Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
komputer zamula sie i zawiesza
10 Wrz 2011, 19:16
hej. komputer sie wiesza, zamula... i chyba jest jakis wirus bo pelno czworek "4" wpisuje sie samo.
daje logi : OTL: http://wklej.eu/index.php?id=d16f9641e8
Extras: http://wklej.eu/index.php?id=3612659f0b
bede wdziecna jak pomozecie mi dzis
log tdss killer: http://wklej.eu/index.php?id=b0a75662c4
zaraz podam jeszcze z gmer:)
daje logi : OTL: http://wklej.eu/index.php?id=d16f9641e8
Extras: http://wklej.eu/index.php?id=3612659f0b
bede wdziecna jak pomozecie mi dzis
log tdss killer: http://wklej.eu/index.php?id=b0a75662c4
zaraz podam jeszcze z gmer:)
Re: zamula sie zawiesza
10 Wrz 2011, 19:42
Przeskanuj plik 
C:\WINDOWS\system32\V0540Ext.ax na http://www.virustotal.com/, bo plik o podobnej nazwie jest plikiem kamerki internetowej. A ten plik wygląda mi na odmianę wirusa podszywającego się pod sprzęt Creavtive`a.
Odinstaluj zbędny McAfee Security Scan Plus i Winamp Toolbar.
Następnie uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:
Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.
C:\WINDOWS\system32\V0540Ext.ax na http://www.virustotal.com/, bo plik o podobnej nazwie jest plikiem kamerki internetowej. A ten plik wygląda mi na odmianę wirusa podszywającego się pod sprzęt Creavtive`a.Odinstaluj zbędny
McAfee Security Scan Plus i Winamp Toolbar.Następnie uruchom OTL
w oknie Własne opcje skanowania/skrypt wklej::OTL
IE - HKLM\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - Reg Error: Key error. File not found
FF - prefs.js..browser.search.defaulturl: "http://search.winamp.com/search/search?query={searchTerms}&invocationType=tb50-ff-winamp-chromesbox-en-us&tb_uuid=20110709150205578&tb_oid=09-07-2011&tb_mrud=09-07-2011&query="
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
[2011-07-09 17:08:22 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Documents and Settings\admin\Dane aplikacji\Mozilla\Firefox\Profiles\rffy5rib.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}
[2011-07-09 20:27:15 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\admin\Dane aplikacji\Mozilla\Firefox\Profiles\rffy5rib.default\extensions\[email protected]
[2011-07-09 17:17:40 | 000,002,354 | ---- | M] () -- C:\Documents and Settings\admin\Dane aplikacji\Mozilla\Firefox\Profiles\rffy5rib.default\searchplugins\aol-web-search.xml
O4 - HKU\S-1-5-21-1454471165-1897051121-839522115-1004..\Run: [PCSpeedUp] File not found
[2011-09-10 19:16:16 | 000,000,462 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{0D2FA50F-3F89-4556-B0A3-3746C4F55D03}.job
[2011-09-10 18:39:52 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2011-09-10 18:27:05 | 000,001,080 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1454471165-1897051121-839522115-1004Core.job
[2011-09-10 18:27:04 | 000,001,132 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1454471165-1897051121-839522115-1004UA.job
[2011-09-08 19:09:07 | 000,000,284 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
:Files
C:\Documents and Settings\admin\Menu Start\Programy\Autostart\OpenOffice.org 3.2.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\McAfee Security Scan Plus.lnk
C:\Documents and Settings\admin\Dane aplikacji\Babylon
C:\Documents and Settings\admin\Dane aplikacji\OpenCandy
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Easy-PrintToolBox"=-
"NeroFilterCheck"=-
"SoundMan"=-
"StartCCC"=-
[HKEY_USERS\S-1-5-21-1454471165-1897051121-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run]
"ares"=-
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=-
:Commands
[clearallrestorepoints]
[emptytemp]
Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.
Re: zamula sie zawiesza
10 Wrz 2011, 20:12
to z tej strony :
log z usuwania : http://wklej.eu/index.php?id=516e3eb987
log otl: http://wklej.eu/index.php?id=cb34138552
extras: http://wklej.eu/index.php?id=b425286b62
- Kod:
[File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:
MD5: 8962ddbed3adbbd627d35615f4dc333d
Date first seen: 2009-05-20 02:05:44 (UTC)
Date last seen: 2011-09-10 17:45:47 (UTC)
Detection ratio: 0/43
What do you wish to do?
tu to drugie
[code]0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name:
V0540Ext.ax
Submission date:
2011-09-10 17:45:47 (UTC)
Current status:
finished
Result:
0 /43 (0.0%)
VT Community
not reviewed
Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.09.10.00 2011.09.10 -
AntiVir 7.11.14.161 2011.09.09 -
Antiy-AVL 2.0.3.7 2011.09.10 -
Avast 4.8.1351.0 2011.09.09 -
Avast5 5.0.677.0 2011.09.09 -
AVG 10.0.0.1190 2011.09.10 -
BitDefender 7.2 2011.09.10 -
ByteHero 1.0.0.1 2011.09.08 -
CAT-QuickHeal 11.00 2011.09.10 -
ClamAV 0.97.0.0 2011.09.10 -
Commtouch 5.3.2.6 2011.09.10 -
Comodo 10064 2011.09.10 -
Emsisoft 5.1.0.11 2011.09.10 -
eSafe 7.0.17.0 2011.09.07 -
eTrust-Vet 36.1.8550 2011.09.10 -
F-Prot 4.6.2.117 2011.09.10 -
F-Secure 9.0.16440.0 2011.09.10 -
Fortinet 4.3.370.0 2011.09.10 -
GData 22 2011.09.10 -
Ikarus T3.1.1.107.0 2011.09.10 -
Jiangmin 13.0.900 2011.09.10 -
K7AntiVirus 9.112.5114 2011.09.09 -
Kaspersky 9.0.0.837 2011.09.10 -
McAfee 5.400.0.1158 2011.09.10 -
McAfee-GW-Edition 2010.1D 2011.09.10 -
Microsoft 1.7604 2011.09.10 -
NOD32 6452 2011.09.10 -
Norman 6.07.11 2011.09.09 -
nProtect 2011-09-10.01 2011.09.10 -
Panda 10.0.3.5 2011.09.10 -
PCTools 8.0.0.5 2011.09.10 -
Prevx 3.0 2011.09.10 -
Rising 23.74.03.03 2011.09.09 -
Sophos 4.69.0 2011.09.10 -
SUPERAntiSpyware 4.40.0.1006 2011.09.10 -
Symantec 20111.2.0.82 2011.09.10 -
TheHacker 6.7.0.1.293 2011.09.10 -
TrendMicro 9.500.0.1008 2011.09.09 -
TrendMicro-HouseCall 9.500.0.1008 2011.09.10 -
VBA32 3.12.16.4 2011.09.09 -
VIPRE 10433 2011.09.10 -
ViRobot 2011.9.10.4666 2011.09.10 -
VirusBuster 14.0.206.1 2011.09.10 -
Additional information
Show all
MD5 : 8962ddbed3adbbd627d35615f4dc333d
SHA1 : 2806051431a63b998226eaaa4e52d3dc191f5fa8
SHA256: 5a305e45fe8c2404808515164442dfb8132e8326ee4ccff225b8c398d241142c
ssdeep: 3072:geU2D/Db6COEPsYlkdkKJ9YNIlmbhUEm:N7KqSV9vAiE
File size : 114688 bytes
First seen: 2009-05-20 02:05:44
Last seen : 2011-09-10 17:45:47
Magic: PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bit
TrID:
DirectShow filter (90.9%)
Win32 Executable Generic (3.8%)
Win32 Dynamic Link Library (generic) (3.4%)
Generic Win/DOS Executable (0.9%)
DOS Executable Generic (0.9%)
sigcheck:
publisher....: Creative Technology Ltd.
copyright....: Copyright (c) Creative Technology Ltd., 2008
product......: n/a
description..: DirectShow/VFW Extension property page
original name: V0540Ext.ax
internal name: n/a
file version.: 1.00.03.00
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEiD: -
PEInfo: PE structure information
[[ basic data ]]
entrypointaddress: 0x1AA0
timedatestamp....: 0x47D90DE8 (Thu Mar 13 11:20:08 2008)
machinetype......: 0x14C (Intel I386)
[[ 5 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0xDBFE, 0xE000, 6.28, 05370939f9dc94e6a5ebb316c1225e6e
.rdata, 0xF000, 0x1AEE, 0x2000, 4.92, b333c0325f16fb783f86e5d312389e45
.data, 0x11000, 0x7934, 0x8000, 5.87, 58ea6dd2e0ed63ee22a90857e8a372a6
.rsrc, 0x19000, 0x330, 0x1000, 0.87, de3cd7b7c72934f0eecdb5cf42bb3765
.reloc, 0x1A000, 0x1CAA, 0x2000, 4.0, 57e71bdcce1854db47618b18fdf70de5
[[ 10 import(s) ]]
advapi32.dll: RegDeleteKeyA, RegEnumKeyExA, RegOpenKeyExA, RegQueryValueExA, RegQueryInfoKeyA, RegCreateKeyExA, RegDeleteValueA, RegCreateKeyA, RegSetValueA, RegSetValueExA, RegCloseKey
comctl32.dll: InitCommonControlsEx, CreatePropertySheetPageA
gdi32.dll: DeleteObject, GetTextMetricsA
kernel32.dll: HeapFree, HeapAlloc, GetProcessHeap, Sleep, CreateFileA, GetFullPathNameA, lstrcmpA, MulDiv, LockResource, CreateEventA, CloseHandle, InterlockedDecrement, InterlockedIncrement, LoadResource, FindResourceA, WideCharToMultiByte, lstrcpyA, GetModuleFileNameA, GetLastError, MultiByteToWideChar, DisableThreadLibraryCalls, GetVersionExA, GetSystemDirectoryA, lstrlenA, lstrcatA, lstrcmpiA, LoadLibraryA, FreeLibrary, WaitForSingleObject, IsBadWritePtr, OutputDebugStringA, IsBadStringPtrA, IsBadCodePtr, FindResourceExA
ksproxy.ax: KsSynchronousDeviceControl
msvcrt.dll: strtok, atoi, _purecall, __2@YAPAXI@Z, __3@YAXPAX@Z, __CxxFrameHandler, _stricmp, _beginthread, _endthread, strncpy, sprintf
ole32.dll: StringFromGUID2, CoFreeUnusedLibraries, CoUninitialize, CoCreateInstance, CoTaskMemFree, CoInitialize, CoTaskMemAlloc
setupapi.dll: SetupDiGetDeviceRegistryPropertyA, SetupDiOpenDeviceInterfaceRegKey, SetupDiEnumDeviceInfo, SetupDiEnumDeviceInterfaces, SetupDiDestroyDeviceInfoList, SetupDiGetClassDevsA, SetupDiGetDeviceInterfaceDetailA
shlwapi.dll: SHDeleteKeyA
user32.dll: LoadStringA, CreateDialogParamA, CreateDialogIndirectParamA, SetDlgItemTextA, MessageBoxA, EnableWindow, SetWindowTextA, SetDlgItemInt, IsWindowEnabled, GetDlgItem, BroadcastSystemMessage, GetForegroundWindow, SetTimer, GetDialogBaseUnits, KillTimer, wvsprintfA, GetDC, ReleaseDC, GetParent, SendMessageA, RegisterWindowMessageA, GetDesktopWindow, GetWindowRect, wsprintfA, DestroyWindow, ShowWindow, InvalidateRect, MoveWindow, GetAsyncKeyState, GetCursorPos, ScreenToClient, ChildWindowFromPointEx, LoadImageA, GetDlgCtrlID, GetFocus, GetNextDlgTabItem, SetFocus, SetWindowLongA, GetWindowLongA
[[ 5 export(s) ]]
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer, VFWWDMExtension
Androguard:
-
ExifTool:
-
VT Community
0
This file has never been reviewed by any VT Community member. Be the first one to comment on it!
VirusTotal Team
log z usuwania : http://wklej.eu/index.php?id=516e3eb987
log otl: http://wklej.eu/index.php?id=cb34138552
extras: http://wklej.eu/index.php?id=b425286b62
Re: zamula sie zawiesza
10 Wrz 2011, 20:21
Tamten plik jest w porządku 
. Chciałbym Cię poinformować, że usunąłem z autostartu program Ares, bo nie jest potrzebny do działania w tle. Jeśli chcesz pobierać Nim to po prostu Go uruchom lub wrzuć go ponownie do autostartu.
Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:
Klikasz Wykonaj skrypt. Dajesz log z usuwania. W OTL Sprzątanie.
Przeczyść dysk i rejestr CCleaner`em https://www.instalki.pl/download/programy/windows/narzedzia/narzedzia-systemowe/ccleaner/.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware https://www.instalki.pl/download/programy/windows/bezpieczenstwo/antyspyware/malwarebytes/, jeśli coś znajdzie usuń i daj raport.
Odinstaluj starą wersję programu do odczytu .PDF Adobe Reader 9.4.5 - Polish i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... eader.html.
Odinstaluj starą wersję Java`y Java(TM) 6 Update 22 i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... %29_6.html.
Zaktualizuj Firefoksa do najnowszej wersji (Firefox Pomoc Sprawdź dostępność aktualizacji..).
Po wykonaniu wszystkich kroków napisz, jak wygląda sytuacja (czy są jakieś problemy). Jeśli nadal pisze się ta czwórka to sprawdź, jak wygląda sytuacja na innej klawiaturze.
. Chciałbym Cię poinformować, że usunąłem z autostartu program Ares, bo nie jest potrzebny do działania w tle. Jeśli chcesz pobierać Nim to po prostu Go uruchom lub wrzuć go ponownie do autostartu.Uruchom OTL
w oknie Własne opcje skanowania/skrypt wklej::OTL
IE - HKU\S-1-5-21-1454471165-1897051121-839522115-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?babsrc=HP_ss ... 8499169916
O4 - HKLM..\Run: [WinampAgent] File not found
[2011-09-10 20:02:10 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
:Files
C:\Documents and Settings\LocalService\Dane aplikacji\McAfee
C:\Documents and Settings\All Users\Dane aplikacji\McAfee
:Commands
[clearallrestorepoints]
[emptytemp]
Klikasz Wykonaj skrypt. Dajesz log z usuwania. W OTL
Sprzątanie.Przeczyść dysk i rejestr CCleaner`em
https://www.instalki.pl/download/programy/windows/narzedzia/narzedzia-systemowe/ccleaner/.Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware
https://www.instalki.pl/download/programy/windows/bezpieczenstwo/antyspyware/malwarebytes/, jeśli coś znajdzie usuń i daj raport.Odinstaluj starą wersję programu do odczytu .PDF
Adobe Reader 9.4.5 - Polish i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... eader.html. Odinstaluj starą wersję Java`y
Java(TM) 6 Update 22 i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... %29_6.html.Zaktualizuj Firefoksa do najnowszej wersji (Firefox
Pomoc Sprawdź dostępność aktualizacji..).Po wykonaniu wszystkich kroków napisz, jak wygląda sytuacja (czy są jakieś problemy). Jeśli nadal pisze się ta czwórka to sprawdź, jak wygląda sytuacja na innej klawiaturze.