Имя пользователя:
Пароль:
 | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Разное - [решено] CMSS.EXE

Ответить
Настройки темы
Разное - [решено] CMSS.EXE

Аватара для gluckpilz

Новый участник


Сообщения: 44
Благодарности: 0

Профиль | Отправить PM | Цитировать


Изменения
Автор: gluckpilz
Дата: 15-04-2013
C 12 числа у меня в процессах появился CMSS.EXE (сам он находится в папке Виндовс), а в папке Program Files папка Kinofilmoff.Net. Являются или они вирусами или нет и как их удалить? Каспенский на них не реагирует.

В попытке избавится от CMSS я делал откат системы он исчез, а папку Kinofilmoff.Net я просто удалил, но после отката в Установка и удаление программ появился Майкрасофт Офис (который я снес еще до этого) и он не удалялся, я сделал еще откат системы, не помогло,(пришлось удаля его с помощью программы с сайта Майкрасофт) вдобавок полетел Касперский (его удалось востановить) и перестала удалятся еще одна вещь (из Установка и удаление программ). Мне все это надоело и я вернул систему обратно, врезультате файл CMSS и папка Kinofilmoff.Net вернулись обратно, а Касперский полетел основательно, пришлось ставить его занова и когда я его поставил то он выдал что запускается потанцеально опасная программа не имеющея цифровой подписи CMSS.EXE, я ее заблокировал, но при перезагрузки или включении она все равно запускается(раньше Касперского). Я ее убиваю в диспетчере и она не появляется до следующего запуска или перезагрузки винды.

Отправлено: 14:20, 14-11-2010

 

Аватара для iskander-k

скептик-оптимист


Moderator


Сообщения: 5720
Благодарности: 1117

Профиль | Отправить PM | Цитировать


Выложите логи в соответствии с этими инструкциями.

-------
Мягкий и пушистый - если не гладить против шерсти.




Вам помог совет? Нажмите на ссылку Полезное сообщение .


Отправлено: 17:12, 14-11-2010 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для gluckpilz

Новый участник


Сообщения: 44
Благодарности: 0

Профиль | Отправить PM | Цитировать


Собрал,ток у меня получилось 2 комплекта т.к. я сначала проверял систему CureIt в быстром режиме и потом делал логи, а затем полную проверку системы(предварительно поместив папку с утилами для логов в корзину и из Установка и удаление программ удалив HiJackThis) и опять логи. Врезультате получилось что когда я делал 1-й лог у меня AVZ нашел больше подозрений (12 помойму, 1)CMSS в папке Виндовс 2) в папке Program Files папку Kinofilmoff.Net в которой тоже находится CMSS, потом еще что то и большая часть это папка Систем Информация (Название точно не помню) ) а когда я делал 2 лог то он нашел 3 подозрения 1)CMSS в папке Виндовс 2) в папке Program Files папку Kinofilmoff.Net в которой тоже находится CMSS и еще что то. Какие логи выкладывать? И еще когда я делал логи то у мя был открыт EI и в нем стартовая страница оказалась Kinofilmoff.Net (заметил ток вчера т.к. EI не когда не пользуюсь) и Бар от Kinofilmoff.Net. Сам сайт не удалось разглядеть )))) т.к. я отключил инэт, но эту страницу он пытался загрузить с компа(было написано на строке состояния) точнее с C/Windows......(дальше не упел прочесть) как будто сайт находится у меня на компе, но когда он загрузился то в адресной строке был написан нормальный адрес, а не адрес сайта на компе. И еще при открытии EI выдает ошибку "Socket Error #11001 Host not found"

Отправлено: 13:37, 15-11-2010 | #3


Аватара для gluckpilz

Новый участник


Сообщения: 44
Благодарности: 0

Профиль | Отправить PM | Цитировать


1) Логи созданные после быстрой проверки CureIt

Последний раз редактировалось gluckpilz, 15-04-2013 в 17:16.


Отправлено: 18:10, 15-11-2010 | #4


Аватара для gluckpilz

Новый участник


Сообщения: 44
Благодарности: 0

Профиль | Отправить PM | Цитировать


2) Логи созданные после полной проверки CureIt

Последний раз редактировалось gluckpilz, 15-04-2013 в 17:16.


Отправлено: 18:11, 15-11-2010 | #5


Аватара для gluckpilz

Новый участник


Сообщения: 44
Благодарности: 0

Профиль | Отправить PM | Цитировать


Цитата gluckpilz:
у мя был открыт EI и в нем стартовая страница оказалась Kinofilmoff.Net (заметил ток вчера т.к. EI не когда не пользуюсь) и Бар от Kinofilmoff.Net. »
может все дело в этом
и если в настройках EI удалить бар Kinofilmoff.Net и измнить стартовую страницу то проблема исчезнет?
И можно ли с этой проблемой скинуть нужную информацию на флешку так, чтоб ее не зарозить(и другой комп), ведь даже если я переставлю систему и поставлю антивирус, то он не увидит этот вирус так же, как не увидел и сейчас...???

Последний раз редактировалось gluckpilz, 15-11-2010 в 19:05. Причина: добавил вопрос


Отправлено: 18:27, 15-11-2010 | #6


Аватара для zirreX

Ветеран


Сообщения: 876
Благодарности: 287

Профиль | Отправить PM | Цитировать


Здравствуйте!Сейчас просмотрю ваши логи и отвечу.

-------


Отправлено: 19:01, 15-11-2010 | #7


Аватара для zirreX

Ветеран


Сообщения: 876
Благодарности: 287

Профиль | Отправить PM | Цитировать


Во-первых
Установите Internet Explorer 8
Обновлять IE необходимо даже в том случае, если Вы используете другой браузер, так как он очень глубоко интегрирован в ОС Windows.

• Пофиксите в hijackthis
Поставьте галочки напротив указанных строк и нажмите Fix Checked
Код: Выделить весь код
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = kinofilmoff.net
O3 - Toolbar: kinofilmoff.net 1.0 - {1D868E7A-58F1-406A-A16A-BD32A5E369FD} - C:\PROGRA~1\KINOFI~1.NET\IEKINO~1.DLL
O4 - HKCU\..\Run: [Kinofilmoff.Net] C:\Program Files\Kinofilmoff.Net\Reklamer.exe
O4 - Startup: qip.lnk = C:\WINDOWS\cmss.exe
O4 - Startup: летай.lnk = ?
• Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код: Выделить весь код
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 ClearQuarantine;
 TerminateProcessByName('C:\WINDOWS\cmss.exe');
 QuarantineFile('C:\WINDOWS\cmss.exe','');
 QuarantineFile('C:\Program Files\Kinofilmoff.Net\Reklamer.exe','');
 QuarantineFile('C:\PROGRA~1\KINOFI~1.NET\IEKINO~1.DLL','');
 DeleteFile('C:\PROGRA~1\KINOFI~1.NET\IEKINO~1.DLL');
 DeleteFile('C:\Program Files\Kinofilmoff.Net\Reklamer.exe');
 DeleteFile('C:\WINDOWS\cmss.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
Rebootwindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код: Выделить весь код
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – Ссылку на вашу тему.Результаты ответа сообщите здесь, в теме.

• Исправьте через AVZ -> Файл -> Мастер поиска и устранения проблем -> Все проблемы -> отметить указанное -> Исправить

Код: Выделить весь код
Нарушение ассоциации SCR файлов
Повторите лог AVZ и подготовьте лог RSIT


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

-------


Отправлено: 19:25, 15-11-2010 | #8


Аватара для gluckpilz

Новый участник


Сообщения: 44
Благодарности: 0

Профиль | Отправить PM | Цитировать


После какого то из из этих действий при вкл компа в диспетчере задач перестал появлятся CMSS.EXE и исчез из папки C/Windows, а папка Kinofilmoff.Net осталась
Новый лог от AVZ выкладывать (где он находится или новый лог заменил старый?)
И помойму после профикса исчез авто запуск инета (не подключение, а появление окна полключения на раб столе)

Последний раз редактировалось gluckpilz, 15-11-2010 в 20:53.


Отправлено: 20:35, 15-11-2010 | #9


Аватара для zirreX

Ветеран


Сообщения: 876
Благодарности: 287

Профиль | Отправить PM | Цитировать


Цитата gluckpilz:
Это через какую программу? »
Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Цитата gluckpilz:
а папка Kinofilmoff.Net осталась »
можете удалить вручную

Цитата gluckpilz:
Новый лог от AVZ выкладывать (где он находится или новый лог заменил старый?) »
Да, прикрепите логи.

Цитата gluckpilz:
И помойму после профикса исчез авто запуск инета (не подключение, а появление окна полключения на раб столе) »
Не понял, поподробнее, если можно.

-------


Отправлено: 20:54, 15-11-2010 | #10



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Разное - [решено] CMSS.EXE

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
[решено] msvmiode.exe, msj.exe, Dc.exe creative84 Лечение систем от вредоносных программ 8 01-08-2010 10:38
CMD/BAT - Получение полного доступа с помощью ICACL.EXE/CACL.EXE Smarty Скриптовые языки администрирования Windows 7 06-09-2009 12:34
[решено] Интересует куда делись Regedit.exe | NTSD.exe | NETSETUP.exe | TELNET.exe Ricardo Проект WinStyle 11 30-07-2009 23:36
svchost.exe, перезагрузка компьютера (без счетчика времени), administrator.exe... filthy Лечение систем от вредоносных программ 14 10-12-2008 10:39
где найти файлы ntkrnlmp.exe ntkrnlpa.exe ntkrpamp.exe ntoskrnl.exe krazy Автоматическая установка Windows 2000/XP/2003 4 20-11-2008 15:20




 
Переход