Trojan?

[Kjell S]

Mitt Panda larmar om en infekterad fil smss.exe, den innehåller Trj/Krap.AH

 

Panda hittar den och frågar om jag vill starta om osv. men det är samma sak igen.

 

Har provat med SuperAntiSpyware den hittar också samma sak men larmen återkommer efter omstart.

 

Hittade något om DDS - laddade ner detta från länk och startade, men resultatet blir underligt, datorn bara öppnar filen i anteckningar, något program körs inte igång??

[Mats H]

Hej!

DDS skannar endast av din dator. Text filen innehåller en logg av din dator.

Du kan kopiera texten och klistra in den här i din tråd.

 

Mvh

Mats H

[Kjell S]

Angående DDS så laddade jag ner dds.scr på 513 kB från angiven plats och resultatet i en txt-fil blir enligt exempel.

 

Och jag tror inte det är det som är meningen..... eller?

 

 

?ªlì£älRÏ YÕŠ¤‘>1b¥ø7î&ÂgŽšI×.–ŸVŒ¥4Èd,bËX9šu^z T1-qáè«„ú)”MrxIÃä3Ö«™öª=¶As®¡™Í"†®b;*lÁ:†3.ÿ]ˆÚyÄK0!Ì`嫳¥D?²~«NñÎ{ù×cþàÓj«´ÃG»xgÑtšz<nH!¨U"0$>QQ2€B.§™¸œ?z–ãäÀkWVt›uÞo4pë3pÿ=ÔÇ­%9E˜ƒ{ ’J

µ

-ÿr>;Ÿ\f˜hKÍ3Ô’¢ýÓ®˜ô—ï½û–A¥ébê¢È]OI,[sü"Ñ­ûÚ/‹8½Š*§—Q©²Gô‘0½-Z‚îŒñhhó|ëë{8•E«-™=H˜H¡æ¦

¼[Íd;±9I/vçÍUÚ<&¹ ¬W‹j[ÇÏ!áʽìùõ•j U½võ‘«ëÀM5½´|ƒžCwÙuö6‡Ô4 §‘O¢ÚWeóbJ‚3îïÝ-õ‘{#Uâ<P*Ä_'_•¼¬cãÔu@Bî7kí'µUf\ê:@´…2“>TT`Vvl>Ÿ³`¿‘>²€9ñÖäîzJr4V’ÏëÛr‡H‘Æ/UizÄ0|mÁXVËo«ëÝÆa¶ÿ¸°Å5"ÇÞw9”ÎoJ áR5þ7+.Å`á¡Õ?ä9OÊò:r/hKÙÔ}m@Æþ<6O€¶âU{õ5«½vw©„¬‘³PƒÕýßÈYˆâЬys׎,æM†½lb0lh줸‚Û dÑcàoÖžVì‹ãü*Q¶¥yo¨Næê}S™4i¹Ä€)[ˆ€à±OÃ:FWï7ùæš{6 Ú§m®3ùíj˜Fð\¶Ó¦4BCÑ¡9æQ*6Ù>Dà×Øä¼ ð•{ÕÆ.©x4énÊÐ&Ø¿*Œ©³vÃÊE{LÄ,Ü„§nø€HÆÆ«Ûù×ĺ¹ñ$ÐÁhz5ŒuÑ­ƒe;ÛüÕÇ'.üj.Ga ¯ŒúËhýY>¢~>¾Ù‹‰öik!i¾FÝ=E%ûJÊAiÙ/ÙÄ£0,Õ¨KL3b%

[Kjell S]

Lyckades till slut kör DDS, fick ändra filtyp då min dator anser .scr-filer för något som hör till mitt cad.

Bytte namn till dds.exe sen gick det bra.

 

 

Här kommer logfilen

 

 

 

DDS (Ver_10-03-17.01) - NTFSx86

Run by KS at 17:04:15,13 on 2010-04-03

Internet Explorer: 8.0.6001.18904

Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.46.1053.18.3327.2425 [GMT 2:00]

 

SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

SP: SUPERAntiSpyware *enabled* (Updated) {222A897C-5018-402e-943F-7E7AC8560DA7}

 

============== Running Processes ===============

 

C:\Windows\system32\wininit.exe

C:\Windows\system32\lsm.exe

C:\Windows\system32\svchost.exe -k DcomLaunch

C:\Windows\system32\nvvsvc.exe

C:\Windows\system32\svchost.exe -k rpcss

C:\Windows\System32\svchost.exe -k secsvcs

C:\Windows\system32\svchost.exe -k NetworkService

C:\Program Files\Panda Security\Panda Antivirus Pro 2010\PskSvc.exe

C:\Program Files\Panda Security\Panda Antivirus Pro 2010\TPSrv.exe

C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted

C:\PROGRAM FILES\PANDA SECURITY\PANDA ANTIVIRUS PRO 2010\WebProxy.exe

C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted

C:\Windows\system32\svchost.exe -k netsvcs

C:\Windows\system32\svchost.exe -k GPSvcGroup

C:\Windows\system32\SLsvc.exe

C:\Windows\system32\svchost.exe -k LocalService

C:\Windows\system32\nvvsvc.exe

C:\Windows\system32\taskeng.exe

C:\Windows\System32\spoolsv.exe

C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork

C:\Windows\system32\taskeng.exe

C:\Windows\Explorer.EXE

C:\Program Files\ABBYY FineReader 9.0\NetworkLicenseServer.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\Seagate\SeagateManager\Sync\FreeAgentService.exe

C:\Windows\system32\svchost -k Panda

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Panda Security\Panda Antivirus Pro 2010\PsCtrls.exe

C:\Program Files\Panda Security\Panda Antivirus Pro 2010\PavFnSvr.exe

C:\Program Files\Common Files\Panda Security\PavShld\pavprsrv.exe

C:\Program Files\Panda Security\Panda Antivirus Pro 2010\pavsrvx86.exe

C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted

C:\Program Files\Panda Security\Panda Antivirus Pro 2010\AVENGINE.EXE

C:\Program Files\Panda Security\Panda Antivirus Pro 2010\PsImSvc.exe

C:\Windows\system32\svchost.exe -k imgsvc

C:\Program Files\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe

C:\Windows\System32\svchost.exe -k WerSvcGroup

C:\Windows\system32\SearchIndexer.exe

C:\Windows\system32\WUDFHost.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\Windows\RtHDVCpl.exe

C:\Program Files\epson\Creativity Suite\Event Manager\EEventManager.exe

C:\Program Files\Adobe\Acrobat 7.0\Distillr\acrotray.exe

C:\Program Files\Seagate\SeagateManager\FreeAgent Status\stxmenumgr.exe

C:\Program Files\Panda Security\Panda Antivirus Pro 2010\ApVxdWin.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe

C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe

C:\Program Files\Common Files\Hewlett-Packard\HP Device Communication Services\AppInterfaces\HPDeviceService.exe

C:\Program Files\Hewlett-Packard\HP Easy Printer Care\HPPRun.exe

C:\Program Files\Hp\HP Software Update\hpwuSchd2.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Windows\ehome\ehtray.exe

C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Program Files\Personal\bin\Personal.exe

C:\Program Files\WinZip\WZQKPICK.EXE

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Windows\ehome\ehmsas.exe

C:\Program Files\Windows Media Player\wmpnetwk.exe

C:\Program Files\Common Files\Hewlett-Packard\HP Device Communication Services\AppInterfaces\HPDeviceHost.exe

C:\Windows\system32\wuauclt.exe

C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\Windows\system32\Macromed\Flash\FlashUtil10e.exe

C:\Program Files\Adobe\Adobe Bridge CS4\Bridge.exe

C:\Program Files\Adobe\Acrobat 7.0\Acrobat\Acrobat.exe

C:\Users\KS\AppData\Local\Temp\Adobelm_Cleanup.0001

C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

C:\Users\KS\AppData\Local\Temp\Adobelm_Cleanup.0001

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Microsoft Office\OFFICE11\FRONTPG.EXE

C:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe

C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

C:\Windows\System32\mobsync.exe

C:\Windows\system32\notepad.exe

C:\Windows\system32\Dwm.exe

C:\Windows\system32\conime.exe

C:\Windows\system32\SearchProtocolHost.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Windows\system32\DllHost.exe

C:\Windows\system32\DllHost.exe

C:\Users\KS\Desktop\dds.exe

C:\Windows\system32\wbem\wmiprvse.exe

 

============== Pseudo HJT Report ===============

 

uStart Page = hxxp://www.eniro.se/

uInternet Settings,ProxyOverride = *.local

BHO: AcroIEHlprObj Class: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program files\adobe\acrobat 7.0\activex\AcroIEHelper.dll

BHO: Groove GFS Browser Helper: {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - c:\program files\microsoft office\office12\GrooveShellExtensions.dll

BHO: AcroIEToolbarHelper Class: {ae7cd045-e861-484f-8273-0445ee161910} - c:\program files\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll

TB: Adobe PDF: {47833539-d0c5-4125-9fa8-0819e2eaac93} - c:\program files\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll

TB: {472734EA-242A-422B-ADF8-83D1E48CC825} - No File

EB: Adobe PDF: {182ec0be-5110-49c8-a062-beb1d02a220b} - c:\program files\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll

uRun: [sidebar] c:\program files\windows sidebar\sidebar.exe /autoRun

uRun: [AdobeBridge]

uRun: [ehTray.exe] c:\windows\ehome\ehTray.exe

uRun: [WMPNSCFG] c:\program files\windows media player\WMPNSCFG.exe

uRun: [sUPERAntiSpyware] c:\program files\superantispyware\SUPERAntiSpyware.exe

mRun: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

mRun: [RtHDVCpl] RtHDVCpl.exe

mRun: [Adobe Reader Speed Launcher] "c:\program files\adobe\reader 8.0\reader\Reader_sl.exe"

mRun: [FSCRecovery] c:\program files\fujitsu siemens computers\fujitsu siemens computers recovery\FSCRecoveryReminder.exe

mRun: [EEventManager] c:\program files\epson\creativity suite\event manager\EEventManager.exe

mRun: [Acrobat Assistant 7.0] "c:\program files\adobe\acrobat 7.0\distillr\Acrotray.exe"

mRun: [<NO NAME>]

mRun: [AdobeCS4ServiceManager] "c:\program files\common files\adobe\cs4servicemanager\CS4ServiceManager.exe" -launchedbylogin

mRun: [MaxMenuMgr] "c:\program files\seagate\seagatemanager\freeagent status\StxMenuMgr.exe"

mRun: [NBKeyScan] "c:\program files\nero\nero8\nero backitup\NBKeyScan.exe"

mRun: [APVXDWIN] "c:\program files\panda security\panda antivirus pro 2010\APVXDWIN.EXE" /s

mRun: [sCANINICIO] "c:\program files\panda security\panda antivirus pro 2010\Inicio.exe"

mRun: [CmPCIaudio] RunDll32 CMICNFG3.cpl,CMICtrlWnd

mRun: [VirtualCloneDrive] "c:\program files\elaborate bytes\virtualclonedrive\VCDDaemon.exe" /s

mRun: [GrooveMonitor] "c:\program files\microsoft office\office12\GrooveMonitor.exe"

mRun: [KnexStarter] c:\program files\common files\hewlett-packard\hp device communication services\appinterfaces\HPDeviceService.exe

mRun: [RunTasktray] "c:\program files\hewlett-packard\hp easy printer care\hpprun.exe" --regkeypath=software\hewlett-packard\hp easy printer care\HPPRun --valuename=InstallTTM

mRun: [HP Software Update] c:\program files\hp\hp software update\HPWuSchd2.exe

mRun: [Malwarebytes Anti-Malware (reboot)] "c:\program files\malwarebytes' anti-malware\mbam.exe" /runcleanupscript

mRunOnce: [AFixOldWscUnreg] c:\windows\temp\psppk1\HFSetup4.exe

dRun: [fsc-reg] c:\fsc-reg\fscreg.exe

StartupFolder: c:\progra~2\micros~1\windows\startm~1\programs\startup\adobea~1.lnk - c:\windows\installer\{ac76ba86-1033-0000-7760-000000000002}\SC_Acrobat.exe

StartupFolder: c:\progra~2\micros~1\windows\startm~1\programs\startup\bankid~1.lnk - c:\program files\personal\bin\Personal.exe

StartupFolder: c:\progra~2\micros~1\windows\startm~1\programs\startup\winzip~1.lnk - c:\program files\winzip\WZQKPICK.EXE

mPolicies-system: EnableUIADesktopToggle = 0 (0x0)

IE: Convert link target to Adobe PDF - c:\program files\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Convert link target to existing PDF - c:\program files\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convert selected links to Adobe PDF - c:\program files\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

IE: Convert selected links to existing PDF - c:\program files\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

IE: Convert selection to Adobe PDF - c:\program files\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Convert selection to existing PDF - c:\program files\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convert to Adobe PDF - c:\program files\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Convert to existing PDF - c:\program files\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: E&xportera till Microsoft Excel - c:\progra~1\micros~2\office12\EXCEL.EXE/3000

IE: {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - {08B0E5C0-4FCB-11CF-AAA5-00401C608501}

IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\progra~1\micros~2\office12\ONBttnIE.dll

IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office12\REFIEBAR.DLL

Trusted Zone: hp.com

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab

DPF: {CAFEEFAC-0014-0002-0000-ABCDEFFEDCBA} - hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab

DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - c:\program files\microsoft office\office12\GrooveSystemServices.dll

Handler: HPDCS - {ba135f49-a12c-4e26-a2c4-6ea945999072} - c:\program files\common files\hewlett-packard\hp device communication services\app\hpdcsapp.dll

Handler: hppfile - {C4E2084B-ED27-4893-A43D-488CA3F370E2} - c:\program files\hewlett-packard\hp easy printer care\HPPCtrls.dll

Handler: hppsam - {C4E2084B-ED27-4893-A43D-488CA3F370E2} - c:\program files\hewlett-packard\hp easy printer care\HPPCtrls.dll

Handler: hppzip - {C4E2084B-ED27-4893-A43D-488CA3F370E2} - c:\program files\hewlett-packard\hp easy printer care\HPPCtrls.dll

Notify: !SASWinLogon - c:\program files\superantispyware\SASWINLO.dll

SEH: Groove GFS Stub Execution Hook: {b5a7f190-dda6-4420-b3ba-52453494e6cd} - c:\program files\microsoft office\office12\GrooveShellExtensions.dll

SEH: SABShellExecuteHook Class: {5ae067d3-9afb-48e0-853a-ebb7f4a000da} - c:\program files\superantispyware\SASSEH.DLL

 

============= SERVICES / DRIVERS ===============

 

R0 pavboot;Panda boot driver;c:\windows\system32\drivers\pavboot.sys [2010-1-24 28544]

R1 SASDIFSV;SASDIFSV;c:\program files\superantispyware\sasdifsv.sys [2010-2-17 12872]

R1 SASKUTIL;SASKUTIL;c:\program files\superantispyware\SASKUTIL.SYS [2010-2-17 66632]

R1 ShldDrv;Panda File Shield Driver;c:\windows\system32\drivers\ShlDrv51.sys [2010-1-24 41144]

R2 ABBYY.Licensing.FineReader.Professional.9.0;Licenstjänst för ABBYY FineReader 9.0;c:\program files\abbyy finereader 9.0\NetworkLicenseServer.exe [2007-11-2 566560]

R2 AmFSM;AmFSM;c:\windows\system32\drivers\amm8660.sys [2010-1-24 49208]

R2 FreeAgentGoNext Service;Seagate Service;c:\program files\seagate\seagatemanager\sync\FreeAgentService.exe [2009-9-26 189736]

R2 Gwmsrv;Panda Goodware Cache Manager;c:\windows\system32\svchost -k panda --> c:\windows\system32\svchost -k Panda [?]

R2 Panda Software Controller;Panda Software Controller;c:\program files\panda security\panda antivirus pro 2010\PsCtrlS.exe [2010-1-24 173312]

R2 PAVFNSVR;Panda Function Service;c:\program files\panda security\panda antivirus pro 2010\PavFnSvr.exe [2010-1-24 169216]

R2 PavProc;Panda Process Protection Driver;c:\windows\system32\drivers\PavProc.sys [2010-1-24 177416]

R2 PavPrSrv;Panda Process Protection Service;c:\program files\common files\panda security\pavshld\PavPrSrv.exe [2010-1-24 62768]

R2 PAVSRV;Panda On-Access Anti-Malware Service;c:\program files\panda security\panda antivirus pro 2010\pavsrvx86.exe [2010-1-24 291584]

R2 PskSvcRetail;Panda PSK service;c:\program files\panda security\panda antivirus pro 2010\psksvc.exe [2010-1-24 28928]

R3 SASENUM;SASENUM;c:\program files\superantispyware\SASENUM.SYS [2010-2-17 12872]

S4 Norman ZANDA;Norman ZANDA;"c:\program files\norman\npm\bin\zanda.exe" --> c:\program files\norman\npm\bin\Zanda.exe [?]

 

============== File Associations ===============

 

JSEFile=c:\progra~1\pandas~1\pandaa~1\PAVSCRIP.EXE "%1" %*

VBEFile=c:\progra~1\pandas~1\pandaa~1\PAVSCRIP.EXE "%1" %*

VBSFile=c:\progra~1\pandas~1\pandaa~1\PAVSCRIP.EXE "%1" %*

.scr=AutoCADScriptFile

 

=============== Created Last 30 ================

 

2010-04-02 09:29:48 0 d-----w- c:\users\ks\appdata\roaming\Malwarebytes

2010-04-02 09:29:40 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-04-02 09:29:38 20824 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-04-02 09:29:38 0 d-----w- c:\programdata\Malwarebytes

2010-04-02 09:29:38 0 d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-04-01 23:11:53 0 d-----w- c:\programdata\SUPERAntiSpyware.com

2010-04-01 23:11:17 0 d-----w- c:\users\ks\appdata\roaming\SUPERAntiSpyware.com

2010-04-01 23:11:17 0 d-----w- c:\program files\SUPERAntiSpyware

2010-04-01 23:10:35 0 d-----w- c:\program files\common files\Wise Installation Wizard

2010-04-01 22:41:33 0 d-----w- c:\program files\Trend Micro

2010-04-01 21:57:17 0 d-----w- c:\program files\common files\PC Tools

2010-04-01 21:56:35 0 d---a-w- c:\programdata\TEMP

2010-03-27 15:56:14 0 d-----w- c:\program files\Microsoft CAPICOM 2.1.0.2

2010-03-27 13:57:28 53352 ----a-w- c:\windows\system32\jpicpl32.cpl

2010-03-19 19:44:06 0 d-----w- c:\program files\Hp

2010-03-19 19:41:16 0 d-----w- c:\program files\common files\Hewlett-Packard

2010-03-19 19:39:58 1985 ----a-w- c:\windows\sounder.his

2010-03-19 19:39:40 81120 ----a-w- c:\windows\HPEasyPrinterCare.his

2010-03-18 11:37:57 0 d-----w- c:\users\ks\appdata\roaming\ABBYY

2010-03-14 09:13:22 293376 ----a-w- c:\windows\system32\browserchoice.exe

2010-03-14 09:11:00 24064 ----a-w- c:\windows\system32\nshhttp.dll

2010-03-14 09:10:58 411136 ----a-w- c:\windows\system32\drivers\http.sys

2010-03-14 09:10:57 31232 ----a-w- c:\windows\system32\httpapi.dll

2010-03-09 12:53:20 0 d-----w- c:\windows\NV52764556.TMP

2010-03-09 11:36:35 0 d-----w- c:\windows\NV63723240.TMP

 

==================== Find3M ====================

 

2010-04-03 14:50:25 188106 ----a-w- c:\programdata\nvModes.dat

2010-04-02 09:56:34 597598 ----a-w- c:\windows\system32\perfh01D.dat

2010-04-02 09:56:34 117210 ----a-w- c:\windows\system32\perfc01D.dat

2010-03-09 12:52:37 51200 ----a-w- c:\windows\inf\infpub.dat

2010-03-09 12:52:36 86016 ----a-w- c:\windows\inf\infstrng.dat

2010-02-28 11:46:03 86016 ----a-w- c:\windows\inf\infstor.dat

2010-02-25 09:54:00 356 ----a-w- c:\users\ks\appdata\roaming\wklnhst.dat

2010-02-24 09:16:06 181632 ------w- c:\windows\system32\MpSigStub.exe

2010-02-23 06:39:13 916480 ----a-w- c:\windows\system32\wininet.dll

2010-02-23 06:33:45 71680 ----a-w- c:\windows\system32\iesetup.dll

2010-02-23 06:33:45 109056 ----a-w- c:\windows\system32\iesysprep.dll

2010-02-23 04:55:36 133632 ----a-w- c:\windows\system32\ieUnatt.exe

2010-02-18 12:08:59 665600 ----a-w- c:\windows\inf\drvindex.dat

2010-01-25 12:48:34 472576 ----a-w- c:\windows\system32\secproc_isv.dll

2010-01-25 12:48:34 151040 ----a-w- c:\windows\system32\secproc_ssp_isv.dll

2010-01-25 12:48:34 151040 ----a-w- c:\windows\system32\secproc_ssp.dll

2010-01-25 12:48:06 472064 ----a-w- c:\windows\system32\secproc.dll

2010-01-25 12:45:56 329216 ----a-w- c:\windows\system32\msdrm.dll

2010-01-25 08:35:01 346624 ----a-w- c:\windows\system32\RMActivate_ssp_isv.exe

2010-01-25 08:35:00 523776 ----a-w- c:\windows\system32\RMActivate_isv.exe

2010-01-25 08:34:56 511488 ----a-w- c:\windows\system32\RMActivate.exe

2010-01-25 08:34:56 347136 ----a-w- c:\windows\system32\RMActivate_ssp.exe

2010-01-23 19:24:35 52219 ----a-w- c:\windows\fonts\sai___.PFB

2010-01-23 19:24:35 48954 ----a-w- c:\windows\fonts\sar___.PFB

2010-01-23 19:24:35 29699 ----a-w- c:\windows\fonts\ngo___.PFB

2010-01-23 19:24:35 23350 ----a-w- c:\windows\fonts\ng_____0.PFB

2010-01-23 19:24:35 23350 ----a-w- c:\windows\fonts\ng____.PFB

2010-01-23 19:24:34 30768 ----a-w- c:\windows\fonts\ngbo__.PFB

2010-01-23 19:24:34 24068 ----a-w- c:\windows\fonts\ngb___.PFB

2010-01-23 09:44:02 2048 ----a-w- c:\windows\system32\tzres.dll

2010-01-11 21:18:00 962664 ----a-w- c:\windows\system32\nvsvc.dll

2010-01-11 21:18:00 13679720 ----a-w- c:\windows\system32\nvcpl.dll

2010-01-11 21:18:00 129640 ----a-w- c:\windows\system32\nvvsvc.exe

2010-01-11 21:18:00 110696 ----a-w- c:\windows\system32\nvmctray.dll

2008-04-10 07:23:35 35978 ----a-w- c:\windows\inf\perflib\041d\perfd.dat

2008-04-10 07:23:35 35978 ----a-w- c:\windows\inf\perflib\041d\perfc.dat

2008-04-10 07:23:35 290490 ----a-w- c:\windows\inf\perflib\041d\perfi.dat

2008-04-10 07:23:35 290490 ----a-w- c:\windows\inf\perflib\041d\perfh.dat

2008-01-21 02:43:21 174 --sha-w- c:\program files\desktop.ini

2006-11-02 09:20:21 287440 ----a-w- c:\windows\inf\perflib\0000\perfi.dat

2006-11-02 09:20:21 287440 ----a-w- c:\windows\inf\perflib\0000\perfh.dat

2006-11-02 09:20:19 30674 ----a-w- c:\windows\inf\perflib\0000\perfd.dat

2006-11-02 09:20:19 30674 ----a-w- c:\windows\inf\perflib\0000\perfc.dat

 

============= FINISH: 17:05:22,26 ===============

 

 

 

Och Attach

Attach.txt

[Mats H]

Hej!

Har du testat att köra Malwarebytes för att få bort den?

Ser att du har den, på din dator.

Prova med det i första läget.

Mvh

Mats H

[Kjell S]

Ja, jag har kört Malwarebytes och den hittade också samma fil (smss.exe) som Panda och säger att den är åtgärdad. Körde nu igen och då hittar den inget.

Men Panda larmar då och då (2 -3 min mellan) fortfarande att den har hittat och blockerat..

[Mats H]

Hej!

Kan du klistra in logg från Malwarebytes, den när Malwarebytes hittar "otyget", så att vi kan få se vart denna fil är belägen.

Loggar hittar du under fliken Loggar, markera hela textdokumentet och klistra in det här i din tråd.

 

Har du kört Diskrensning av tempfiler, och startat om datorn mellan det Malwarebytes "tog" bort trojanen och det Panda hittar den igen?

 

Mvh

Mats H

[Kjell S]

Jag tittade på Malware logfil från 2/4 och programmet hittade endast en kopia av filen (smss.exe) som jag själv gjort. Så egentligen löste den sin uppgift men hittade inte roten till det onda...

[Mats H]

Hej!

Kan jag få veta exakt vad Panda rapporterar, typ av infektion, sökväg och en

skärmdump, av Pandas rapport.

 

Mvh

Mats H

[Kjell S]

Panda säger så här:

 

Filnamn:

Trj/Krap.AH

 

Plats

C:\WINDOWS\WINSXS

\X86_MICROSOFT-WINDOWS-SMSS_3

1BF3856AD364E35_6.0.6001.22223_

NONE_ACB1A7B4325CC092

\SMSS.EXE

[Cecilia]

På sidan http://www.virustotal.com trycker du på Bläddra-knappen och klistrar in följande filnamn i rutan, tryck på Skicka Fil och vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in resultatet från de olika antivirusprogrammen (inte Övrig information) eller en länk till resultatet här.

C:\WINDOWS\WINSXS\X86_MICROSOFT-WINDOWS-SMSS_31BF3856AD364E35_6.0.6001.22223_NONE_ACB1A7B4325CC092\SMSS.EXE

[Kjell S]

Går inte, "jag saknar behörighet att öppna den här filen" säger Vista...

[Cecilia]

Öppna Utforskaren genom att högerklicka på menyvalet och välja Kör som administratör. Leta upp SMSS-filen och gör en kopia av den som du lägger t ex på Skrivbordet. Se om du kan ladda upp kopian på virustotal-sidan.

[Kjell S]

Går tyvärr inte samma resultat som ovan. "Ingen behörighet"

Har även provat med genväg till filen.

[Cecilia]

Vad skrev i MBAM och SUPERAntiSpyare i sina loggar om SMSS-filen? Det vore intressant att veta vad för sorts skadlighet som de rapporterar.

 

Det var ju en kopia av SMSS som MBAM hittade skrev du. Hur hade du gjort den kopian?

Kan du återställa kopian från MBAMs karantän och sedan ladda upp den till virustotal-sidan?

[Kjell S]

Malware loggen såg ut så här.

=======================================

Malwarebytes' Anti-Malware 1.45

www.malwarebytes.org

 

Databasversion: 3945

 

Windows 6.0.6001 Service Pack 1

Internet Explorer 8.0.6001.18904

 

2010-04-02 11:36:10

mbam-log-2010-04-02 (11-36-10).txt

 

Skanningstyp: Snabbskanning

Antal skannade objekt: 105521

Förfluten tid: 5 minut(er), 1 sekund(er)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 1

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

(Inga illasinnade poster hittades)

 

Infekterade registervärden:

(Inga illasinnade poster hittades)

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

C:\Windows\System32\smss.xxx (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

[Cecilia]

Heuristics.Reserved.Word.Exploit is a detection of a MS reserved word being used outside of its known legit locations

http://forums.malwarebytes.org/index.php?showtopic=4504&view=findpost&p=17568

 

vilket troligen innebär att MBAM endast reagerade på att filen heter SMSS men inte har filändelsen .exe som den korrekta Microsoft-filen har, dvs det är troligen en skadlig fil som försöker dölja sig genom att ta ett namn som en vanlig Windows-fil har.

 

Återställ filen och ladda upp den på virustotal-sidan.

[Kjell S]

Har inte filen kvar.

Efter skanningen tog jag bort den grundligt, även från papperskorgen.

[Cecilia]

Det är ju bra att låta filer ligga kvar i karantänen åtminstone någon vecka eftersom det händer då och då att säkerhetsprogram falsklarmar och tar bort filer som inte är infekterade alls.

 

Hur gjorde du kopian som MBAM hittade?

[Kjell S]

Gjorde kopia på smss.exe filen från \system32\

 

Fick följande analys

 

a-squared 4.5.0.50 2010.04.06 -

AhnLab-V3 5.0.0.2 2010.04.06 -

AntiVir 7.10.6.31 2010.04.06 -

Antiy-AVL 2.0.3.7 2010.04.06 -

Authentium 5.2.0.5 2010.04.06 -

Avast 4.8.1351.0 2010.04.06 -

Avast5 5.0.332.0 2010.04.06 -

AVG 9.0.0.787 2010.04.06 -

BitDefender 7.2 2010.04.06 -

CAT-QuickHeal 10.00 2010.04.06 -

ClamAV 0.96.0.3-git 2010.04.06 -

Comodo 4518 2010.04.06 -

DrWeb 5.0.2.03300 2010.04.06 -

eSafe 7.0.17.0 2010.04.06 -

eTrust-Vet 35.2.7411 2010.04.06 -

F-Prot 4.5.1.85 2010.04.06 -

F-Secure 9.0.15370.0 2010.04.06 -

Fortinet 4.0.14.0 2010.04.06 -

GData 19 2010.04.06 -

Ikarus T3.1.1.80.0 2010.04.06 -

Jiangmin 13.0.900 2010.04.06 -

Kaspersky 7.0.0.125 2010.04.06 -

McAfee-GW-Edition 6.8.5 2010.04.06 -

Microsoft 1.5605 2010.04.06 -

NOD32 5005 2010.04.06 -

Norman 6.04.11 2010.04.06 -

nProtect 2009.1.8.0 2010.04.06 -

Panda 10.0.2.2 2010.04.06 Trj/Krap.AH

PCTools 7.0.3.5 2010.04.06 -

Prevx 3.0 2010.04.06 -

Rising 22.42.01.04 2010.04.06 -

Sophos 4.52.0 2010.04.06 -

Sunbelt 6143 2010.04.06 -

Symantec 20091.2.0.41 2010.04.06 -

TheHacker 6.5.2.0.256 2010.04.06 -

TrendMicro 9.120.0.1004 2010.04.06 -

VBA32 3.12.12.4 2010.04.05 -

ViRobot 2010.4.6.2263 2010.04.06 -

VirusBuster 5.0.27.0 2010.04.06 -

[Cecilia]

För mig så låter det som att det är stor sannolikhet att Panda falsklarmar. Finns det någon möjlighet inifrån Panda-programmet att skicka filer till Panda för kontroll?

[Kjell S]

Det verkar som det lugnat ner sig Panda har inte sagt något på ett par dagar.

 

Det ska gå att skicka filer "i karantän" till Panda.

[Cecilia]

Det låter ju bra. Då har nog Panda rättat den felaktiga informationen i virusdatabasen.