Tylko pulpit, Wykryto EXP-CVE2010

[melex89]

Witam, po uruchomieniu komputera (laptop) pojawia się tylko tło pulpitu i działa tylko mysz. Jedynym przebłyskiem było otwarcie się Avira antyvirus i skanowanie. Po przeskanowaniu (wykrył EXP-CVE2010) problem pozostał.
W trybie awaryjnym się wszystko otwiera.
Logi:
OTL: http://www.wklej.eu/index.php?id=c81822d677
Extras: http://www.wklej.eu/index.php?id=e6b5340d7b
Gmer:

GMER 1.0.15.15530 - http://www.gmer.net
Rootkit quick scan 2011-07-31 16:01:36
Windows 5.1.2600 Dodatek Service Pack 2 Harddisk0\DR0 \Device\Ide\IdeDeviceP0T0L0-4 HTS541010G9AT00 rev.MBZOA60A
Running: nv46twf0.exe; Driver: C:\DOCUME~1\Agusia\USTAWI~1\Temp\kwliqpog.sys


---- System - GMER 1.0.15 ----

SSDT sptd.sys ZwEnumerateKey [0xF86FEFB2]
SSDT sptd.sys ZwEnumerateValueKey [0xF86FF340]

---- Devices - GMER 1.0.15 ----

Device \Driver\atapi \Device\Ide\IdePort0 8336A1E8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 8336A1E8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c 8336A1E8
Device \FileSystem\Fastfat \Fat 833691E8

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- EOF - GMER 1.0.15 ----

HiJackThis:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 15:57:29, on 2011-07-31
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Documents and Settings\Agusia\Pulpit\otle\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = neostrada tp
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
O4 - HKLM\..\Run: [RemoteControl] C:\Programy\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Utwórz Ulubione dla urządzenia przenośnego... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O15 - Trusted Zone: http://www.mks.com.pl
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{53DD2140-AF70-4C37-9E40-DB22B463AB89}: NameServer = 8.8.8.8,8.8.4.4
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Moduł wstępnego ładowania interfejsu Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demon buforu kategorii składników - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Usługa licencjonowania programu ABBYY FineReader 9.0 (ABBYY.Licensing.FineReader.Professional.9.0) - ABBYY (BIT Software) - C:\Programy\ABBYY FineReader 9.0\NetworkLicenseServer.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Usługa Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft Limited - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - C:\Programy\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing)
O23 - Service: webcamXP Service (wxpSvc) - Unknown owner - C:\Program Files\wLite\wService.exe

--
End of file - 6309 bytes

Proszę o pomoc.

[JanekO]

otwórz Menedzer Zadań i kliknij nowe zadanie i wpisz explorer.exe

[melex89]

Próbowałem i nie działa. Przywracanie systemu też nic nie dało.

[kominekl]

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:Processes
killallprocesses

:OTL

SRV - File not found [Auto | Stopped] -- -- (StarWindServiceAE)
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
O3 - HKU\S-1-5-21-756106188-2585519806-3829071898-1006\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O4 - HKLM..\Run: [WOOTASKBARICON] File not found
O33 - MountPoints2\{280aa576-4978-11df-8d6f-0016d41c4b96}\Shell\AutoRun\command - "" = fk.exe
O33 - MountPoints2\{280aa576-4978-11df-8d6f-0016d41c4b96}\Shell\open\Command - "" = fk.exe
[2011-07-31 15:50:00 | 000,000,486 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2011-07-31 14:49:06 | 000,001,036 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2011-07-31 14:39:58 | 000,001,032 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2011-07-31 14:39:52 | 000,000,318 | -HS- | M] () -- C:\WINDOWS\tasks\xkxgyj.job
[2011-07-15 20:01:02 | 000,000,284 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job

:Files
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Microsoft Office.lnk
C:\WINDOWS\sed.exe
C:\WINDOWS\grep.exe
C:\WINDOWS\zip.exe
C:\WINDOWS\VFIND.exe

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"=-

:Commands
[resethosts]
[clearallrestorepoints]
[emptytemp]
[start explorer]
[reboot]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

Spróbuj również wykonać już teraz pełne skanowanie Malwarebytes`em Anti-Malware https://www.instalki.pl/download/programy/windows/bezpieczenstwo/antyspyware/malwarebytes/, jeśli coś znajdzie usuń i daj raport.

O4 - HKLM..\Run: [WOOWATCH] C:\Program Files\neostrada tp\Watch.exe (France Télécom R&D)

Proponuję usunąć WOOWATCH i skonfigurować połączenie ręcznie. Powody, oraz instrukcja, jak tego dokonać http://www.forum.pobieralnia.pl/index.p ... dy-reczna/.

C:\WINDOWS\System32\javaw.exe
C:\WINDOWS\AMove.exe

Przeskanuj te pliki na http://www.virustotal.com/, gdyż czasami, gdy plik javaw.exe znajduje się w Tym katalogu, co plik java.exe rozpoznanie infekcji staje się możliwe tylko poprzez podpis cyfrowy, który http://www.virustotal.com/ sprawdzi. A plik AMove.exe przez wiele skanerów na żądanie jest oceniany, jako infekcja.

Tak na przyszłość HijackThis to już staroć. Wystarczą logi z OTL i GMER.

[melex89]

Komputer włączył się poprawnie:) Zrobię jeszcze tylko porządki o których mówiłeś, a teraz daję już logi.
OTL po wykonaniu skryptu: http://www.wklej.eu/index.php?id=eb2c1b9dad
Nowe logi:
OTL: http://www.wklej.eu/index.php?id=c2eb7f0914
Extras: http://www.wklej.eu/index.php?id=7d6a7e8836
Malwarebytes nic nie wykrył.
Dzięki za pomoc:)

Neostrady używam przez router bezprzewodowy, więc to mogę usunąć chyba bez problemu.

[mateo8898]

Ładuj taki skrypt:

:OTL
[2011-07-30 20:46:06 | 000,063,488 | RHS- | C] (Dvaokyhcg Mghgrooyhdr) -- C:\WINDOWS\System32\deskadp1.dll

:Reg
[HKEY_USERS\S-1-5-21-756106188-2585519806-3829071898-1006\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-

:Commands
[reboot]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

[melex89]

log z usuwania:

========== OTL ==========
C:\WINDOWS\system32\deskadp1.dll moved successfully.
========== REGISTRY ==========
Registry value HKEY_USERS\S-1-5-21-756106188-2585519806-3829071898-1006\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell deleted successfully.
========== COMMANDS ==========

OTL by OldTimer - Version 3.2.26.1 log created on 07312011_202739

Nowy OTL: http://www.wklej.eu/index.php?id=ec4ad76265
Nowy Extras: http://www.wklej.eu/index.php?id=959ee6068b

virustotal nic nie wykrył

[kominekl]

OK. Czysto.

W OTL Sprzątanie.
Zainstaluj SP3 http://www.instalki.pl/programy/downloa ... ack_3.html.
Przeczyść dysk i rejestr CCleaner`em https://www.instalki.pl/download/programy/windows/narzedzia/narzedzia-systemowe/ccleaner/.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware https://www.instalki.pl/download/programy/windows/bezpieczenstwo/antyspyware/malwarebytes/, jeśli coś znajdzie usuń i daj raport.
Odinstaluj starą wersję programu do odczytu .PDF Adobe Reader 7.0 i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... eader.html.