Dsoqq.exe


(Cassagio) #1

Mam problem z dsoqq.exe

Avast mi to usuwał ale wracało z powrotem. Pojawia się w C:... Ustawienia lokalne/

Zainstalowałem avirę, blokuje mi co chwilę proces C:/autorun.ini i E:/autorun.ini

Być może wirus przeniósł się z pendriva bo tam zauważyłem, że zostały utworzone pliki autorun.ini. Potraktowałem Flash disinfectorem.

Logi (pass: zxc) :

OTL: http://www.wklejto.pl/70131

RSIT: http://www.wklejto.pl/70132

SREng: http://www.wklejto.pl/70133

I o co chodzi z hosts w SRE? To jakiś syf? Jak to usunąć?


(deFco247) #2

Nie zakładaj hasła na logi ani nie wklejaj logów na ten serwis wklejto.pl.

Od wklejania logów jest wklej.org lub wklej.to.

To nie jest żaden syf. Spybot zakłada takie zabezpieczenie. Każdy adres rozpoczynający się od 127.0.0.1 jest zablokowany.

Bez wątpienia jest tutaj infekcja rootkitem Alureon, a to już poważna sprawa.

Zastosuj Combofix.

Przed uruchomieniem odinstaluj wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle.

Pokaż log.


(Cassagio) #3

Log z combofix: http://wklej.org/id/351272/

Przypomniało mi się, że jak miałem avasta to blokował częste ataki z portu 135, zablokowałem ten port. Wtedy ataki szły z 445, ale o wiele rzadziej więc nie blokowałem.


(deFco247) #4

Log z Combofix jest dla mnie niejasny. We wcześniejszym logu OTL sterownik atapi.sys był widoczny jako zainfekowany, a inne infekcje były aktywne.

W logu Combofix atapi.sys nie jest w ogóle pokazywane jako podmieniane, a po innych infekcjach zostały tylko wpisy w autostarcie.

Czy coś pomiędzy skanem OTL i Combofix było usuwane?


(Cassagio) #5

Nie, specjalnie nic nie ruszałem by wszystko wykazało. Między otl a combo usunąłem program tapeta i alcohol 120%.

Log z otl: http://wklej.org/id/351299/

To najwyżej napisz co mam poskanować itd. Zrestartuje PC i zobaczymy czy coś wróci.

PS. Na pasku obok zegara pojawił się alert zabezpieczeń, włączyłem zaporę. Pamiętam, że kiedyś chciałem uaktywnić zaporę to nie dało rady a teraz działa.


(deFco247) #6

Dosyć dziwne. Przeskanuj jeszcze system za pomocą TDSSKiller.

Taki już urok Combofixa - wszystko przywraca do ustawień domyślnych.


(Cassagio) #7

TDSS: http://wklej.org/id/351371/


(deFco247) #8

No to teraz można być pewnym, że tej infekcji tutaj nie ma.

Uruchom OTL i kliknij w nim CleanUp.

Wyłącz i włącz Przywracanie Systemu na wszystkich dyskach. Instrukcja XP/Vista/Windows 7.

Wykonaj pełny skan Malwarebytes' Anti-Malware - znalezione obiekty usuń.

Gdy będą wirusy pokaż raport po usuwaniu.

Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).


(Cassagio) #9

MBAM nic nie wykrył.

Wklejać jakieś logi?


(deFco247) #10

Już nie ma takiej potrzeby.


(Cassagio) #11

Dzięki za pomoc. Pozdrawiam.