problem z mdms.exe!!!jak sie tego syfu pozbyć

**Posty:** 8 · przez **basienkaa85** 18 Sie 2005, 17:54

oto mój log:

Logfile of HijackThis v1.99.1
Scan saved at 17:46:45, on 2005-08-18
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Microtek\ScanWizard 5\ScannerFinder.exe
C:\WINDOWS\system32\RaConfig.exe
C:\HiJack this\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gogle.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microtek Scanner Finder.lnk = C:\Program Files\Microtek\ScanWizard 5\ScannerFinder.exe
O4 - Global Startup: RaConfig.lnk = C:\WINDOWS\system32\RaConfig.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{698EBFFA-A726-4618-9F2C-DD7089AEEC2D}: NameServer = 192.168.10.1
O20 - Winlogon Notify: tcpG4T - C:\WINDOWS\SYSTEM32\tcpG4T.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

błagam pomózcie! komp mi sie co chwilke restartuje a ja nie umem sobie sama poradzić:(:(

**Posty:** 7956 · przez **Magik** 18 Sie 2005, 18:01

Witam
na dzien dobry......jest napisane jasno ze log wstawia sie w tagi "code" a Ty co???? :roll:

wywal to:

Kod: Zaznacz wszystko: O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe

no i czysty masz ten komp

a ten mdms to trojan wiec potraktuj system jakims antitrojanem etc

**Posty:** 8 · przez **basienkaa85** 18 Sie 2005, 18:19

gdyby to było tak proste to nie prosiłabym o pomoc na tym forum....

wywalałam to juz chyba z 10 razy i nic! ciągle zostaje.nawet potraktowałam to killboxem i nic....nie chce ruszyc.

a za loga to sorki ale jestem tu pierwszy raz a na dodatek ciagle mi kompa restartowalo wiec spieszylam sie z napisaniem posta i nie zauwazylam :oops:

**Posty:** 2296 · przez **@Marcin** 18 Sie 2005, 18:22

Wywal to w trybie awaryjnym bez przywracania systemu. Zeskanuj kompa Ad-aware i Spybot S&D.

**Posty:** 7956 · przez **Magik** 18 Sie 2005, 18:23

a probowalas go recznie wywalic w trybie awaryjnym??
Trojan remover nie dal rady, jesli go wogole uzylas??

basienkaa85 napisał(a):wywalałam to juz chyba z 10 razy i nic! ciągle zostaje

mozliwe ze ma wpisy w rejestrze........
kolejnosc poczynan IMHO
:arrow:

tryb awaryjny
:arrow:

recznie wywalasz
:arrow:

adaware np. lub spybot, potem trojan Remover

PZDR

**Posty:** 8 · przez **basienkaa85** 18 Sie 2005, 18:33

oczywiście że wywalałam go ręcznie w awaryjnym. najpierw hijackiem potem recznie ale dalej siedzi.a czegoś takieo jak trojam remover to nie mam ale poszukam i zobacze. mam nadzieje ze go w koncu cos ruszy.

przez **Tom@szek** 18 Sie 2005, 19:11

Tego nie usuniesz tak łatwo. Tutaj masz PORADNIK jak to zrobić.

**Posty:** 8 · przez **basienkaa85** 18 Sie 2005, 21:05

niestety ale nie moge wlasnie wejsc na stronke forum searchengines:(a co za tym idzie nie moge przeczytac instrukcji jak to wywalic:(nie wiem czy to ma zwiazek z tym syfem czy nie ale nie moge wchodzic na niektore stronki.dlatego jesli ktos bylby tak mily i wkleil mi tu w tym temacie instrukcje wywalania tego to bylabym bardzo wdzieczna.

**Posty:** 7956 · przez **Magik** 18 Sie 2005, 21:10

basienkaa85 napisał(a):jesli ktos bylby tak mily

Bylby

Usuwanie:

1. Przygotuj plik usuwający wpisy z rejestru. Otwórz Notatnik i wklej w nim to:

QUOTE
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SysMemory manager"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{5E2121EE-0300-11D4-8D3B-444553540000}"=-

[-HKEY_LOCAL_MACHINE\Software\Classes\*\shellex\ContextMenuHandlers\sysacpildap]

[-HKEY_CURRENT_USER\Software\mzs]

[-HKEY_CLASSES_ROOT\acpi.acpi.1]

[-HKEY_CLASSES_ROOT\acpi.ext]

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> zapisz pod nazwą FIX.REG.

UWAGA: jeśli ktoś ma wpis z plikiem mcsmss.exe to zamiast "SysMemory manager" podstawia "cmssSystemProcess" do pliku w Notatniku.

2. Zastartuj do trybu awaryjnego.

3. Otwórz Pocket KillBox, zaznacz Delete on reboot i wklej w pustym polu ścieżkę C:\WINDOWS\System32\winacpi.dll, zatwierdź i zresetuj komputer.

3. Ponownie startujesz do trybu awaryjnego i klikasz podwójnie plik FIX.REG potwierdzając to o co zapyta.

4. Kasujesz z dysku cały folder C:\WINDOWS\tgbcde oraz jeden z plików w zależności od tego jaką wersją dysponujesz:

C:\WINDOWS\system32\mdms.exe
C:\WINDOWS\system32\mcsmss.exe

PZDR

**Posty:** 8 · przez **basienkaa85** 18 Sie 2005, 21:16

DZIĘKUJE ŚLICZNIE

a teraz mam jeszcze jedno pytanko. czy mam zrobic dokladnie wszystko tak jak jest tam napisane czy moze cos musze pozmieniac przy tym wpisywaniu?

**Posty:** 7956 · przez **Magik** 18 Sie 2005, 21:20

czy moze cos musze pozmieniac przy tym wpisywaniu?

Nic nie zmieniaj/nie musisz
postepuj wg schematu j/w
Powodzenia

PZDR

**Posty:** 8 · przez **basienkaa85** 18 Sie 2005, 22:00

udalo mi sie juz pozbyc mdsm.exe jednak w moim logu martwi mnie jeszcze jedna rzecz. log wyglada tak:

Kod: Zaznacz wszystko: Logfile of HijackThis v1.99.1 Scan saved at 21:57:26, on 2005-08-18 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\AVPersonal\AVWUPSRV.EXE C:\Program Files\ewido\security suite\ewidoctrl.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\AVPersonal\AVGNT.EXE C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Microtek\ScanWizard 5\ScannerFinder.exe C:\WINDOWS\system32\RaConfig.exe C:\WINDOWS\System32\wuauclt.exe C:\HiJack this\HijackThis.exe C:\WINDOWS\System32\wuauclt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gogle.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Microtek Scanner Finder.lnk = C:\Program Files\Microtek\ScanWizard 5\ScannerFinder.exe O4 - Global Startup: RaConfig.lnk = C:\WINDOWS\system32\RaConfig.exe O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{698EBFFA-A726-4618-9F2C-DD7089AEEC2D}: NameServer = 192.168.10.1 O20 - Winlogon Notify: tcpG4T - C:\WINDOWS\SYSTEM32\tcpG4T.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

a mnie martwi to:

Kod: Zaznacz wszystko: O20 - Winlogon Notify: tcpG4T - C:\WINDOWS\SYSTEM32\tcpG4T.dll

to rowniez kadsowalam kilkakrotnie i nadal siedzi.

**Posty:** 7956 · przez **Magik** 19 Sie 2005, 09:11

basienkaa85 napisał(a):a mnie martwi to:
Kod:
O20 - Winlogon Notify: tcpG4T - C:\WINDOWS\SYSTEM32\tcpG4T.dll

to rowniez kadsowalam kilkakrotnie i nadal siedzi.

C:\WINDOWS\system32\tcpG4T.dll-----tam siedzi probuj usunac......sprobuj takze usunac go killbox'em

PZDR

**Posty:** 8 · przez **basienkaa85** 19 Sie 2005, 22:07

niestety dalej nie chce sie usunąć:( moze tez trzeba go wyrejestrować??

**Posty:** 2296 · przez **@Marcin** 19 Sie 2005, 22:30

basienkaa85 napisał(a):niestety dalej nie chce sie usunąć

Ten wpis ręcznie trzeba wywalić, lokalizacja:

C:\WINDOWS\SYSTEM32\tcpG4T.dll

przez **Tom@szek** 19 Sie 2005, 23:07

Usunięcie wpisu tego typu w HijackThis nie usuwa pliku! Po usunięciu wpisu plik trzeba usuwać ręcznie w trybie awaryjnym lub co gorzej poprzez dyskietki startowe!

**Posty:** 8 · przez **basienkaa85** 20 Sie 2005, 10:17

już jest wszystko ok. pliku nie dalo sie usunąć ręcznie w awaryjnym!! po prostu nie chciał ruszyc!
receptą na tego syfa było to:http://www.searchengines.pl/phpbb203/index.php?showtopic=43082&st=0&p=194000&#entry194000
ale mimo wszystko bardzo dziekuje za pomoc:):)

problem z mdms.exe!!!jak sie tego syfu pozbyć

problem z mdms.exe!!!jak sie tego syfu pozbyć

Kto jest na forum