Jak usunąć wmsncs.exe


(Kubametryka4444) #1

już kiedyś dawałem loga ale chyba znowu mi się zainfekował.oto log z combofixa http://wklej.org/id/37237/ prosiłbym o sprawdzenie go.


(Spandau) #2

wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Loga wklej na http://www.wklejto.pl lub http://www.wklej.org/ a w poście daj linka


(Kubametryka4444) #3

http://wklej.org/id/37250/


(huber2t) #4

W logu nic nie widzę

usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.

Przeczyść system Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

lub

Dr.WEB CureIt!


(JNJN) #5

Proszę zmienić temat postu na konkretny, opcja EDYTUJ i popraw.JNJN


(Spandau) #6
  1. Pobierz program SDFix

* Dwuklik na SDFix.exe następnie program wypakuje się na dysk systemowy (standardowo C:\SDFix)

* Zrestartuj komputer i wejdź do trybu awaryjnego (klawisz F8 przed bootem Windowsa)

* Wejdź do folderu z SDFix kliknij dwa razy na plik RunThis.bat

* Wciśnij Y nastąpi proces usuwania.

* Kiedy usuwanie się ukończy wciśnij dowolny klawisz (Any Key). Nastąpi restart komputera.

* Po restarcie SDFix uruchomi się ponownie, żeby dokończyć proces usuwania kiedy pojawi się w oknie programu Finished, wciśnij dowolny klawisz do zakończenia scryptu i załadowania ikon na pulpicie.

* Pokaż Report.txt znajdujący się w folderze SDFix.

Po tej operacji daj nowy log Combofix


(Kubametryka4444) #7

SDFix: Version 1.240

Run by Administrator on 09-01-10 at 19:05

Microsoft Windows XP [Wersja 5.1.2600]

Running From: C:\SDFix

Checking Services :

Name :

NET Runtime Optimization Service v2.1.41329_X86

Path :

"C:\WINDOWS\Fonts\wmsncs.exe"

NET Runtime Optimization Service v2.1.41329_X86 - Deleted

Restoring Default Security Values

Restoring Default Hosts File

Rebooting

Checking Files :

Trojan Files Found:

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\wmsncs.exe - Deleted

C:\Program Files\Common Files\System\wmsncs.exe - Deleted

C:\WINDOWS\Fonts\wmsncs.exe - Deleted

C:\WINDOWS\System32\spool\drivers\wmsncs.exe - Deleted

C:\WINDOWS\system32\wins\wmsncs.exe - Deleted

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-01-10 19:09:48

Windows 5.1.2600 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"F:\BF\Connectivity\ConnectivityManager.exe"="F:\BF\Connectivity\ConnectivityManager.exe:*:enabled:CSS"

"E:\bittorent\BitTorrent\bittorrent.exe"="E:\bittorent\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent"

"wmsncs.exe"="wmsncs.exe:*:Enabled:SYSTEM"

Remaining Files :

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon 19 May 2008 857 ...HR --- "C:\Documents and Settings\Jakub\Dane aplikacji\SecuROM\UserData\securom_v7_01.bak"

Finished!

-- Dodane 10.01.2009 (So) 19:15 --

usunąłem potem combofixa, bo wiem, że antyvirus go uznaje za wirusa.


(Spandau) #8

To pomyłka antywirusa, prosiłem o nowy log z Combofixa bo chciałem zobaczyć czy już faktycznie czysto

ComboFix, tak jak brat DSS, może być atakowany przez antywirusy twierdzące iż ComboFix jest wirusem. NIE. Jest czysty , ale przez fakt że jest pakowany via UPX, a także zawiera w środku różne process killery i inne specjalistyczne narzędzia, AV / antyspyware nie pozwolą mu pracować kasując z ComboFix.exe jego składniki już podczas pobierania narzędzia na dysk! Proszę przed pobraniem i uruchomieniem ComboFix wyłączyć wszystkie programy ochronne


(Kubametryka4444) #9

zaraz ściągnę:slight_smile:

-- Dodane 10.01.2009 (So) 19:50 --

http://wklej.org/id/37468/ log z combofix


(huber2t) #10

W logu nic nie widzę

usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.

Przeczyść system Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

lub

Dr.WEB CureIt!


(Kubametryka4444) #11

nie może być fsecure do przeskanowania?ostatnio skanowałem.


(huber2t) #12

Nie, raczej nie