Problem z dsoqq.exe dsoqq0 i podejrzeniem ukrytych plikow

lilou87 · 9 Lipiec 2010 18:15

po pierwsze pojawiał się problem z plikiem/procesem dsoqq.exe, później nie mogę podejrzeć ukrytych plików oraz przy próbie opróżnienia folderu temp w ukrytych jest dsoqq0.exe, z którym również jest problem

logi z otl-a

http://wklej.org/id/362507/

deFco247 · 9 Lipiec 2010 18:43

W OTL powstają dwa logi OTL.txt + Extras.txt i obydwa należy wstawiać.

Z podłączonymi pendrive zaprezentuj raport ze skanowania UsbFix z opcji Listing.

W logu widzę tradycyjny ostatnimi czasy brak pliku hidserv.dll w systemie, więc będzie trzeba odszukać na dysku jego kopię.

Pobierz SystemLook i uruchom.

Wklej w niego:

Klikasz Look i prezentujesz powstały raport.

JNJN · 9 Lipiec 2010 18:46

Proszę zmienić temat na konkretny, opcja EDYTUJ i popraw.JNJN

lilou87 · 9 Lipiec 2010 18:58

poczatkowe logi

http://wklej.org/id/362521/ otl

http://wklej.org/id/362525/ extras

http://wklej.org/id/362529/ log z pendrive’a, z którego był instalowany Windows

http://wklej.org/id/362533/ log z 2 pendrive’a tez cos moze na nim siedziec

http://wklej.org/id/362536/ log z systemlooka nic nie znalazl;/

deFco247 · 10 Lipiec 2010 10:26

UsbFIx należy uruchamiać raz, ale z podłączonymi jednocześnie wszystkimi pendrive.

Teraz nie za bardzo wiem jak to wszystko zamapować, gdyż są dwa skany z różnych pendrive, które mają przyznaną tą samą literkę.

lilou87 · 10 Lipiec 2010 13:38

potraktuj tylko ten pierwszy log bo innych nie mialem wpietych gdy te podejrzane pliki sie pojawily…no chyba ze przy robieniu usbfix-a musza byc zajete wszystkie porty usb

deFco247 · 10 Lipiec 2010 18:03

Na obydwu pendrive jest infekcja i więcej jest jej właśnie na tym drugim.

Ale najpierw trzeba odszukać w systemie kopię pliku systemowego hidserv.dll, bo nie ma go tam gdzie trzeba.

Pobierz SystemLook i uruchom.

Wklej w niego:

Klikasz Look i pokazujesz powstały raport.

lilou87 · 10 Lipiec 2010 19:21

no wlaśnie brakuje tego pliku i nie ma go nigdzie

– Dodane 10.07.2010 (So) 21:36 –

znalazlem hidserv.dll na necie i wkleilem go do windows/system32

http://wklej.org/id/362897/ < raport z systemlook-a

http://wklej.org/id/362918/ < log z podlaczeniem wszystkich pendrivow

deFco247 · 10 Lipiec 2010 21:03

Pobieranie pliku raczej nie było konieczne. Jego kopia znajdowała się w ukrytym folderze C:\WINDOWS\system32\dllcache

W białe dolne okno Własne opcje skanowania/skrypt w OTL wklej:

:OTL MOD - [2010-07-09 19:40:43 | 000,077,312 | -H-- | M] () – C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\dsoqq0.dll O4 - HKCU…\Run: [dso32] C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\dsoqq.exe () :Files C:\RECYCLER C:\x3xh.exe D:\1j038ki.exe D:\autorun.inf D:\RECYCLER D:\x3xh.exe G:\autorun.inf G:\09lf.exe G:\eyruu.exe G:\stojan G:\1j038ki.exe G:\ggb6w.exe G:\xcr.exe U:\autorun.inf U:\ggb6w.exe U:\x3xh.exe :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp]

Wykonaj skrypt i zatwierdź restart.

Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Skanuj.

Tak czy siak okazało się że OTL nie wspiera już XP SP2, a widocznym tego znakiem jest wskazywanie braku pliku hidserv.dll, którego w XP SP2… nie ma…