Reset explorer.exe co chwilę, chyba wirus kryptik


(Ciasek) #1

Witam i mam gorącą prośbę o pomoc. Problem dotyczy komputera mojego przyjaciela, który z powodu wirusa nie może działać na swoim komputerze, dlatego piszę w jego imieniu.

Objawy są następujące:

  • "program eksplorator Windows przestał działać" - taki komunikat wyskakuje co chwilę, explorer.exe resetuje się.

  • wirus podmienia adresy internetowe podczas przeglądania www w Firefoxie i IE 8

  • wirus powoduje błędy w/w programów, praktycznie nie ma możliwości przeglądania stron bo od razu wyskakuje informacja, że wystąpił błąd i program zostanie zamknięty

  • uniemożliwia sprawne działanie antywirusa, Kaspersky nie chce się zainstalować, odczucie jest takie, że wirus blokuje antywirusy

  • Eset/NOD Antyvirus wykrył trojana, który był nazwany kryptik.ane. Jako zainfekowane podał takie pliki: kbiwkmxumwqynm.sys oraz kbiwkmksnyexho.dll. Program jednak nie był w stanie ich usunąć ani uleczyć. W tej chwili program ten nie działa, wyskakuje błąd jądra.

  • nie da się otworzyć menadżera zadań, okienko po prostu nie wyskakuje

  • procesor jest bardzo obciążony, wentylator wciąż działa na maxa

  • wirus przyplątał się podczas połączenia z siecią bezprzewodową, może to ma jakieś znaczenie, nie wiem

To chyba wszystkie objawy.

Oto log z hijackthis: http://www.wklejto.pl/43388

Dodam, że zainfekowany komputer ma zepsuty napęd, dlatego pokonanie tego wirusa jest szczególnie ważne, gdyż reinstalka systemu nie jest możliwa.

Dziękuję z góry ekspertom za pomoc


(jessica) #2

Tego się nie da usunąć na podstawie logu Hijacka - Hijack w ogóle tego nie potrafi dostrzec.

Daj log z OTL oraz log z ComboFix

Od razu przy ściąganiu ComboFixa zapisz go pod jakąś inną nazwą (np. "dobry.com").

jessi


(Ciasek) #3

Oto logi z

OTL: http://www.wklejto.pl/43404

Combofix: http://www.wklejto.pl/43405

Na zainfekownaym komputerze zostaly usunięte z autostartu jakies programy, i sytuacja sie troszeczke uspokoiła, jednak nadal problem istnieje!!

Dziękuję za pomoc, naprawdę jest to dla mnie bardzo cenne, że tu zawsze mogę zwrócić się z problemem i nie zawiodę się!


(jessica) #4
:OTL

PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)

O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - Reg Error: Value error. File not found

O2 - BHO: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.

O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.

O3 - HKU\S-1-5-21-1079493529-3150005548-1059696978-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.

O4 - HKU\S-1-5-21-1079493529-3150005548-1059696978-1000..\Run: [calc] C:\Użytkownicy\Paweł\ntuser.dll File not found


:Files

C:\Program Files\Common Files\onowoqymof._sy


:Commands

[emptytemp]

[start explorer]

[Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera.

Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.

Pokaż nowy log OTL.txt oraz log z czyszczenia.

Nie wiem, co to jest, są w logu OTL oznaczone jako "Microsoft", a nie jako "Microsoft Corporation". Poza tym "calc.dll" i ntuser.dll" mają identyczny rozmiar i jednakowe atrybuty *hidden*. Dla mnie to jest podejrzane.

Sprawdź je na --> JOTTI/

albo na VIRUSTOTAL.

albo na VIRSCAN

jessi


(Ciasek) #5

Chłopak mówi, że po włączeniu komputera wyskakuje błąd podczas ładowania: C:\Windows\SERVIC~2\LOCALS~1\ntuser.dll i odmowa dostępu, ponadto nie działa eksplorator windows, nic nie działa na pulpicie i jedyne co może robić to wejść w tryb awaryjny. Co teraz?? Miałaś rację, że ten ntuser.dll jest podejrzany!


(jessica) #6

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

:OTL

PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)

O4 - HKLM..\Run: [calc] C:\Windows\System32\calc.DLL (Microsoft)

O4 - HKU\.DEFAULT..\Run: [calc] C:\Windows\System32\config\systemprofile\ntuser.dll (Microsoft)

O4 - HKU\S-1-5-18..\Run: [calc] C:\Windows\System32\config\systemprofile\ntuser.dll (Microsoft)

O4 - HKU\S-1-5-21-1079493529-3150005548-1059696978-1000..\Run: [calc] C:\Użytkownicy\Paweł\ntuser.dll File not found

O4 - HKU\S-1-5-21-1079493529-3150005548-1059696978-1000..\Run: [DLD.EXE] File not found


:Files

C:\Windows\system32\calc.dll

C:\Windows\system32\config\systemprofile\ntuser.dll

C:\Windows\cinoq.com


:Commands

[emptytemp]

[start explorer]

[Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera.

Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.

Pokaż nowy log OTL.txt oraz log z czyszczenia.

jessi


(Ciasek) #7

Log z czyszczenia i z Run scan. Wygląda na to że trochę się poprawiło

http://www.wklejto.pl/43423

http://www.wklejto.pl/43424

Chciałabym jeszcze zwrócić uwagę na dwie rzeczy. Obrazek przedstawia dwa problemy:

po 1. problem, który występuje z Kasperskim. Podczas próby uruchomienia pasek postępu zatrzymuje się w tym miejscu, w którym widać, i nie rusza się już ani na milimetr. Pozostaje tylko program wyłączyć.

po 2. procesor jest cały czas na 100%, połowa zajęta przez Kasperskiego, mimo, że program nie jest włączony (nie da się procesu wyłączyć), druga połowa przez svchost.

Podejrzewamy, że oba te aspekty mają związek z wirusem.

http://www.fotosik.pl/pokaz_obrazek/7f2 ... 8675b.html


(Ptrk95) #8

W OTL w Custom Scan/Fixes:

I klikasz Run Fix.

Pliki:

Przeskanuj na http://www.virustotal.com/pl/ . Scandisk.dll jest ukryty.


(Henio Mazurek) #9

Kolejny. Tego się nie usuwa.


(Ciasek) #10

To w końcu co mam zrobic? Czarnowidzu, co mam wpisać w tym OTLu??

Teraz najwiekszym problemem jest niebieski ekran. Pojawia sie niespodziewanie praktycznie co kilka minut.


(Henio Mazurek) #11

Tutaj była/jest pochodna rootkita TDSSServ (bsody to może być też jego sprawka).

Dlatego zastosuj się do monitu programu

I uruchom ComboFix jeszcze raz. Wklej log, dodaj logi z GMER i System Repair Engineer