CMSS.EXE
 

C 12 числа у меня в процессах появился CMSS.EXE (сам он находится в папке Виндовс), а в папке Program Files папка Kinofilmoff.Net. Являются или они вирусами или нет и как их удалить? Каспенский на них не реагирует.

В попытке избавится от CMSS я делал откат системы он исчез, а папку Kinofilmoff.Net я просто удалил, но после отката в Установка и удаление программ появился Майкрасофт Офис (который я снес еще до этого) и он не удалялся, я сделал еще откат системы, не помогло,(пришлось удаля его с помощью программы с сайта Майкрасофт) вдобавок полетел Касперский (его удалось востановить) и перестала удалятся еще одна вещь (из Установка и удаление программ). Мне все это надоело и я вернул систему обратно, врезультате файл CMSS и папка Kinofilmoff.Net вернулись обратно, а Касперский полетел основательно, пришлось ставить его занова и когда я его поставил то он выдал что запускается потанцеально опасная программа не имеющея цифровой подписи CMSS.EXE, я ее заблокировал, но при перезагрузки или включении она все равно запускается(раньше Касперского). Я ее убиваю в диспетчере и она не появляется до следующего запуска или перезагрузки винды.

Выложите логи в соответствии с этими инструкциями.

Собрал,ток у меня получилось 2 комплекта т.к. я сначала проверял систему CureIt в быстром режиме и потом делал логи, а затем полную проверку системы(предварительно поместив папку с утилами для логов в корзину и из Установка и удаление программ удалив HiJackThis) и опять логи. Врезультате получилось что когда я делал 1-й лог у меня AVZ нашел больше подозрений (12 помойму, 1)CMSS в папке Виндовс 2) в папке Program Files папку Kinofilmoff.Net в которой тоже находится CMSS, потом еще что то и большая часть это папка Систем Информация (Название точно не помню) ) а когда я делал 2 лог то он нашел 3 подозрения 1)CMSS в папке Виндовс 2) в папке Program Files папку Kinofilmoff.Net в которой тоже находится CMSS и еще что то. Какие логи выкладывать? И еще когда я делал логи то у мя был открыт EI и в нем стартовая страница оказалась Kinofilmoff.Net (заметил ток вчера т.к. EI не когда не пользуюсь) и Бар от Kinofilmoff.Net. Сам сайт не удалось разглядеть )))) т.к. я отключил инэт, но эту страницу он пытался загрузить с компа(было написано на строке состояния) точнее с C/Windows......(дальше не упел прочесть) как будто сайт находится у меня на компе, но когда он загрузился то в адресной строке был написан нормальный адрес, а не адрес сайта на компе. И еще при открытии EI выдает ошибку "Socket Error #11001 Host not found"

1) Логи созданные после быстрой проверки CureIt

2) Логи созданные после полной проверки CureIt

может все дело в этом
и если в настройках EI удалить бар Kinofilmoff.Net и измнить стартовую страницу то проблема исчезнет?
И можно ли с этой проблемой скинуть нужную информацию на флешку так, чтоб ее не зарозить(и другой комп), ведь даже если я переставлю систему и поставлю антивирус, то он не увидит этот вирус так же, как не увидел и сейчас...???

Здравствуйте!Сейчас просмотрю ваши логи и отвечу.

Во-первых
Установите Internet Explorer 8
Обновлять IE необходимо даже в том случае, если Вы используете другой браузер, так как он очень глубоко интегрирован в ОС Windows.

• Пофиксите в hijackthis
Поставьте галочки напротив указанных строк и нажмите Fix Checked
• Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – Ссылку на вашу тему.Результаты ответа сообщите здесь, в теме.

• Исправьте через AVZ -> Файл -> Мастер поиска и устранения проблем -> Все проблемы -> отметить указанное -> Исправить

Повторите лог AVZ и подготовьте лог RSIT


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

После какого то из из этих действий при вкл компа в диспетчере задач перестал появлятся CMSS.EXE и исчез из папки C/Windows, а папка Kinofilmoff.Net осталась
Новый лог от AVZ выкладывать (где он находится или новый лог заменил старый?)
И помойму после профикса исчез авто запуск инета (не подключение, а появление окна полключения на раб столе)

Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

можете удалить вручную

Да, прикрепите логи.

Не понял, поподробнее, если можно.

у меня для удобства ярлык входа в инет (где я нажимаю подключить или разьединить интернет соединение) был помещен в папку автозагрузка и открывался при запуске или перезагрузки компа, а после профикса в hijackthis перестал появлятся(я не озражаю если это было не обходимо в целях лечения, просто коментирую результат и я могу опять его туда засунуть если это не навредит системе.)
Malwarebytes' Anti-Malware пока нашел 2 инфицированных файла (чувствую что он завершит это сканирование не скоро, а лог RSIT выложу после конца сканирования)

логи AVZ

при нажатии на эту ссылку меня перекидывает на яндекс-это означае что нужно писать исключително с янекса? у меня не яндекс почты или мона с любой почты?

Создайте новый.

отправьте с любой почты, главное на адрес quarantine@virusnet.info

логи RSIT и Malwarebytes' Anti-Malware

письмо отправил, а что делать с Malwarebytes' Anti-Malware, при закрытии он говорит что сканирование еще в процессе?
кстати то, что он нашел это установочники программ Nero и Skype (покрай не мере так должно быть)

Adobe Acrobat 5.0 обновите до актуальной версии.

Отключите восстановление системы!

• Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – Ссылку на вашу тему.Результаты ответа сообщите здесь, в теме.

Повторите лог AVZ, но только стандартный скрипт №3

Запустите AVZ.Меню "Файл" => "Обновление баз".Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №3. Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip.

как?
критично?

Кликнуть пpавой кнопкой мыши на "Мой компьютеp" (My Computer). Выбpать "Свойства" (Properties).
Вкладка "Восстановление системы" (System Restore). Поставить птичку на "Запpетить восстановление системных файлов на всех дисках" (Turn off System Restore on all drives)
Hажать "Пpименить" (Apply). Появится сообщение, пpедупpеждающее об удалении всех точек восстановления. Подтвеpдить, нажав "ОК".

IE запускать
"Формирование лог файлов:
3.1. Закройте все программы, временно выключите антивирус, firewall и другое защитное программное обеспечение, оставьте запущенным Internet Explorer."
письмо отправил.

да

аааааааааа.....я 10 мин ждал когда вы ответите, и не заметил 3 страницу.... =(

вот лог 3 - его скрипта AVZ, может сделать еще лог 2 скрипта AVZ (я в прошлый раз не включал IE) и лог RSIT

лога 2-го стандартного скрипта достаточно

По логу чисто.Есть еще проблемы?

может 3-лога ?=)
вроде пока нет.
а теперь скажите что у меня было, что он делал у меня на компе(функции), почему Касперский не видел его, и что делат с письмом которое я отправил? ответ вам писать?
можно создать контрольную точку?

И ОГРОМНОЕ СПАСИБО ЗА ПОМОЩЬ !!! :clapping:

Adobe Acrobat 5.0 обновите до актуальной версии или деинсталлируйте!

W32/Rbot-ATQ

Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Очистите временные файлы.
Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

Для предотвращения заражения рекомендую вам придерживаться этих правил:
1.Всегда работайте только под обычным пользователем!
2.Используйте браузер Firefox с дополнением NoScript
Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения
3.Устанавливайте обновления и патчи Windows.
4.Ежедневно обновляйте антивирусные базы.
5.Никогда не устанавливайте два антивируса или сетевых экрана (файрвол).

а так можно 1 - разрешение востан. системы
2 - удаление всех контр. точек
3 - создание контр. точек?

и теперь мне его настраивать надо что ли? (перестали работать кнопки с тегами, которые находятся выше чем окно в котором я пишу письмо)

чуть не забыл а что делать с теми прогами что я установил, а в особенности с папкой antivir в которой находится AVZ и HiJackThis и папка из карантина?

Fedin, что делать с папкой в которой карантин!!!, ответ так и не пришел...

Удалите