smss.doooms.vbs

[ciesc 0]

Czesc

 

od wczoraj wyskakuje mi komunikat po uruchomieniu komputera "nie mozna znalezc pliku smss.doooms.vbn"

 

doczytalem ze to zlosliwy wirus itd, nic nie pomaga, chcialem zrobic przywracanie systemu (odswiezanie) i nie mozna go zrobic..

 

w internecie malo na ten temat dlatego trafilem tutaj,jest to nowy laptop wiec juz mysle o wybraniu sie do serwisu w celu reinstalacji systemu/format dysku

 

aczklowiek jest weekend dlatego zapytam tutaj, moze jest na to jakis prosty sposob?

[januzi 24]

https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/

pobierz, zrób skan, wrzuć jako załącznik pliki frst.txt oraz addition.txt

[filutka78 11]

Zrób logi z FRST > http://forum.pclab.pl/topic/893302-WA%C5%BBNE-Wymagane-logi-systemowe-w-tym-dziale/page__p__11808087entry11808087

przed skanem zaznacz: Additional.txt Shortcut.txt,

 

F.

[ciesc 0]

Ok, zaczynam to robic a w miedzyczasie pytanie, chciałem przywrócić system poprzez "odzyskiwanie systemu" jak to robilem na poprzednim laptopie a tutaj wyskakuje blad ze nie udało się zrobić zmiany nie zostały wprowadzone. Czy jest to spowodowane tym wirusem?

Edytowane 18 Października 2019 przez ciesc

[filutka78 11]

Czy jest to spowodowane tym wirusem?

Tego nie wiadomo.

Być może wystarczy wejść w Tryb Awaryjny, i dopiero wtedy próbować przywracania.

 

F.

[ciesc 0]

Mam problem z wklejeniem tych raportow. Na wklejto klikam dodaj i nic się nie dzieje, a załącznik jeden jest za duzy.

 

?

 

dodaje jeden, drugi jest za duzy. co się dzieje z tym wklejto?

 

edit. dodałem jeszcze plik z tego polecanego programu i pokazal mi dużo tych zagrozen, jeszcze nic nie zrobiłem z tym

Edytowane 18 Października 2019 przez ciesc

[filutka78 11]

https://pastebin.pl/

[ciesc 0]

https://pastebin.pl/view/0de68026 > FRST

 

https://pastebin.pl/view/64895bd3 > addition

Edytowane 18 Października 2019 przez ciesc

[filutka78 11]

To, co wykrył MBAM - wszystko do usunięcia.

ja w międzyczasie przygotuję "fixlist", choć większość będzie już nieaktualna, bo usunie je MBAM.

ale to nie szkodzi....

 

EDIT:

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

AlternateDataStreams: C:\ProgramData:3F8588F0C611DD1E [217]

AlternateDataStreams: C:\Users\All Users:3F8588F0C611DD1E [217]

AlternateDataStreams: C:\ProgramData\Dane aplikacji:3F8588F0C611DD1E [217]

AlternateDataStreams: C:\ProgramData\PACE:3EEFE630EB35B30F [217]

HKU\S-1-5-21-646227508-2224280563-1056330744-1001\Software\Classes\regfile: regedit.exe "%1" <==== UWAGA

HKLM\...\Run: [smss-DoOoM] => "C:\Users\lukas\AppData\Local\Temp\MagiXDrivers\smss-DoOoM.lnk" <==== UWAGA

HKLM\...\Run: [smss-DoOoMs] => "C:\Users\lukas\AppData\Local\Temp\MagiXDrivers\smss-DoOoMp.lnk" <==== UWAGA

HKLM-x32\...\Run: [smss-DoOoM] => "C:\Users\lukas\AppData\Local\Temp\MagiXDrivers\smss-DoOoM.lnk" <==== UWAGA

HKLM-x32\...\Run: [smss-DoOoMs] => "C:\Users\lukas\AppData\Local\Temp\MagiXDrivers\smss-DoOoMp.lnk" <==== UWAGA

HKLM\...\Winlogon: [userinit] C:\Windows\system32\userinit.exe,wscript.exe //B "C:\Users\lukas\AppData\Local\Temp\System\smss-DoOoMs.vbs" <==== UWAGA

HKLM-x32\...\Winlogon: [userinit] C:\Windows\system32\userinit.exe,wscript.exe //B "C:\Users\lukas\AppData\Local\Temp\System\smss-DoOoMs.vbs" <==== UWAGA

HKLM\...\Winlogon: [shell] explorer.exe, wscript.exe //B "C:\Users\lukas\AppData\Local\Temp\System\smss-DoOoMs.vbs"

HKLM-x32\...\Winlogon: [shell] explorer.exe, wscript.exe //B "C:\Users\lukas\AppData\Local\Temp\System\smss-DoOoMs.vbs"

HKU\S-1-5-21-646227508-2224280563-1056330744-1001\...\Run: [smss-DoOoMs] => "C:\Users\lukas\AppData\Local\Temp\MagiXDrivers\smss-DoOoMp.lnk" <==== UWAGA

HKU\S-1-5-21-646227508-2224280563-1056330744-1001\...\Run: [smss-DoOoM] => "C:\Users\lukas\AppData\Local\Temp\MagiXDrivers\smss-DoOoM.lnk" <==== UWAGA

Task: {5480A62A-3175-4EF2-A907-D2BA246065F8} - System32\Tasks\smss-DoOoM.vbe => C:\Users\lukas\AppData\Local\Temp\System\smss-DoOoMs.vbs <==== UWAGA

SearchScopes: HKU\S-1-5-21-646227508-2224280563-1056330744-1001 -> DefaultScope {900510BE-29F8-4218-869C-3BF99DD7AAC0} URL =

FF HKLM\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSKHKLM => nie znaleziono

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Zrób nowe logi FRST.

 

Rzeczywiście "wklejto" nie działa.

 

F.

Edytowane 18 Października 2019 przez filutka78

[ciesc 0]

ok zanim to zrobiłem nie poddałem kwarantannie tych plikow z MBAM, po uruchomieniu komputera ponownie nie wyskoczyl mi ten problem lecz po przeskanowaniu MBAM znalazł tym razem 6 zagrozen.

 

zaraz wkleje nowego fixloga.

 

EDIT

https://pastebin.pl/view/c56ab7cf FRST

 

https://pastebin.pl/view/e16fe4a5 ADD

 

prawdopodobnie wszystko jest ok? jestem wdzięczny bardzo przeglądając poprzednie tematy tak myslalem ze można na liczyc tutaj na pomoc

 

może żeby nie zakładac nowego tematu, wiesz jak usunąć program który nie ma już folderu? to aplikacja przez która prawdopodobine zlapalem wirusa

 

 

EDIT: Nie znam się na tych logach ale widze ze nazwa smss-dooom jest jeszcze gdzies tutaj?

 

C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe [7882328 2019-09-13] (LAVASOFT SOFTWARE CANADA INC -> Lavasoft)

HKU\S-1-5-21-646227508-2224280563-1056330744-1001\...\Run: [DAEMON Tools Lite Automount] => C:\Program Files\DAEMON Tools Lite\DTAgent.exe [371304 2019-08-29] (AVB Disc Soft, SIA -> Disc Soft Ltd)

HKU\S-1-5-21-646227508-2224280563-1056330744-1001\...\Run: [skype] => "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun, wscript.exe //B "C:\Users\lukas\AppData\Local\Temp\\MagiXDrivers\smss-DoOoMp.lnk" <==== UWAGA

HKLM\Software\Microsoft\Active Setup\Installed Components: [{8A69D345-D564-463c-AFF1-A69D9E530F96}] -> C:\Program Files (x86)\Google\Chrome\Application\77.0.3865.120\Installer\chrmstp.exe [2019-10-19] (Google LLC -> Google LLC)

Edytowane 18 Października 2019 przez ciesc

[filutka78 11]

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

HKU\S-1-5-21-646227508-2224280563-1056330744-1001\...\Run: [skype] => "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun, wscript.exe //B "C:\Users\lukas\AppData\Local\Temp\\MagiXDrivers\smss-DoOoMp.lnk" <==== UWAGA

URLSearchHook: [s-1-5-21-646227508-2224280563-1056330744-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-10192019005849516] UWAGA => Brak domyślnego URLSearchHook

SearchScopes: HKU\S-1-5-21-646227508-2224280563-1056330744-1001 -> {900510BE-29F8-4218-869C-3BF99DD7AAC0} URL =

C:\Users\lukas\Downloads\Fixlog.txt

HKLM\...\StartupApproved\Run: => "smss-DoOoMs"

HKLM\...\StartupApproved\Run32: => "smss-DoOoMs"

HKU\S-1-5-21-646227508-2224280563-1056330744-1001\...\StartupApproved\StartupFolder: => "smss-DoOoMs.lnk"

HKU\S-1-5-21-646227508-2224280563-1056330744-1001\...\StartupApproved\StartupFolder: => "smss-DoOoM.lnk"

HKU\S-1-5-21-646227508-2224280563-1056330744-1001\...\StartupApproved\Run: => "smss-DoOoMs"

RemoveDirectory: D:\Program Fules (x86)\Luxonix

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Uruchom FRST.

W polu SEARCH (SZUKAJ) wklej:

smss-DoOoMs.*

kliknij na przycisk "Search Files (Szukaj Plików)".

Raport z tego będzie tam, gdzie jest FRST.

 

Uruchom FRST.

W polu SEARCH (SZUKAJ) wklej:

smss-DoOoMs; Luxonix;

kliknij na przycisk "Search Registry" (Szukaj w Rejestrze).

Raport z tego będzie tam, gdzie jest FRST.

 

F.

[ciesc 0]

Farbar Recovery Scan Tool (x64) Wersja: 12-10-2019 02
Uruchomiony przez lukas (19-10-2019 09:13:27)
Uruchomiony z C:\Users\lukas\Downloads
Tryb startu: Normal

================== Szukaj plików: "smss-DoOoMs.*" =============


====== Koniec  Szukaj ======

 

 

Farbar Recovery Scan Tool (x64) Wersja: 12-10-2019 02
Uruchomiony przez lukas (19-10-2019 09:23:07)
Uruchomiony z C:\Users\lukas\Downloads
Tryb startu: Normal

================== Szukaj w rejestrze: "smss-DoOoMs; Luxonix" ===========


===================== Rezultaty wyszukiwania dla "smss-DoOoMs" ==========


===================== Rezultaty wyszukiwania dla " Luxonix" ==========

====== Koniec  Szukaj ======

 

Niestety wciaz widnieje ten Luxonix i nie da sie go pozbyc w "odinstaluj programy"

 

 

 

Malwarebytes
www.malwarebytes.com

-Szczegóły raportu-
Data skanowania: 19.10.2019
Czas skanowania: 09:23
Plik raportu: 5ae85732-f241-11e9-abb4-d8d09018f3d9.json

-Informacje o oprogramowaniu-
Wersja: 3.8.3.2965
Wersja komponentów: 1.0.629
Aktualna wersja pakietu: 1.0.12973
Licencja: Wersja próbna

-Informacje o systemie-
System operacyjny: Windows 10 (Build 17763.805)
Procesor: x64
System plików: NTFS
Użytkownik: DESKTOP-O4RGA6R\lukas

-Wyniki skanowania-
Typ skanowania: Pełne skanowanie
Skan zapoczątkowany przez: Ręcznie
Wynik: Ukończono
Obiekty przeskanowane: 267065
Wykryte zagrożenia: 0
Zagrożenia poddane kwarantannie: 0
Czas, który upłynął: 0 min, 39 s

-Opcje skanowania-
Pamięć: Włączony
Autostart: Włączony
System plików: Włączony
Archiwa: Włączony
Rootkity: Wyłączony
Heurystyka: Włączony
PUP: Wykrywanie
PUM: Wykrywanie

-Szczegóły skanowania-
Proces: 0
(Nie wykryto zagrożeń)

Moduł: 0
(Nie wykryto zagrożeń)

Klucz rejestru: 0
(Nie wykryto zagrożeń)

Wartość rejestru: 0
(Nie wykryto zagrożeń)

Dane rejestru: 0
(Nie wykryto zagrożeń)

Strumień danych: 0
(Nie wykryto zagrożeń)

Folder: 0
(Nie wykryto zagrożeń)

Plik: 0
(Nie wykryto zagrożeń)

Sektor fizyczny: 0
(Nie wykryto zagrożeń)

WMI: 0
(Nie wykryto zagrożeń)


(end)

Edytowane 19 Października 2019 przez ciesc

[filutka78 11]

wciaz widnieje ten Luxonix i nie da sie go pozbyc w "odinstaluj programy"

ale ja tego ani w logach, ani w wyszukiwaniu szczegółowym, nie widzę.

to tak wygląda, jakby na "D" był zainstalowany System, a nie tylko na "C".

 

F.

Edytowane 19 Października 2019 przez filutka78

[ciesc 0]

wk**wia mnie to ze nie moge zresetowac systemu, probowalem w trybie awaryjnym itd.

 

jest jeszcze opcja przywracania obrazu systemu do fabrycznej wersji.. ale tam chyba trzeba miec instalke na dyku zewnetrznym

?