Kaspersky è scomparso! + disastri successivi

[Pugaciov]

Ciao a tutti
E' iniziato tutto con qualche robaccia di virus/trojan/quellocheè di cui parlavo in questo thread. In pratica questo cavolo di mdms.exe già aveva reso il PC un casino e non c'era verso di toglierlo con Kaspersky Anti-Virus Personal 5.0.149, appunto. Ma neanche con Ad-Aware o Spybot S&D.
Poi, da un giorno all'altro, Kaspersky è scomparso dalla system tray. Fra i processi attivi vedo kavsvc.exe ma non posso terminarlo e se provo a disinstallarlo mi dice che devo prima uscire dall'antivirus, cosa impossibile visto che in pratica, non lo vedo da nessuna parte.
Il problema è che non sembra protegga più una mazza, soliti problemi: il task manager che non si visualizza e rimane l'icona nella system tray, riavii improvvisi ecc ecc

Cosa posso fare?

Saluti

[halduemilauno]

Quote:

Originariamente inviato da Pugaciov
Ciao a tutti
E' iniziato tutto con qualche robaccia di virus/trojan/quellocheè di cui parlavo in questo thread. In pratica questo cavolo di mdms.exe già aveva reso il PC un casino e non c'era verso di toglierlo con Kaspersky Anti-Virus Personal 5.0.149, appunto. Ma neanche con Ad-Aware o Spybot S&D.
Poi, da un giorno all'altro, Kaspersky è scomparso dalla system tray. Fra i processi attivi vedo kavsvc.exe ma non posso terminarlo e se provo a disinstallarlo mi dice che devo prima uscire dall'antivirus, cosa impossibile visto che in pratica, non lo vedo da nessuna parte.
Il problema è che non sembra protegga più una mazza, soliti problemi: il task manager che non si visualizza e rimane l'icona nella system tray, riavii improvvisi ecc ecc

Cosa posso fare?

Saluti

installati jv16. fai piazza pulita dell'avvio e disinstalli completamente(disco/registro)di kav e poi lo reinstalli. poi aggiungi degli antispyware più adeguati come microsoft, spysweeper, adware away.
disabilita il ripristino conf. di sistema e magari fai la scansione(aggiornatissimi)in mod. provvisoria.
ciao.

[MrOZ]

ciao, puoi mandarmi al mio indirizzo inviaqui@email.it un file infetto da quel trojan di cui parli???

ciao

[Pugaciov]

Quote:

Originariamente inviato da halduemilauno
installati jv16. fai piazza pulita dell'avvio e disinstalli completamente(disco/registro)di kav e poi lo reinstalli. poi aggiungi degli antispyware più adeguati come microsoft, spysweeper, adware away.
disabilita il ripristino conf. di sistema e magari fai la scansione(aggiornatissimi)in mod. provvisoria.
ciao.

Con JV16 non riesco proprio a fare niente, in esecuzione automatica all'avvio Kaspersly l'avevo già tolto e non c'è verso di disinstallarlo perchè dice sempre che è in esecuzione...

[Pugaciov]

Quote:

Originariamente inviato da MrOZ
ciao, puoi mandarmi al mio indirizzo inviaqui@email.it un file infetto da quel trojan di cui parli???

ciao

Ciao
T'ho appena inviato il file mdms.exe

[Pugaciov]

Scusate la domanda, l'antispyware di Microsoft è quello che si scarica qui?
E' buono?

[halduemilauno]

Quote:

Originariamente inviato da Pugaciov
Scusate la domanda, l'antispyware di Microsoft è quello che si scarica qui?
E' buono?

si è quello ed è ottimo.

[MrOZ]

scusa ma sono stato via tutto il pomeriggio.

prima di tutto dovresti scoprire qual è la dll associata a quel trojan (oppure se vi sono altri file exe) che di solito si trova in c:\windows, c:\windows\system32, c:\winnt, c:\winnt\system32, c:\windows\system a seconda della ver del trojan o del tuo OS.

x fare questo puoi avvalerti di prog come HijackThis o AboutBuster, controlla poi nel taskmanager se vedi qualche exe insolito oppure in msconfig se trovi un elemento del tipo "Rundll32.exe xxx.dll, DllregistarServer".

in system o system32 hai x caso un file di nome yemarvdn.dll oppure wnim.dll???

[Pugaciov]

Quote:

Originariamente inviato da MrOZ
scusa ma sono stato via tutto il pomeriggio.

prima di tutto dovresti scoprire qual è la dll associata a quel trojan (oppure se vi sono altri file exe) che di solito si trova in c:\windows, c:\windows\system32, c:\winnt, c:\winnt\system32, c:\windows\system a seconda della ver del trojan o del tuo OS.

x fare questo puoi avvalerti di prog come HijackThis o AboutBuster, controlla poi nel taskmanager se vedi qualche exe insolito oppure in msconfig se trovi un elemento del tipo "Rundll32.exe xxx.dll, DllregistarServer".

in system o system32 hai x caso un file di nome yemarvdn.dll oppure wnim.dll???

Ciao
Allora, mdms.exe si trova in Windows\System32 ed è anche ben visibile in MSConfig, in System32 non ci sono quei due file che hai nominato.
Ovviamente però, essendo incasinato anche con Kaspersky, anche se termino il processo mdms.exe, lo elimino sia dal registro che in System32, ricompare dopo pochi minuti/ore.
Quindi vorrei prima riuscire a far funzionare di nuovo Kaspersky, cosa che sembra davvero impossibile

[Pugaciov]

Up!

Ragazzi proprio non riesco a capira cosa gli sia preso.
Anche supponendo che riesco ad eliminare quello che di zozzo già ho, c'è sempre sto Kaspersky che non si capisce se c'è o non c'è.
Sto provando con PowerTools ma cosa dovrei fare per eliminarlo? Cancellare tutta la cartella?

[halduemilauno]

Quote:

Originariamente inviato da Pugaciov
Up!

Ragazzi proprio non riesco a capira cosa gli sia preso.
Anche supponendo che riesco ad eliminare quello che di zozzo già ho, c'è sempre sto Kaspersky che non si capisce se c'è o non c'è.
Sto provando con PowerTools ma cosa dovrei fare per eliminarlo? Cancellare tutta la cartella?

devi andare in strumenti registro ed eliminare tutte le voci interessate. poi vai in segugio di registro e digitanto le parole chiavi elimini tutte le voci dal registro.
ciao.


se vuoi accendi msn.

[Pugaciov]

Quote:

Originariamente inviato da halduemilauno
devi andare in strumenti registro ed eliminare tutte le voci interessate. poi vai in segugio di registro e digitanto le parole chiavi elimini tutte le voci dal registro.
ciao.

Ok grazie, comunque io ho la vecchia versione (1.2) e alcune voci non corrispondono (ha anche una traduzione italiana non molto ben fatta quindi lo uso in inglese), e proprio 2 minuti fa sono riuscito ad eliminare in qualche modo alcuni file di Kaspersky, o meglio o "fatto comparire" la disinstallazione, che prima neanche potevo fare
C'è ancora il processo kasvc.exc che spero si termini da solo al riavvio e alcuni file sono ancora nella cartella Kaspersky Lab, ho fatto un mezzo casino.

E comunque questo dannatissimo mdms.exe continua a ripresentarsi. Porca *****.

[Pugaciov]

Quote:

Originariamente inviato da halduemilauno

se vuoi accendi msn.

Ok sono online

[bluepix]

controlla se ci sono queste voci

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Machine Debug Manager=mdms.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Machine Debug Manager=mdms.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Machine Debug Manager=mdms.exe


se si, eliminale

[Pugaciov]

Grazie dell'aiuto bluepix, mi ricordo che avevi cercato di darmi una mano anche nell'altro Thread. Purtroppo quelle chiavi non ci sono....
Stasera smanettando un po', con l'aiuto di halduemilauno sono riuscito a sistemare parecchia roba ma ho scoperto anche che quel cavolo di mdms.exe mi si "autorigenera" anche se sono Offline.
Cerco di eliminarlo manualmente, basta che clicco col destro su un qualsiasi file del PC e Microsoft AntiSpyware giustamente s'allarma, ma non riesce a fare nulla e così me lo ritrovo sia come file in System32 che come processo all'avvio.

[halduemilauno]

Quote:

Originariamente inviato da Pugaciov
Grazie dell'aiuto bluepix, mi ricordo che avevi cercato di darmi una mano anche nell'altro Thread. Purtroppo quelle chiavi non ci sono....
Stasera smanettando un po', con l'aiuto di halduemilauno sono riuscito a sistemare parecchia roba ma ho scoperto anche che quel cavolo di mdms.exe mi si "autorigenera" anche se sono Offline.
Cerco di eliminarlo manualmente, basta che clicco col destro su un qualsiasi file del PC e Microsoft AntiSpyware giustamente s'allarma, ma non riesce a fare nulla e così me lo ritrovo sia come file in System32 che come processo all'avvio.

come alternativa consiglio spysweeper.
ciao.


poi come è andata con dust?

[bluepix]

Pugaciov mi spiace che tu non riesca ad eliminare il "maledetto".
Il nocciolo della questione sta nel fatto che non vengono messi nel forum elementi tecnici che possano aiutare a debellare l'intruso.
Si va a tentativi ( o meglio a tentataivi come diceva Paolantoni)con i suggerimenti.
Siccome però, mentre i fabbricatori di schifezze decidono loro dove metterle e sono anche bravi, noi del forum per seguirli dovremmo avere una sfera di cristallo oppure suggerire tutti i vari prodotti presenti sul mercato per cercare di eliminare il problema.
Penso che oramai chi viene quì li ha già sperimentati tutti o quasi, e visto che il problema sussiste, dovremmo affrontarlo in un'altra maniera.
Come ho già suggerito in un altro post, è ASSOLUTAMENTE NECESSARIO, allegare almeno un report di "HijackThis".
Non è che con questo si riesca a dare la soluzione definitiva, ma almeno c'è qualcosa di concreto su cui lavorare.
Mi piacerebbe che "il moderatore" mettesse in evidenza un post a riguardo.

ciao

[Pugaciov]

Quote:

Originariamente inviato da bluepix
Pugaciov mi spiace che tu non riesca ad eliminare il "maledetto".
Il nocciolo della questione sta nel fatto che non vengono messi nel forum elementi tecnici che possano aiutare a debellare l'intruso.
Si va a tentativi ( o meglio a tentataivi come diceva Paolantoni)con i suggerimenti.
Siccome però, mentre i fabbricatori di schifezze decidono loro dove metterle e sono anche bravi, noi del forum per seguirli dovremmo avere una sfera di cristallo oppure suggerire tutti i vari prodotti presenti sul mercato per cercare di eliminare il problema.
Penso che oramai chi viene quì li ha già sperimentati tutti o quasi, e visto che il problema sussiste, dovremmo affrontarlo in un'altra maniera.
Come ho già suggerito in un altro post, è ASSOLUTAMENTE NECESSARIO, allegare almeno un report di "HijackThis".
Non è che con questo si riesca a dare la soluzione definitiva, ma almeno c'è qualcosa di concreto su cui lavorare.
Mi piacerebbe che "il moderatore" mettesse in evidenza un post a riguardo.

ciao

Chiarissimo bluepix, purtroppo ho avuto il PC davvero incasinato per cui non mi sono preoccupato tanto di fornirvi il necessario per l'aiuto, cosa che cerco di fare sempre in caso di problema.
HiJackThis non l'avevo mai usato prima, l'ho scaricato ed ho fatto uno scan.

Codice:

Logfile of HijackThis v1.99.1
Scan saved at 15.55.56, on 01/03/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Microsoft AntiSpyware\gcasServ.exe
C:\windows\system32\mdms.exe
C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programmi\Winamp\winamp.exe
C:\Programmi\Free Download Manager\fdm.exe
C:\Programmi\Mozilla Thunderbird\thunderbird.exe
C:\Programmi\Mozilla Firefox\firefox.exe
H:\Progs\Sicurezza\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - (no file)
O2 - BHO: (no name) - {ED59DA4F-EAAC-10EF-CF18-DB2B2279EBA5} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "D:\Progs\Tweak\RivaTuner\RivaTuner.exe" /S
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
O4 - HKCU\..\RunServices: [MSN Messanger] msnmsng.exe
O4 - HKCU\..\RunServices: [SmcService] wuauclt32.exe
O8 - Extra context menu item: Download all by Free Download Manager - file://C:\Programmi\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://C:\Programmi\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Programmi\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://C:\Programmi\Free Download Manager\dlpage.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O16 - DPF: {11111111-1111-1111-1111-111111113457} - 
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E41E727-4688-4098-8E18-F69AF11C0DD1}: NameServer = 62.94.0.1 62.94.0.2
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Windows 32-bit PnP Driver (winpnp32) - Unknown owner - C:\WINDOWS\System32\winpnp32.exe
O23 - Service: WMDM PMSP Service - Unknown owner - C:\WINDOWS\System32\MsPMSPSv.exe (file missing)

Un po' di robaccia la vedo anche io....



Saluti

[bluepix]

O4 - HKCU\..\RunServices: [MSN Messanger] msnmsng.exe

dai un'occhiata qui

http://uk.trendmicro-europe.com/ente...=WORM_SDBOT.XN

e poi c'è altra roba da togliere

[Pugaciov]

Quote:

Originariamente inviato da bluepix
O4 - HKCU\..\RunServices: [MSN Messanger] msnmsng.exe

dai un'occhiata qui

http://uk.trendmicro-europe.com/ente...=WORM_SDBOT.XN

e poi c'è altra roba da togliere

Ciao
Ho provato ad eliminarlo seguendo il link. L'mdms.exe c'è sempre.

edit: e comunque anche riguardo a quel msnmsng.exe molte voci indicate da Trend Micro non erano presenti nel registro, forse in parte era già stato eliminato.