Показать полную графическую версию : [решено] CMSS.EXE
gluckpilz
14-11-2010, 14:20
C 12 числа у меня в процессах появился CMSS.EXE (сам он находится в папке Виндовс), а в папке Program Files папка Kinofilmoff.Net. Являются или они вирусами или нет и как их удалить? Каспенский на них не реагирует.
В попытке избавится от CMSS я делал откат системы он исчез, а папку Kinofilmoff.Net я просто удалил, но после отката в Установка и удаление программ появился Майкрасофт Офис (который я снес еще до этого) и он не удалялся, я сделал еще откат системы, не помогло,(пришлось удаля его с помощью программы с сайта Майкрасофт) вдобавок полетел Касперский (его удалось востановить) и перестала удалятся еще одна вещь (из Установка и удаление программ). Мне все это надоело и я вернул систему обратно, врезультате файл CMSS и папка Kinofilmoff.Net вернулись обратно, а Касперский полетел основательно, пришлось ставить его занова и когда я его поставил то он выдал что запускается потанцеально опасная программа не имеющея цифровой подписи CMSS.EXE, я ее заблокировал, но при перезагрузки или включении она все равно запускается(раньше Касперского). Я ее убиваю в диспетчере и она не появляется до следующего запуска или перезагрузки винды.
iskander-k
14-11-2010, 17:12
Выложите логи в соответствии с этими (http://forum.oszone.net/post-717373.html) инструкциями.
gluckpilz
15-11-2010, 13:37
Собрал,ток у меня получилось 2 комплекта т.к. я сначала проверял систему CureIt в быстром режиме и потом делал логи, а затем полную проверку системы(предварительно поместив папку с утилами для логов в корзину и из Установка и удаление программ удалив HiJackThis) и опять логи. Врезультате получилось что когда я делал 1-й лог у меня AVZ нашел больше подозрений (12 помойму, 1)CMSS в папке Виндовс 2) в папке Program Files папку Kinofilmoff.Net в которой тоже находится CMSS, потом еще что то и большая часть это папка Систем Информация (Название точно не помню) ) а когда я делал 2 лог то он нашел 3 подозрения 1)CMSS в папке Виндовс 2) в папке Program Files папку Kinofilmoff.Net в которой тоже находится CMSS и еще что то. Какие логи выкладывать? И еще когда я делал логи то у мя был открыт EI и в нем стартовая страница оказалась Kinofilmoff.Net (заметил ток вчера т.к. EI не когда не пользуюсь) и Бар от Kinofilmoff.Net. Сам сайт не удалось разглядеть )))) т.к. я отключил инэт, но эту страницу он пытался загрузить с компа(было написано на строке состояния) точнее с C/Windows......(дальше не упел прочесть) как будто сайт находится у меня на компе, но когда он загрузился то в адресной строке был написан нормальный адрес, а не адрес сайта на компе. И еще при открытии EI выдает ошибку "Socket Error #11001 Host not found"
gluckpilz
15-11-2010, 18:10
1) Логи созданные после быстрой проверки CureIt
gluckpilz
15-11-2010, 18:11
2) Логи созданные после полной проверки CureIt
gluckpilz
15-11-2010, 18:27
у мя был открыт EI и в нем стартовая страница оказалась Kinofilmoff.Net (заметил ток вчера т.к. EI не когда не пользуюсь) и Бар от Kinofilmoff.Net. »
может все дело в этом
и если в настройках EI удалить бар Kinofilmoff.Net и измнить стартовую страницу то проблема исчезнет?
И можно ли с этой проблемой скинуть нужную информацию на флешку так, чтоб ее не зарозить(и другой комп), ведь даже если я переставлю систему и поставлю антивирус, то он не увидит этот вирус так же, как не увидел и сейчас...???
Здравствуйте!Сейчас просмотрю ваши логи и отвечу.
Во-первых
Установите Internet Explorer 8 (http://www.microsoft.com/rus/windows/internet-explorer/)
Обновлять IE необходимо даже в том случае, если Вы используете другой браузер, так как он очень глубоко интегрирован в ОС Windows.
• Пофиксите в hijackthis
Поставьте галочки напротив указанных строк и нажмите Fix Checked
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = kinofilmoff.net
O3 - Toolbar: kinofilmoff.net 1.0 - {1D868E7A-58F1-406A-A16A-BD32A5E369FD} - C:\PROGRA~1\KINOFI~1.NET\IEKINO~1.DLL
O4 - HKCU\..\Run: [Kinofilmoff.Net] C:\Program Files\Kinofilmoff.Net\Reklamer.exe
O4 - Startup: qip.lnk = C:\WINDOWS\cmss.exe
O4 - Startup: летай.lnk = ?
• Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)
AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
TerminateProcessByName('C:\WINDOWS\cmss.exe');
QuarantineFile('C:\WINDOWS\cmss.exe','');
QuarantineFile('C:\Program Files\Kinofilmoff.Net\Reklamer.exe','');
QuarantineFile('C:\PROGRA~1\KINOFI~1.NET\IEKINO~1.DLL','');
DeleteFile('C:\PROGRA~1\KINOFI~1.NET\IEKINO~1.DLL');
DeleteFile('C:\Program Files\Kinofilmoff.Net\Reklamer.exe');
DeleteFile('C:\WINDOWS\cmss.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
Rebootwindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
После перезагрузки выполните такой скрипт
AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – Ссылку на вашу тему.Результаты ответа сообщите здесь, в теме.
• Исправьте через AVZ -> Файл -> Мастер поиска и устранения проблем -> Все проблемы -> отметить указанное -> Исправить
Нарушение ассоциации SCR файлов
Повторите лог AVZ и подготовьте лог RSIT
Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
gluckpilz
15-11-2010, 20:35
После какого то из из этих действий при вкл компа в диспетчере задач перестал появлятся CMSS.EXE и исчез из папки C/Windows, а папка Kinofilmoff.Net осталась
Новый лог от AVZ выкладывать (где он находится или новый лог заменил старый?)
И помойму после профикса исчез авто запуск инета (не подключение, а появление окна полключения на раб столе)
Это через какую программу? »
Скачайте RSIT (http://www.virusnet.info/random/RSIT.exe) или c зеркала (http://images.malwareremoval.com/random/RSIT.exe). Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
а папка Kinofilmoff.Net осталась »
можете удалить вручную
Новый лог от AVZ выкладывать (где он находится или новый лог заменил старый?) »
Да, прикрепите логи.
И помойму после профикса исчез авто запуск инета (не подключение, а появление окна полключения на раб столе) »
Не понял, поподробнее, если можно.
gluckpilz
15-11-2010, 21:03
Не понял, поподробнее, если можно »
у меня для удобства ярлык входа в инет (где я нажимаю подключить или разьединить интернет соединение) был помещен в папку автозагрузка и открывался при запуске или перезагрузки компа, а после профикса в hijackthis перестал появлятся(я не озражаю если это было не обходимо в целях лечения, просто коментирую результат и я могу опять его туда засунуть если это не навредит системе.)
Malwarebytes' Anti-Malware пока нашел 2 инфицированных файла (чувствую что он завершит это сканирование не скоро, а лог RSIT выложу после конца сканирования)
gluckpilz
15-11-2010, 21:09
логи AVZ
gluckpilz
15-11-2010, 21:21
Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, »
при нажатии на эту ссылку меня перекидывает на яндекс-это означае что нужно писать исключително с янекса? у меня не яндекс почты или мона с любой почты?
у меня для удобства ярлык входа в инет (где я нажимаю подключить или разьединить интернет соединение) был помещен в папку автозагрузка и открывался при запуске или перезагрузки компа, а после профикса в hijackthis перестал появлятся(я не озражаю если это было не обходимо в целях лечения, просто коментирую результат и я могу опять его туда засунуть если это не навредит системе.) »
Создайте новый.
при нажатии на эту ссылку меня перекидывает на яндекс-это означае что нужно писать исключително с янекса? у меня не яндекс почты или мона с любой почты? »
отправьте с любой почты, главное на адрес quarantine@virusnet.info
gluckpilz
15-11-2010, 21:35
логи RSIT и Malwarebytes' Anti-Malware
gluckpilz
15-11-2010, 21:45
письмо отправил, а что делать с Malwarebytes' Anti-Malware, при закрытии он говорит что сканирование еще в процессе?
кстати то, что он нашел это установочники программ Nero и Skype (покрай не мере так должно быть)
Adobe Acrobat 5.0 обновите до актуальной версии.
Отключите восстановление системы!
• Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)
AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\drivers\Dc1280dork.sys','');
QuarantineFile('C:\Program Files\RaSha\SharemanPlayer\SharemanPlayer\SharemanPlayer.exe','');
QuarantineFile('C:\System Volume Information\_restore{0308BEAC-9658-4F5C-9DA4-99B5974C63BA}\RP84\A0041607.exe','');
QuarantineFile('C:\System Volume Information\_restore{0308BEAC-9658-4F5C-9DA4-99B5974C63BA}\RP84\A0041608.exe','');
DeleteFile('C:\System Volume Information\_restore{0308BEAC-9658-4F5C-9DA4-99B5974C63BA}\RP84\A0041608.exe');
DeleteFile('C:\System Volume Information\_restore{0308BEAC-9658-4F5C-9DA4-99B5974C63BA}\RP84\A0041607.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
После перезагрузки выполните такой скрипт
AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – Ссылку на вашу тему.Результаты ответа сообщите здесь, в теме.
Повторите лог AVZ, но только стандартный скрипт №3
Запустите AVZ.Меню "Файл" => "Обновление баз".Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №3. Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip.
gluckpilz
15-11-2010, 22:05
Отключите восстановление системы! »
как?
Adobe Acrobat 5.0 обновите до актуальной версии. »
критично?
как? »
Кликнуть пpавой кнопкой мыши на "Мой компьютеp" (My Computer). Выбpать "Свойства" (Properties).
Вкладка "Восстановление системы" (System Restore). Поставить птичку на "Запpетить восстановление системных файлов на всех дисках" (Turn off System Restore on all drives)
Hажать "Пpименить" (Apply). Появится сообщение, пpедупpеждающее об удалении всех точек восстановления. Подтвеpдить, нажав "ОК".
gluckpilz
15-11-2010, 22:11
Повторите лог AVZ, но только стандартный скрипт №3 »
IE запускать
"Формирование лог файлов:
3.1. Закройте все программы, временно выключите антивирус, firewall и другое защитное программное обеспечение, оставьте запущенным Internet Explorer."
письмо отправил.
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.