Witam i mam gorącą prośbę o pomoc. Problem dotyczy komputera mojego przyjaciela, który z powodu wirusa nie może działać na swoim komputerze, dlatego piszę w jego imieniu.
Objawy są następujące:
“program eksplorator Windows przestał działać” - taki komunikat wyskakuje co chwilę, explorer.exe resetuje się.
wirus podmienia adresy internetowe podczas przeglądania www w Firefoxie i IE 8
wirus powoduje błędy w/w programów, praktycznie nie ma możliwości przeglądania stron bo od razu wyskakuje informacja, że wystąpił błąd i program zostanie zamknięty
uniemożliwia sprawne działanie antywirusa, Kaspersky nie chce się zainstalować, odczucie jest takie, że wirus blokuje antywirusy
Eset/NOD Antyvirus wykrył trojana, który był nazwany kryptik.ane. Jako zainfekowane podał takie pliki: kbiwkmxumwqynm.sys oraz kbiwkmksnyexho.dll. Program jednak nie był w stanie ich usunąć ani uleczyć. W tej chwili program ten nie działa, wyskakuje błąd jądra.
nie da się otworzyć menadżera zadań, okienko po prostu nie wyskakuje
procesor jest bardzo obciążony, wentylator wciąż działa na maxa
wirus przyplątał się podczas połączenia z siecią bezprzewodową, może to ma jakieś znaczenie, nie wiem
:OTL
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - Reg Error: Value error. File not found
O2 - BHO: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-21-1079493529-3150005548-1059696978-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKU\S-1-5-21-1079493529-3150005548-1059696978-1000..\Run: [calc] C:\Użytkownicy\Paweł\ntuser.dll File not found
:Files
C:\Program Files\Common Files\onowoqymof._sy
:Commands
[emptytemp]
[start explorer]
[Reboot]
Kliknij w Run Fix. Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.
Pokaż nowy log OTL.txt oraz log z czyszczenia.
Nie wiem, co to jest, są w logu OTL oznaczone jako “Microsoft”, a nie jako “Microsoft Corporation”. Poza tym “calc.dll” i ntuser.dll" mają identyczny rozmiar i jednakowe atrybuty *hidden*. Dla mnie to jest podejrzane.
Chłopak mówi, że po włączeniu komputera wyskakuje błąd podczas ładowania: C:\Windows\SERVIC~2\LOCALS~1\ntuser.dll i odmowa dostępu, ponadto nie działa eksplorator windows, nic nie działa na pulpicie i jedyne co może robić to wejść w tryb awaryjny. Co teraz?? Miałaś rację, że ten ntuser.dll jest podejrzany!
Chciałabym jeszcze zwrócić uwagę na dwie rzeczy. Obrazek przedstawia dwa problemy:
po 1. problem, który występuje z Kasperskim. Podczas próby uruchomienia pasek postępu zatrzymuje się w tym miejscu, w którym widać, i nie rusza się już ani na milimetr. Pozostaje tylko program wyłączyć.
po 2. procesor jest cały czas na 100%, połowa zajęta przez Kasperskiego, mimo, że program nie jest włączony (nie da się procesu wyłączyć), druga połowa przez svchost.
Podejrzewamy, że oba te aspekty mają związek z wirusem.