Win32/Bamital oraz powolne działanie systemu


(bartek_m0) #1

Witam,

mój kolega poprosił mnie o pozbycie się paru wirusów. Mówił, że po skanie Malwarebytes AntiMalware pojawił się komunikat o usunięciu ~80 wirusów, natomiast po przeskanowaniu skanerem Eset on-line została wykryta infekcja Win32/Bamital. Dotychczas zaobserwowane objawy to:

  • uruchomienie okna Moje Dokumenty po załadowaniu Windows

  • wolna praca systemu

  • internet spowolnił dość znacznie, zdarza się że pobierany plik zatrzyma się na kilkudziesięciu procentach

  • gdy zamknął explorer.exe i wpisał w Plik -> Nowe Zadanie (uruchom) ścieżkę do dowolnego folderu, np. C:\WINDOWS pojawił się następujący komunikat:

http://imageshack.us/photo/my-images/71 ... uuhpp.png/

  • czasami po kilku minutach od włączenia następuje zamrożenie całego systemu - można tylko ruszać myszką

  • w oknie Wyszukaj nie ma nic innego prócz asystenta wyszukiwania (tylko puste pole i piesek)

System Windows XP Professional SP2

Poniżej logi z OTL:

OTL.txt http://wklej.org/id/572964/

Extras.txt http://wklej.org/id/572965/


(Spandau) #2

Krótko mówiąc nie jest dobrze infekcja ta atakuje sobie pliki systemowe bardzo możliwe że trzeba będzie je podmieniać Dlatego proszę użyć Combofixa i podać z niego log na forum Proszę zapoznać się dokładnie z instrukcją obsługi narzędzia http://www.fixitpc.pl/topic/7-dezynfekc ... -combofix/


(bartek_m0) #3

A co zrobić jeżeli komputer zawiesi się podczas działania ComboFix (objaw powyższy - zamrożenie)?


(Spandau) #4

HM jeśli tak się stało to pozostaje reset Możesz również sprawdzić jak to działa w trybie awaryjnym windows.


(bartek_m0) #5

Obawiam się że w trybie awaryjnym problem jest ten sam, można tylko myszą ruszać, nawet zegar systemowy jest zamrożony.


(Spandau) #6

Proszę uruchomić narzędzie jeśli system się zawiesi to resetujesz komputer. Przeczytaj uważnie podaną instrukcje Combofix posiada mechanizm detekcji zainfekowanych plików (oczywiście nie wszystkich plików) jest wstanie podmienić te pliki na czyste ich kopie pod warunkiem że je znajdzie. My chcemy wiedzieć które są zainfekowane Podejrzane są winlogon.exe, explorer.exe itp


(Andrzejswit) #7

Nawet jeśli system jest zawieszony, ComboFix może wciąż pracować. Musisz być cierpliwym. On może w tym czasie coś robić. Np. podmienia plik, którego nie można podmienić normalnymi metodami. Wtedy system się zawiesza, ale nie do końca, bodajże on to zrobi i robi... Albo robi coś innego, coś, co zawiesza system :slight_smile: Ile razy widziałeś program, który miał "Brak odpowiedzi", a po jakimś czasie się odezwał? :wink: Cierpliwości życzę, pozdrawiam.


(bartek_m0) #8

Próbowałem jeszcze w trybie awaryjnym uruchomić, za pierwszym razem po 3h dałem mu spokój, nadal był na skanowaniu plików, teraz uruchomiłem drugi raz i już pół godziny działa bez efektu.


(Spandau) #9

Dobra spróbujemy inaczej Wejdź do konsoli odzyskiwania windows instrukcja http://www.fixitpc.pl/topic/48-konsola- ... e-windows/ podmień pliki explorer.exe oraz winlogon.exe Czyli

expand X:\i386\explorer.ex_ C:\Windows

cd system32

expand X:\i386\winlogon.ex_ C:\Windows\system32

W miejsce X wpisujesz literę pod jaką system wykrywa twój napęd CD/DVD

Zresztą zobacz zakładke Naprawiamy Windows z Konsoli Odzyskiwania:

Następnie spróbuj uruchomić Combofixa


(bartek_m0) #10

Podmieniłem te dwa pliki, mimo że miały te same rozmiary co oryginały, ale bezskutecznie.


(Spandau) #11

Proszę o log z Malwarebytes oraz proszę odpowiedzieć na pytanie gdzie Eset znajdował tą infekcje (w jakim pliku, plikach)