Win32:SQLSlammer problem


(system) #1

mam problem z wirusem Win32:SQLSlammer zaczął mi coś robić z explorerem (komunikaty w przeglądarce że nie moge oglądac strony - niemal każdej np google, interia itp) jak usunąc tego syfa

log z hijackthis

http://wklejto.pl/18486

tak błąd wcześniej dużo razy wyskakiwał

błagam pomocy jest coraz gorzej!


(huber2t) #2

Podaj log z Combofix


(system) #3

oto on

ComboFix 08-12-12.05 - Administrator 2008-12-13 20:43:14.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.1023.490 [GMT 1:00]

Uruchomiony z: d:\programy\ComboFix.exe

* Utworzono nowy punkt przywracania

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA!!

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\autorun.inf

c:\windows\IE4 Error Log.txt

c:\windows\system32\setup.ini

D:\Autorun.inf

.

((((((((((((((((((((((((( Pliki utworzone od 2008-11-13 do 2008-12-13 )))))))))))))))))))))))))))))))

.

2008-12-12 16:14 . 2008-12-12 16:14 32,200 --a------ c:\windows\system32\drivers\HookCentre.sys

2008-12-12 16:13 . 2008-12-12 16:13

2008-12-12 16:13 . 2008-12-12 16:13 41,928 --a------ c:\windows\system32\drivers\GDTdiIcpt.sys

2008-12-12 16:13 . 2008-12-12 16:13 19,328 --a------ c:\windows\system32\drivers\GDNdisIc.sys

2008-12-12 16:11 . 2008-12-12 16:13

2008-12-10 15:43 . 2008-12-10 15:46

2008-12-08 15:45 . 2008-12-08 15:53

2008-11-25 22:31 . 2008-11-25 22:31

2008-11-25 19:10 . 2008-12-10 16:26 183,112 --a------ c:\windows\system32\PnkBstrB.exe

2008-11-25 19:10 . 2008-12-10 16:27 138,184 --a------ c:\windows\system32\drivers\PnkBstrK.sys

2008-11-25 19:10 . 2008-11-25 22:44 66,872 --a------ c:\windows\system32\PnkBstrA.exe

2008-11-25 19:01 . 2008-11-25 19:01

2008-11-25 18:52 . 2007-10-12 15:14 3,734,536 --a------ c:\windows\system32\d3dx9_36.dll

2008-11-25 18:52 . 2008-03-05 15:56 1,420,824 --a------ c:\windows\system32\D3DCompiler_37.dll

2008-11-25 18:52 . 2007-10-12 15:14 1,374,232 --a------ c:\windows\system32\D3DCompiler_36.dll

2008-11-25 18:52 . 2008-03-05 16:03 479,752 --a------ c:\windows\system32\XAudio2_0.dll

2008-11-25 18:52 . 2008-02-05 23:07 462,864 --a------ c:\windows\system32\d3dx10_37.dll

2008-11-25 18:52 . 2007-10-02 09:56 444,776 --a------ c:\windows\system32\d3dx10_36.dll

2008-11-25 18:52 . 2007-10-22 03:39 267,272 --a------ c:\windows\system32\xactengine2_10.dll

2008-11-25 18:52 . 2008-03-05 16:03 238,088 --a------ c:\windows\system32\xactengine3_0.dll

2008-11-25 18:52 . 2008-03-05 16:00 25,608 --a------ c:\windows\system32\X3DAudio1_3.dll

2008-11-25 10:00 . 2008-12-07 16:41

2008-11-25 10:00 . 2008-11-25 10:00

2008-11-25 09:59 . 2008-12-07 16:43

2008-11-18 14:21 . 2004-08-04 00:44 221,184 --a------ c:\windows\system32\wmpns.dll

2008-11-17 19:49 . 2008-11-26 16:18

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-12-13 19:37 --------- d-----w c:\program files\neostrada tp

2008-12-12 20:02 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\AntiVir PersonalEdition Classic

2008-12-11 17:48 --------- d--h--w c:\program files\InstallShield Installation Information

2008-12-09 20:10 --------- d---a-w c:\documents and settings\All Users\Dane aplikacji\TEMP

2008-12-08 16:00 --------- d-----w c:\program files\EA GAMES

2008-12-05 19:39 --------- d-----w c:\program files\Google

2008-11-27 18:05 --------- d-----w c:\program files\Common Files\Adobe

2008-11-26 18:59 2,827 ----a-w C:\drmHeader.bin

2008-11-20 14:34 --------- d-----w c:\documents and settings\Administrator\Dane aplikacji\Nowe Gadu-Gadu

2008-10-31 11:48 --------- d-----w c:\documents and settings\Administrator\Dane aplikacji\THQ

2008-10-25 14:06 --------- d-----w c:\program files\Sun

2008-10-25 14:06 --------- d-----w c:\program files\Java

2008-10-12 13:02 6,706 ----a-w c:\windows\system32\ealregsnapshot1.reg

2008-10-11 17:15 219,648 ----a-w c:\windows\system32\uxtheme.dll

2008-10-09 16:55 107,888 ----a-w c:\windows\system32\CmdLineExt.dll

2008-10-02 23:46 81,920 ----a-w c:\windows\system32\frapsvid.dll

2008-09-16 00:14 524,288 ----a-w c:\windows\system32\DivXsm.exe

2008-09-16 00:14 3,596,288 ----a-w c:\windows\system32\qt-dx331.dll

2008-09-16 00:14 129,784 ------w c:\windows\system32\pxafs.dll

2008-09-16 00:14 120,056 ------w c:\windows\system32\pxcpyi64.exe

2008-09-16 00:14 118,520 ------w c:\windows\system32\pxinsi64.exe

2008-09-16 00:12 81,920 ----a-w c:\windows\system32\dpl100.dll

2008-09-16 00:12 593,920 ----a-w c:\windows\system32\dpuGUI11.dll

2008-09-16 00:12 57,344 ----a-w c:\windows\system32\dpv11.dll

2008-09-16 00:12 53,248 ----a-w c:\windows\system32\dpuGUI10.dll

2008-09-16 00:12 344,064 ----a-w c:\windows\system32\dpus11.dll

2008-09-16 00:12 294,912 ----a-w c:\windows\system32\dpu11.dll

2008-09-16 00:12 294,912 ----a-w c:\windows\system32\dpu10.dll

2008-09-16 00:12 200,704 ----a-w c:\windows\system32\ssldivx.dll

2008-09-16 00:12 196,608 ----a-w c:\windows\system32\dtu100.dll

2008-09-16 00:12 1,044,480 ----a-w c:\windows\system32\libdivx.dll

2008-09-16 00:11 823,296 ----a-w c:\windows\system32\divx_xx0c.dll

2008-09-16 00:11 823,296 ----a-w c:\windows\system32\divx_xx07.dll

2008-09-16 00:11 815,104 ----a-w c:\windows\system32\divx_xx0a.dll

2008-09-16 00:11 802,816 ----a-w c:\windows\system32\divx_xx11.dll

2008-09-16 00:11 683,520 ----a-w c:\windows\system32\DivX.dll

2008-09-16 00:11 161,096 ----a-w c:\windows\system32\DivXCodecVersionChecker.exe

2008-09-16 00:11 12,288 ----a-w c:\windows\system32\DivXWMPExtType.dll

2008-03-19 15:18 1 ----a-w c:\documents and settings\Administrator\Dane aplikacji\bin.dll

1990-01-01 01:01 40,960 --sh--r c:\windows\system32\midadDrv.dll

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"= "c:\program files\Winamp Toolbar\winamptb.dll" [2008-07-16 1266992]

[HKEY_CLASSES_ROOT\clsid{57bca5fa-5dbb-45a2-b558-1755c3f6253b}]

[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1]

[HKEY_CLASSES_ROOT\TypeLib{538CD77C-BFDD-49b0-9562-77419CAB89D1}]

[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

"NBJ"="d:\programy\Nero\Nero BackItUp\NBJ.exe" [2005-10-11 1961984]

"PcSync"="d:\programy\Nokia PC Suite 6\PcSync2.exe" [2006-04-11 1409024]

"NoAds"="d:\programy\NoAds 2006.07.28\NoAds.exe" [2008-12-02 151552]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-12-05 39408]

"Nowe Gadu-Gadu"="d:\programy\GG New\Nowe Gadu-Gadu\gg.exe" [2008-11-21 6890088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Gainward"="c:\program files\VDOTool\TBPanel.exe" [2007-04-23 2165536]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-04-12 8429568]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-04-12 81920]

"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-10-15 196608]

"avgnt"="c:\program files\AntiVir PersonalEdition Classic\avgnt.exe" [2006-08-21 241704]

"DAEMON Tools"="d:\programy\DAEMON Tools\daemon.exe" [2006-09-14 157592]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2006-01-12 155648]

"PCSuiteTrayApplication"="d:\programy\NOKIAP~1\LAUNCH~1.EXE" [2006-04-26 237568]

"MULTIMEDIA KEYBOARD"="c:\program files\Netropa\Multimedia Keyboard\MMKeybd.exe" [2002-12-20 167936]

"WOOWATCH"="c:\progra~1\NEOSTR~1\Watch.exe" [2004-08-23 20480]

"WinampAgent"="d:\programy\Winamp\winampa.exe" [2008-08-04 36352]

"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

"ISUSPM"="c:\program files\Common Files\InstallShield\UpdateService\isuspm.exe" [2006-05-16 213936]

"GDFirewallTray"="d:\programy\G DATA antivirus\Firewall\GDFirewallTray.exe" [2008-02-07 1193648]

"AVKTray"="d:\programy\G DATA antivirus\AVKTray\AVKTray.exe" [2008-03-04 603720]

"nwiz"="nwiz.exe" [2007-04-12 c:\windows\system32\nwiz.exe]

"RTHDCPL"="RTHDCPL.EXE" [2008-05-07 c:\windows\RTHDCPL.exe]

"Alcmtr"="ALCMTR.EXE" [2005-05-03 c:\windows\Alcmtr.exe]

"AdslTaskBar"="stmctrl.dll" [2006-06-02 c:\windows\system32\stmctrl.dll]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\documents and settings\All Users\Menu Start\Programy\Autostart\

Adobe Reader Speed Launch.lnk - d:\programy\Adobe\Reader\reader_sl.exe [2005-09-24 29696]

Fantastic Flame Agent.lnk - d:\programy\Flame\Fantastic Flame Screensaver\FantasticFlameAgent.exe [2006-05-11 22528]

G DATA Firewall Tray.lnk - d:\programy\G DATA antivirus\Firewall\GDFirewallTray.exe [2008-12-12 1193648]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{AECB0BE8-833C-91D2-8901-3A81E135D25A}"= "c:\windows\system32\midadDrv.dll" [1990-01-01 40960]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\system32\sessmgr.exe"=

"g:\CRACK\FIFA08.EXE"=

"d:\Gadu-Gadu\gg.exe"=

"d:\Gry\NFS Carbon\nfsc.exe"=

"c:\Program Files\Electronic Arts\EADM\Core.exe"=

"d:\Programy\GG New\Nowe Gadu-Gadu\gg.exe"=

"d:\Gry\FIFA 09\FIFA09.exe"=

"d:\Gry\THQ\Juiced2_HIN\Juiced2_HIN.exe"=

R0 GDNdisIc;GDNdisIc;c:\windows\system32\drivers\GDNdisIc.sys [2008-12-12 19328]

R1 msikbd2k;Multimedia Keyboard Filter Driver;c:\windows\system32\DRIVERS\msikbd2k.sys [2008-05-09 6656]

R2 AVKProxy;G DATA AntiVirus Proxy;"c:\program files\Common Files\G DATA\AVKProxy\AVKProxy.exe" [2008-12-12 718408]

R2 AVKService;G DATA Scheduler;d:\programy\G DATA antivirus\AVK\AVKService.exe [2008-12-12 427592]

R2 AVKWCtl;Strażnik AntiVirus;d:\programy\G DATA antivirus\AVK\AVKWCtl.exe [2008-12-12 1127816]

R2 GDTdiInterceptor;GDTdiInterceptor;\??\c:\windows\system32\drivers\GDTdiIcpt.sys [2008-12-12 41928]

R2 nhksrv;Netropa NHK Server;c:\program files\Netropa\Multimedia Keyboard\nhksrv.exe [2008-05-09 28672]

R3 GDFwSvc;G DATA Personal Firewall;d:\programy\G DATA antivirus\Firewall\GDFwSvc.exe [2008-12-12 1496648]

R3 GDMnIcpt;GDMnIcpt;\??\c:\windows\system32\drivers\MiniIcpt.sys [2008-07-10 46536]

R3 HookCentre;HookCentre;\??\c:\windows\system32\drivers\HookCentre.sys [2008-12-12 32200]

R3 Stmatm;ATM/ADSL miniport;c:\windows\system32\DRIVERS\stmatm.sys [2008-07-17 60255]

R3 TaurusUsb;ADSL Modem USB Service;c:\windows\system32\DRIVERS\torususb.sys [2008-07-17 684265]

S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2005-08-02 32512]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]

\Shell\AutoRun\command - F:\Autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]

\Shell\AutoRun\command - G:\Autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{8ece839c-70e0-11dc-a4b6-001a4d83d753}]

\Shell\AutoRun\command - F:\Autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{a462c9ce-733f-11dc-a4c0-001a4d83d753}]

\Shell\AutoRun\command - G:\Autorun.exe

*Newly Created Service* - PROCEXP90

.

  • USUNIĘTO PUSTE WPISY - - - -

HKLM-Run-MS32DLL - c:\windows\MS32DLL.dll.vbs

.

------- Skan uzupełniający -------

.

uSearch Page = hxxp://www.google.com

uStart Page = hxxp://www.google.pl/

uSearch Bar = hxxp://www.google.com/ie

mDefault_Search_URL = hxxp://www.google.com/ie

mStart Page = hxxp://www.yahoo.com

uInternet Connection Wizard,ShellNext = iexplore

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

mSearchAssistant = hxxp://www.google.com/ie

IE: Winamp Search - c:\documents and settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

IE: Eksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: { - c:\program files\Messenger\msmsgs.exe

IE: {c:\program files\Messenger\msmsgs.exe - -

TCP: {B14D9332-631C-490E-BD6C-359DBA0D4DE9} = 194.204.159.1 217.98.63.164

c:\windows\Downloaded Program Files\OggX.ocx - O16 -: {1E53EA77-34F2-474E-9046-B2B0C86F1821}

hxxp://www.eska.pl/streamplayers/OggX.ocx

FF - ProfilePath - c:\documents and settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\6nbrax1g.default\

FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/sli ... ie7query=

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: keyword.URL - hxxp://slirsredirect.search.aol.com/sli ... pabquery=

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-12-13 20:44:38

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

.

Czas ukończenia: 2008-12-13 20:45:20

ComboFix-quarantined-files.txt 2008-12-13 19:45:18

Przed: 9 635 016 704 bajtów wolnych

Po: 10,182,823,936 bajtów wolnych

207 --- E O F --- 2008-07-10 13:07:56


(huber2t) #4

W logu nic nie widzę

usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

lub

Dr.WEB CureIt!


(system) #5

co do optymalizacji, żadnego z podanych wpisów nie miałem w hijackthis, więc żadnego z tych punktów nie zrobiłem.


(system) #6

no chyba nie jest dobrze bo podczas skanowania zawiesił sie, a potem wyskoczył ten sam błą runtime error C:\WINDOWS\explorer.exe


(Gutek) #7

Pobierz program SDFix

-


(system) #8

juz jest ok przeskanowałem ponownie kasperskim tym razem do końca przeszło i nie wykryło tego wirusa. znalazł się natomiast nowy :expressionless:

raport z kaspersky'iego

RAPORT KASPERSKY ONLINE SCANNER 7.0

niedziela, 14 grudzień 2008

System operacyjny: Microsoft Windows XP Professional Dodatek Service Pack 2 (build 2600)

Wersja Kaspersky Online Scanner: 7.0.26.12

Data ostatniej aktualizacji bazy danych: Sunday, December 14, 2008 08:05:36

Liczba wpisów: 1460067

Ustawienia skanowania

Typ bazy danych użytej do skanowania rozszerzona

Skanuj archiwa tak

Skanuj pocztowe bazy danych tak

Obszar skanowania Mój komputer

C:\

D:\

E:\

F:\

G:\

H:\

Statystyki skanowania

Przeskanowanych plików 115979

Nazwa zagrożenia 1

Zainfekowanych obiektów 3

Podejrzanych obiektów 0

Czas skanowania 02:19:22

Nazwa pliku Nazwa zagrożenia Liczba zagrożeń

D:\Programy\GG New\Animator\Setup_GGAnimator.exe Zainfekowany: Flooder.Win32.Delf.bf 1

D:\Programy\GG New\Nowe Gadu-Gadu\Animator description gg\Generator Gg.exe Zainfekowany: Flooder.Win32.Delf.bf 1

D:\Programy\GG New\Nowe Gadu-Gadu\GGAnimator.rar Zainfekowany: Flooder.Win32.Delf.bf 1

Wybrany obszar został przeskanowany.

usunołem juz cały folder GG Animator.


(Gutek) #9

No to powinno być Ok. I na koniec zobacz co niżej napisałem!

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=253052


(system) #10

ok spoko :slight_smile: przeczytałem, dzięki za pomoc! :stuck_out_tongue: