznie kopiuj > wklej z notatnika w pole do wklejania tekstu a w poście daj link.


(Wojciechrobak) #3

Zrobiłem tak, jak napisałeś i oto efekt

http://www.wklej.org/id/324512/

Nie wiem czy nie ma tu udziału proces smss.exe, ledwo udało mi się zrobić skan,

bo już komputer zaczął spowalniać. Dzięki za pomoc!


(jessica) #4

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij "Run Scan".

Pokaż nowy log OTL.txt oraz raport z usuwania.

jessi


(Wojciechrobak) #5

Zrobione wg wskazań

raport z usuwania

http://www.wklej.org/id/324535/

raport po ponownym przeskanowaniu

http://www.wklej.org/id/324538/

Dodam, że po restarcie na pulpicie pokazało się 5 ukrytych plików ~$nazwapliku.doc i ~WRLnazwa pliku.tmp, które zazwyczaj pojawiają się podczas pracy w wordzie. Czy coś jest nie tak? Czy są to jakieś zawieszone procesy, które powinny się zamkną, ale wciąż trwają w ukryciu? To tak powiedziane w uproszczeniu. Worda nie używałem od miesiąca.

---------edit

Zostawiłem włączony komputer na godzinę i jak na razie nic nie spowalnia systemu. Wcześniej czy coś się robiło czy nie to po jakimś czasie komputer całkiem zamierał. Z góry dzięki za dotychczasową pomoc =D>


(jessica) #6

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera.

Nie wiem, co to za folder, u mnie takiego nie ma.

Zajrzyj do niego, co tam jest. Folder jest ukryty.

jessi


(Wojciechrobak) #7

Po reboocie nie wypluł mi loga więc przeskanowałem ponownie

http://www.wklej.org/id/324571/

W tym folderze znajduje się jedynie plik settings.ini, który zajmuje 0kb i wczoraj był modyfikowany, czyli może podczas, któregoś skanu, bo ja nic z tym nie robiłem. Co z nim zrobić? Skasować?


(jessica) #8

W takim razie usuń ten folder, ale tylko do KOSZa - w razie czegoś można go będzie przywrócić, bo nie mam pojęcia, do czego ten folder jest.

Poza tym - czysto.

W OTL kliknij na przycisk "CleanUp" - to go usunie razem z jego Kwarantanną.

Usuń kopie szkodników z folderu "System Volume Information" poprzez chwilowe wyłączenie "Przywracania Systemu":

jessi


(Wojciechrobak) #9

Wszystko zrobione, wygląda na to, że pomogło. Czy teraz mam jeszcze coś sprawdzić, przeskanować? Wielkie dzięki za pomoc. Ten problem naprawdę utrudniał korzystanie z komputera. Bardzo dziękuję! :lol: