Kjell S Postad 2 april, 2010 Share Postad 2 april, 2010 Mitt Panda larmar om en infekterad fil smss.exe, den innehåller Trj/Krap.AH Panda hittar den och frågar om jag vill starta om osv. men det är samma sak igen. Har provat med SuperAntiSpyware den hittar också samma sak men larmen återkommer efter omstart. Hittade något om DDS - laddade ner detta från länk och startade, men resultatet blir underligt, datorn bara öppnar filen i anteckningar, något program körs inte igång?? Länk till kommentar Dela på andra webbplatser More sharing options...
Mats H Postad 2 april, 2010 Share Postad 2 april, 2010 Hej! DDS skannar endast av din dator. Text filen innehåller en logg av din dator. Du kan kopiera texten och klistra in den här i din tråd. Mvh Mats H Länk till kommentar Dela på andra webbplatser More sharing options...
Kjell S Postad 3 april, 2010 Trådskapare Share Postad 3 april, 2010 Angående DDS så laddade jag ner dds.scr på 513 kB från angiven plats och resultatet i en txt-fil blir enligt exempel. Och jag tror inte det är det som är meningen..... eller? ?ªlì£älRÏ YÕŠ¤‘>1b¥ø7î&ÂgŽšI×.–ŸVŒ¥4Èd,bËX9šu^z T1-qáè«„ú)”MrxIÃä3Ö«™öª=¶As®¡™Í"†®b;*lÁ:†3.ÿ]ˆÚyÄK0!Ì`嫳¥D?²~«NñÎ{ù×cþàÓj«´ÃG»xgÑtšz<nH!¨U"0$>QQ2€B.§™¸œ?z–ãäÀkWVt›uÞo4pë3pÿ=ÔÇ%9E˜ƒ{ ’J µ -ÿr>;Ÿ\f˜hKÍ3Ô’¢ýÓ®˜ô—ï½û–A¥ébê¢È]OI,[sü"ÑûÚ/‹8½Š*§—Q©²Gô‘0½-Z‚îŒñhhó|ëë{8•E«-™=H˜H¡æ¦ ¼[Íd;±9I/vçÍUÚ<&¹ ¬W‹j[ÇÏ!áʽìùõ•j U½võ‘«ëÀM5½´|ƒžCwÙuö6‡Ô4 §‘O¢ÚWeóbJ‚3îïÝ-õ‘{#Uâ<P*Ä_'_•¼¬cãÔu@Bî7kí'µUf\ê:@´…2“>TT`Vvl>Ÿ³`¿‘>²€9ñÖäîzJr4V’ÏëÛr‡H‘Æ/UizÄ0|mÁXVËo«ëÝÆa¶ÿ¸°Å5"ÇÞw9”ÎoJ áR5þ7+.Å`á¡Õ?ä9OÊò:r/hKÙÔ}m@Æþ<6O€¶âU{õ5«½vw©„¬‘³PƒÕýßÈYˆâЬys׎,æM†½lb0lh줸‚Û dÑcàoÖžVì‹ãü*Q¶¥yo¨Næê}S™4i¹Ä€)[ˆ€à±OÃ:FWï7ùæš{6 Ú§m®3ùíj˜Fð\¶Ó¦4BCÑ¡9æQ*6Ù>Dà ×Øä¼ ð•{ÕÆ.©x4énÊÐ&Ø¿*Œ©³vÃÊE{LÄ,Ü„§nø€HÆÆ«Ûù×ĺ¹ñ$ÐÁhz5Œuуe;ÛüÕÇ'.üj.Ga ¯ŒúËhýY>¢~>¾Ù‹‰öik!i¾FÝ=E%ûJÊAiÙ/ÙÄ£0,Õ¨KL3b% Länk till kommentar Dela på andra webbplatser More sharing options...
Kjell S Postad 3 april, 2010 Trådskapare Share Postad 3 april, 2010 Lyckades till slut kör DDS, fick ändra filtyp då min dator anser .scr-filer för något som hör till mitt cad. Bytte namn till dds.exe sen gick det bra. Här kommer logfilen DDS (Ver_10-03-17.01) - NTFSx86 Run by KS at 17:04:15,13 on 2010-04-03 Internet Explorer: 8.0.6001.18904 Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.46.1053.18.3327.2425 [GMT 2:00] SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46} SP: SUPERAntiSpyware *enabled* (Updated) {222A897C-5018-402e-943F-7E7AC8560DA7} ============== Running Processes =============== C:\Windows\system32\wininit.exe C:\Windows\system32\lsm.exe C:\Windows\system32\svchost.exe -k DcomLaunch C:\Windows\system32\nvvsvc.exe C:\Windows\system32\svchost.exe -k rpcss C:\Windows\System32\svchost.exe -k secsvcs C:\Windows\system32\svchost.exe -k NetworkService C:\Program Files\Panda Security\Panda Antivirus Pro 2010\PskSvc.exe C:\Program Files\Panda Security\Panda Antivirus Pro 2010\TPSrv.exe C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted C:\PROGRAM FILES\PANDA SECURITY\PANDA ANTIVIRUS PRO 2010\WebProxy.exe C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted C:\Windows\system32\svchost.exe -k netsvcs C:\Windows\system32\svchost.exe -k GPSvcGroup C:\Windows\system32\SLsvc.exe C:\Windows\system32\svchost.exe -k LocalService C:\Windows\system32\nvvsvc.exe C:\Windows\system32\taskeng.exe C:\Windows\System32\spoolsv.exe C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork C:\Windows\system32\taskeng.exe C:\Windows\Explorer.EXE C:\Program Files\ABBYY FineReader 9.0\NetworkLicenseServer.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\Program Files\Seagate\SeagateManager\Sync\FreeAgentService.exe C:\Windows\system32\svchost -k Panda C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Program Files\Panda Security\Panda Antivirus Pro 2010\PsCtrls.exe C:\Program Files\Panda Security\Panda Antivirus Pro 2010\PavFnSvr.exe C:\Program Files\Common Files\Panda Security\PavShld\pavprsrv.exe C:\Program Files\Panda Security\Panda Antivirus Pro 2010\pavsrvx86.exe C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted C:\Program Files\Panda Security\Panda Antivirus Pro 2010\AVENGINE.EXE C:\Program Files\Panda Security\Panda Antivirus Pro 2010\PsImSvc.exe C:\Windows\system32\svchost.exe -k imgsvc C:\Program Files\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe C:\Windows\System32\svchost.exe -k WerSvcGroup C:\Windows\system32\SearchIndexer.exe C:\Windows\system32\WUDFHost.exe C:\Program Files\Windows Defender\MSASCui.exe C:\Windows\RtHDVCpl.exe C:\Program Files\epson\Creativity Suite\Event Manager\EEventManager.exe C:\Program Files\Adobe\Acrobat 7.0\Distillr\acrotray.exe C:\Program Files\Seagate\SeagateManager\FreeAgent Status\stxmenumgr.exe C:\Program Files\Panda Security\Panda Antivirus Pro 2010\ApVxdWin.exe C:\Windows\System32\rundll32.exe C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe C:\Program Files\Common Files\Hewlett-Packard\HP Device Communication Services\AppInterfaces\HPDeviceService.exe C:\Program Files\Hewlett-Packard\HP Easy Printer Care\HPPRun.exe C:\Program Files\Hp\HP Software Update\hpwuSchd2.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Windows\ehome\ehtray.exe C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Program Files\Personal\bin\Personal.exe C:\Program Files\WinZip\WZQKPICK.EXE C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Windows\ehome\ehmsas.exe C:\Program Files\Windows Media Player\wmpnetwk.exe C:\Program Files\Common Files\Hewlett-Packard\HP Device Communication Services\AppInterfaces\HPDeviceHost.exe C:\Windows\system32\wuauclt.exe C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE C:\Program Files\Internet Explorer\iexplore.exe C:\Windows\system32\Macromed\Flash\FlashUtil10e.exe C:\Program Files\Adobe\Adobe Bridge CS4\Bridge.exe C:\Program Files\Adobe\Acrobat 7.0\Acrobat\Acrobat.exe C:\Users\KS\AppData\Local\Temp\Adobelm_Cleanup.0001 C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe C:\Users\KS\AppData\Local\Temp\Adobelm_Cleanup.0001 C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Microsoft Office\OFFICE11\FRONTPG.EXE C:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe C:\Windows\System32\mobsync.exe C:\Windows\system32\notepad.exe C:\Windows\system32\Dwm.exe C:\Windows\system32\conime.exe C:\Windows\system32\SearchProtocolHost.exe C:\Windows\system32\SearchFilterHost.exe C:\Windows\system32\DllHost.exe C:\Windows\system32\DllHost.exe C:\Users\KS\Desktop\dds.exe C:\Windows\system32\wbem\wmiprvse.exe ============== Pseudo HJT Report =============== uStart Page = hxxp://www.eniro.se/ uInternet Settings,ProxyOverride = *.local BHO: AcroIEHlprObj Class: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program files\adobe\acrobat 7.0\activex\AcroIEHelper.dll BHO: Groove GFS Browser Helper: {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - c:\program files\microsoft office\office12\GrooveShellExtensions.dll BHO: AcroIEToolbarHelper Class: {ae7cd045-e861-484f-8273-0445ee161910} - c:\program files\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll TB: Adobe PDF: {47833539-d0c5-4125-9fa8-0819e2eaac93} - c:\program files\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll TB: {472734EA-242A-422B-ADF8-83D1E48CC825} - No File EB: Adobe PDF: {182ec0be-5110-49c8-a062-beb1d02a220b} - c:\program files\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll uRun: [sidebar] c:\program files\windows sidebar\sidebar.exe /autoRun uRun: [AdobeBridge] uRun: [ehTray.exe] c:\windows\ehome\ehTray.exe uRun: [WMPNSCFG] c:\program files\windows media player\WMPNSCFG.exe uRun: [sUPERAntiSpyware] c:\program files\superantispyware\SUPERAntiSpyware.exe mRun: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide mRun: [RtHDVCpl] RtHDVCpl.exe mRun: [Adobe Reader Speed Launcher] "c:\program files\adobe\reader 8.0\reader\Reader_sl.exe" mRun: [FSCRecovery] c:\program files\fujitsu siemens computers\fujitsu siemens computers recovery\FSCRecoveryReminder.exe mRun: [EEventManager] c:\program files\epson\creativity suite\event manager\EEventManager.exe mRun: [Acrobat Assistant 7.0] "c:\program files\adobe\acrobat 7.0\distillr\Acrotray.exe" mRun: [<NO NAME>] mRun: [AdobeCS4ServiceManager] "c:\program files\common files\adobe\cs4servicemanager\CS4ServiceManager.exe" -launchedbylogin mRun: [MaxMenuMgr] "c:\program files\seagate\seagatemanager\freeagent status\StxMenuMgr.exe" mRun: [NBKeyScan] "c:\program files\nero\nero8\nero backitup\NBKeyScan.exe" mRun: [APVXDWIN] "c:\program files\panda security\panda antivirus pro 2010\APVXDWIN.EXE" /s mRun: [sCANINICIO] "c:\program files\panda security\panda antivirus pro 2010\Inicio.exe" mRun: [CmPCIaudio] RunDll32 CMICNFG3.cpl,CMICtrlWnd mRun: [VirtualCloneDrive] "c:\program files\elaborate bytes\virtualclonedrive\VCDDaemon.exe" /s mRun: [GrooveMonitor] "c:\program files\microsoft office\office12\GrooveMonitor.exe" mRun: [KnexStarter] c:\program files\common files\hewlett-packard\hp device communication services\appinterfaces\HPDeviceService.exe mRun: [RunTasktray] "c:\program files\hewlett-packard\hp easy printer care\hpprun.exe" --regkeypath=software\hewlett-packard\hp easy printer care\HPPRun --valuename=InstallTTM mRun: [HP Software Update] c:\program files\hp\hp software update\HPWuSchd2.exe mRun: [Malwarebytes Anti-Malware (reboot)] "c:\program files\malwarebytes' anti-malware\mbam.exe" /runcleanupscript mRunOnce: [AFixOldWscUnreg] c:\windows\temp\psppk1\HFSetup4.exe dRun: [fsc-reg] c:\fsc-reg\fscreg.exe StartupFolder: c:\progra~2\micros~1\windows\startm~1\programs\startup\adobea~1.lnk - c:\windows\installer\{ac76ba86-1033-0000-7760-000000000002}\SC_Acrobat.exe StartupFolder: c:\progra~2\micros~1\windows\startm~1\programs\startup\bankid~1.lnk - c:\program files\personal\bin\Personal.exe StartupFolder: c:\progra~2\micros~1\windows\startm~1\programs\startup\winzip~1.lnk - c:\program files\winzip\WZQKPICK.EXE mPolicies-system: EnableUIADesktopToggle = 0 (0x0) IE: Convert link target to Adobe PDF - c:\program files\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Convert link target to existing PDF - c:\program files\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Convert selected links to Adobe PDF - c:\program files\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html IE: Convert selected links to existing PDF - c:\program files\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html IE: Convert selection to Adobe PDF - c:\program files\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Convert selection to existing PDF - c:\program files\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Convert to Adobe PDF - c:\program files\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Convert to existing PDF - c:\program files\adobe\acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: E&xportera till Microsoft Excel - c:\progra~1\micros~2\office12\EXCEL.EXE/3000 IE: {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\progra~1\micros~2\office12\ONBttnIE.dll IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office12\REFIEBAR.DLL Trusted Zone: hp.com DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab DPF: {CAFEEFAC-0014-0002-0000-ABCDEFFEDCBA} - hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - c:\program files\microsoft office\office12\GrooveSystemServices.dll Handler: HPDCS - {ba135f49-a12c-4e26-a2c4-6ea945999072} - c:\program files\common files\hewlett-packard\hp device communication services\app\hpdcsapp.dll Handler: hppfile - {C4E2084B-ED27-4893-A43D-488CA3F370E2} - c:\program files\hewlett-packard\hp easy printer care\HPPCtrls.dll Handler: hppsam - {C4E2084B-ED27-4893-A43D-488CA3F370E2} - c:\program files\hewlett-packard\hp easy printer care\HPPCtrls.dll Handler: hppzip - {C4E2084B-ED27-4893-A43D-488CA3F370E2} - c:\program files\hewlett-packard\hp easy printer care\HPPCtrls.dll Notify: !SASWinLogon - c:\program files\superantispyware\SASWINLO.dll SEH: Groove GFS Stub Execution Hook: {b5a7f190-dda6-4420-b3ba-52453494e6cd} - c:\program files\microsoft office\office12\GrooveShellExtensions.dll SEH: SABShellExecuteHook Class: {5ae067d3-9afb-48e0-853a-ebb7f4a000da} - c:\program files\superantispyware\SASSEH.DLL ============= SERVICES / DRIVERS =============== R0 pavboot;Panda boot driver;c:\windows\system32\drivers\pavboot.sys [2010-1-24 28544] R1 SASDIFSV;SASDIFSV;c:\program files\superantispyware\sasdifsv.sys [2010-2-17 12872] R1 SASKUTIL;SASKUTIL;c:\program files\superantispyware\SASKUTIL.SYS [2010-2-17 66632] R1 ShldDrv;Panda File Shield Driver;c:\windows\system32\drivers\ShlDrv51.sys [2010-1-24 41144] R2 ABBYY.Licensing.FineReader.Professional.9.0;Licenstjänst för ABBYY FineReader 9.0;c:\program files\abbyy finereader 9.0\NetworkLicenseServer.exe [2007-11-2 566560] R2 AmFSM;AmFSM;c:\windows\system32\drivers\amm8660.sys [2010-1-24 49208] R2 FreeAgentGoNext Service;Seagate Service;c:\program files\seagate\seagatemanager\sync\FreeAgentService.exe [2009-9-26 189736] R2 Gwmsrv;Panda Goodware Cache Manager;c:\windows\system32\svchost -k panda --> c:\windows\system32\svchost -k Panda [?] R2 Panda Software Controller;Panda Software Controller;c:\program files\panda security\panda antivirus pro 2010\PsCtrlS.exe [2010-1-24 173312] R2 PAVFNSVR;Panda Function Service;c:\program files\panda security\panda antivirus pro 2010\PavFnSvr.exe [2010-1-24 169216] R2 PavProc;Panda Process Protection Driver;c:\windows\system32\drivers\PavProc.sys [2010-1-24 177416] R2 PavPrSrv;Panda Process Protection Service;c:\program files\common files\panda security\pavshld\PavPrSrv.exe [2010-1-24 62768] R2 PAVSRV;Panda On-Access Anti-Malware Service;c:\program files\panda security\panda antivirus pro 2010\pavsrvx86.exe [2010-1-24 291584] R2 PskSvcRetail;Panda PSK service;c:\program files\panda security\panda antivirus pro 2010\psksvc.exe [2010-1-24 28928] R3 SASENUM;SASENUM;c:\program files\superantispyware\SASENUM.SYS [2010-2-17 12872] S4 Norman ZANDA;Norman ZANDA;"c:\program files\norman\npm\bin\zanda.exe" --> c:\program files\norman\npm\bin\Zanda.exe [?] ============== File Associations =============== JSEFile=c:\progra~1\pandas~1\pandaa~1\PAVSCRIP.EXE "%1" %* VBEFile=c:\progra~1\pandas~1\pandaa~1\PAVSCRIP.EXE "%1" %* VBSFile=c:\progra~1\pandas~1\pandaa~1\PAVSCRIP.EXE "%1" %* .scr=AutoCADScriptFile =============== Created Last 30 ================ 2010-04-02 09:29:48 0 d-----w- c:\users\ks\appdata\roaming\Malwarebytes 2010-04-02 09:29:40 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-04-02 09:29:38 20824 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-04-02 09:29:38 0 d-----w- c:\programdata\Malwarebytes 2010-04-02 09:29:38 0 d-----w- c:\program files\Malwarebytes' Anti-Malware 2010-04-01 23:11:53 0 d-----w- c:\programdata\SUPERAntiSpyware.com 2010-04-01 23:11:17 0 d-----w- c:\users\ks\appdata\roaming\SUPERAntiSpyware.com 2010-04-01 23:11:17 0 d-----w- c:\program files\SUPERAntiSpyware 2010-04-01 23:10:35 0 d-----w- c:\program files\common files\Wise Installation Wizard 2010-04-01 22:41:33 0 d-----w- c:\program files\Trend Micro 2010-04-01 21:57:17 0 d-----w- c:\program files\common files\PC Tools 2010-04-01 21:56:35 0 d---a-w- c:\programdata\TEMP 2010-03-27 15:56:14 0 d-----w- c:\program files\Microsoft CAPICOM 2.1.0.2 2010-03-27 13:57:28 53352 ----a-w- c:\windows\system32\jpicpl32.cpl 2010-03-19 19:44:06 0 d-----w- c:\program files\Hp 2010-03-19 19:41:16 0 d-----w- c:\program files\common files\Hewlett-Packard 2010-03-19 19:39:58 1985 ----a-w- c:\windows\sounder.his 2010-03-19 19:39:40 81120 ----a-w- c:\windows\HPEasyPrinterCare.his 2010-03-18 11:37:57 0 d-----w- c:\users\ks\appdata\roaming\ABBYY 2010-03-14 09:13:22 293376 ----a-w- c:\windows\system32\browserchoice.exe 2010-03-14 09:11:00 24064 ----a-w- c:\windows\system32\nshhttp.dll 2010-03-14 09:10:58 411136 ----a-w- c:\windows\system32\drivers\http.sys 2010-03-14 09:10:57 31232 ----a-w- c:\windows\system32\httpapi.dll 2010-03-09 12:53:20 0 d-----w- c:\windows\NV52764556.TMP 2010-03-09 11:36:35 0 d-----w- c:\windows\NV63723240.TMP ==================== Find3M ==================== 2010-04-03 14:50:25 188106 ----a-w- c:\programdata\nvModes.dat 2010-04-02 09:56:34 597598 ----a-w- c:\windows\system32\perfh01D.dat 2010-04-02 09:56:34 117210 ----a-w- c:\windows\system32\perfc01D.dat 2010-03-09 12:52:37 51200 ----a-w- c:\windows\inf\infpub.dat 2010-03-09 12:52:36 86016 ----a-w- c:\windows\inf\infstrng.dat 2010-02-28 11:46:03 86016 ----a-w- c:\windows\inf\infstor.dat 2010-02-25 09:54:00 356 ----a-w- c:\users\ks\appdata\roaming\wklnhst.dat 2010-02-24 09:16:06 181632 ------w- c:\windows\system32\MpSigStub.exe 2010-02-23 06:39:13 916480 ----a-w- c:\windows\system32\wininet.dll 2010-02-23 06:33:45 71680 ----a-w- c:\windows\system32\iesetup.dll 2010-02-23 06:33:45 109056 ----a-w- c:\windows\system32\iesysprep.dll 2010-02-23 04:55:36 133632 ----a-w- c:\windows\system32\ieUnatt.exe 2010-02-18 12:08:59 665600 ----a-w- c:\windows\inf\drvindex.dat 2010-01-25 12:48:34 472576 ----a-w- c:\windows\system32\secproc_isv.dll 2010-01-25 12:48:34 151040 ----a-w- c:\windows\system32\secproc_ssp_isv.dll 2010-01-25 12:48:34 151040 ----a-w- c:\windows\system32\secproc_ssp.dll 2010-01-25 12:48:06 472064 ----a-w- c:\windows\system32\secproc.dll 2010-01-25 12:45:56 329216 ----a-w- c:\windows\system32\msdrm.dll 2010-01-25 08:35:01 346624 ----a-w- c:\windows\system32\RMActivate_ssp_isv.exe 2010-01-25 08:35:00 523776 ----a-w- c:\windows\system32\RMActivate_isv.exe 2010-01-25 08:34:56 511488 ----a-w- c:\windows\system32\RMActivate.exe 2010-01-25 08:34:56 347136 ----a-w- c:\windows\system32\RMActivate_ssp.exe 2010-01-23 19:24:35 52219 ----a-w- c:\windows\fonts\sai___.PFB 2010-01-23 19:24:35 48954 ----a-w- c:\windows\fonts\sar___.PFB 2010-01-23 19:24:35 29699 ----a-w- c:\windows\fonts\ngo___.PFB 2010-01-23 19:24:35 23350 ----a-w- c:\windows\fonts\ng_____0.PFB 2010-01-23 19:24:35 23350 ----a-w- c:\windows\fonts\ng____.PFB 2010-01-23 19:24:34 30768 ----a-w- c:\windows\fonts\ngbo__.PFB 2010-01-23 19:24:34 24068 ----a-w- c:\windows\fonts\ngb___.PFB 2010-01-23 09:44:02 2048 ----a-w- c:\windows\system32\tzres.dll 2010-01-11 21:18:00 962664 ----a-w- c:\windows\system32\nvsvc.dll 2010-01-11 21:18:00 13679720 ----a-w- c:\windows\system32\nvcpl.dll 2010-01-11 21:18:00 129640 ----a-w- c:\windows\system32\nvvsvc.exe 2010-01-11 21:18:00 110696 ----a-w- c:\windows\system32\nvmctray.dll 2008-04-10 07:23:35 35978 ----a-w- c:\windows\inf\perflib\041d\perfd.dat 2008-04-10 07:23:35 35978 ----a-w- c:\windows\inf\perflib\041d\perfc.dat 2008-04-10 07:23:35 290490 ----a-w- c:\windows\inf\perflib\041d\perfi.dat 2008-04-10 07:23:35 290490 ----a-w- c:\windows\inf\perflib\041d\perfh.dat 2008-01-21 02:43:21 174 --sha-w- c:\program files\desktop.ini 2006-11-02 09:20:21 287440 ----a-w- c:\windows\inf\perflib\0000\perfi.dat 2006-11-02 09:20:21 287440 ----a-w- c:\windows\inf\perflib\0000\perfh.dat 2006-11-02 09:20:19 30674 ----a-w- c:\windows\inf\perflib\0000\perfd.dat 2006-11-02 09:20:19 30674 ----a-w- c:\windows\inf\perflib\0000\perfc.dat ============= FINISH: 17:05:22,26 =============== Och Attach Attach.txt Länk till kommentar Dela på andra webbplatser More sharing options...
Mats H Postad 4 april, 2010 Share Postad 4 april, 2010 Hej! Har du testat att köra Malwarebytes för att få bort den? Ser att du har den, på din dator. Prova med det i första läget. Mvh Mats H Länk till kommentar Dela på andra webbplatser More sharing options...
Kjell S Postad 4 april, 2010 Trådskapare Share Postad 4 april, 2010 Ja, jag har kört Malwarebytes och den hittade också samma fil (smss.exe) som Panda och säger att den är åtgärdad. Körde nu igen och då hittar den inget. Men Panda larmar då och då (2 -3 min mellan) fortfarande att den har hittat och blockerat.. Länk till kommentar Dela på andra webbplatser More sharing options...
Mats H Postad 4 april, 2010 Share Postad 4 april, 2010 Hej! Kan du klistra in logg från Malwarebytes, den när Malwarebytes hittar "otyget", så att vi kan få se vart denna fil är belägen. Loggar hittar du under fliken Loggar, markera hela textdokumentet och klistra in det här i din tråd. Har du kört Diskrensning av tempfiler, och startat om datorn mellan det Malwarebytes "tog" bort trojanen och det Panda hittar den igen? Mvh Mats H Länk till kommentar Dela på andra webbplatser More sharing options...
Kjell S Postad 5 april, 2010 Trådskapare Share Postad 5 april, 2010 Jag tittade på Malware logfil från 2/4 och programmet hittade endast en kopia av filen (smss.exe) som jag själv gjort. Så egentligen löste den sin uppgift men hittade inte roten till det onda... Länk till kommentar Dela på andra webbplatser More sharing options...
Mats H Postad 5 april, 2010 Share Postad 5 april, 2010 Hej! Kan jag få veta exakt vad Panda rapporterar, typ av infektion, sökväg och en skärmdump, av Pandas rapport. Mvh Mats H Länk till kommentar Dela på andra webbplatser More sharing options...
Kjell S Postad 5 april, 2010 Trådskapare Share Postad 5 april, 2010 Panda säger så här: Filnamn: Trj/Krap.AH Plats C:\WINDOWS\WINSXS \X86_MICROSOFT-WINDOWS-SMSS_3 1BF3856AD364E35_6.0.6001.22223_ NONE_ACB1A7B4325CC092 \SMSS.EXE Länk till kommentar Dela på andra webbplatser More sharing options...
Cecilia Postad 5 april, 2010 Share Postad 5 april, 2010 På sidan http://www.virustotal.com trycker du på Bläddra-knappen och klistrar in följande filnamn i rutan, tryck på Skicka Fil och vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in resultatet från de olika antivirusprogrammen (inte Övrig information) eller en länk till resultatet här. C:\WINDOWS\WINSXS\X86_MICROSOFT-WINDOWS-SMSS_31BF3856AD364E35_6.0.6001.22223_NONE_ACB1A7B4325CC092\SMSS.EXE Länk till kommentar Dela på andra webbplatser More sharing options...
Kjell S Postad 5 april, 2010 Trådskapare Share Postad 5 april, 2010 Går inte, "jag saknar behörighet att öppna den här filen" säger Vista... Länk till kommentar Dela på andra webbplatser More sharing options...
Cecilia Postad 5 april, 2010 Share Postad 5 april, 2010 Öppna Utforskaren genom att högerklicka på menyvalet och välja Kör som administratör. Leta upp SMSS-filen och gör en kopia av den som du lägger t ex på Skrivbordet. Se om du kan ladda upp kopian på virustotal-sidan. Länk till kommentar Dela på andra webbplatser More sharing options...
Kjell S Postad 6 april, 2010 Trådskapare Share Postad 6 april, 2010 Går tyvärr inte samma resultat som ovan. "Ingen behörighet" Har även provat med genväg till filen. Länk till kommentar Dela på andra webbplatser More sharing options...
Cecilia Postad 6 april, 2010 Share Postad 6 april, 2010 Vad skrev i MBAM och SUPERAntiSpyare i sina loggar om SMSS-filen? Det vore intressant att veta vad för sorts skadlighet som de rapporterar. Det var ju en kopia av SMSS som MBAM hittade skrev du. Hur hade du gjort den kopian? Kan du återställa kopian från MBAMs karantän och sedan ladda upp den till virustotal-sidan? Länk till kommentar Dela på andra webbplatser More sharing options...
Kjell S Postad 7 april, 2010 Trådskapare Share Postad 7 april, 2010 Malware loggen såg ut så här. ======================================= Malwarebytes' Anti-Malware 1.45 www.malwarebytes.org Databasversion: 3945 Windows 6.0.6001 Service Pack 1 Internet Explorer 8.0.6001.18904 2010-04-02 11:36:10 mbam-log-2010-04-02 (11-36-10).txt Skanningstyp: Snabbskanning Antal skannade objekt: 105521 Förfluten tid: 5 minut(er), 1 sekund(er) Infekterade minnesprocesser: 0 Infekterade minnesmoduler: 0 Infekterade registernycklar: 0 Infekterade registervärden: 0 Infekterade registerdataposter: 0 Infekterade mappar: 0 Infekterade filer: 1 Infekterade minnesprocesser: (Inga illasinnade poster hittades) Infekterade minnesmoduler: (Inga illasinnade poster hittades) Infekterade registernycklar: (Inga illasinnade poster hittades) Infekterade registervärden: (Inga illasinnade poster hittades) Infekterade registerdataposter: (Inga illasinnade poster hittades) Infekterade mappar: (Inga illasinnade poster hittades) Infekterade filer: C:\Windows\System32\smss.xxx (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully. Länk till kommentar Dela på andra webbplatser More sharing options...
Cecilia Postad 7 april, 2010 Share Postad 7 april, 2010 Heuristics.Reserved.Word.Exploit is a detection of a MS reserved word being used outside of its known legit locations http://forums.malwarebytes.org/index.php?showtopic=4504&view=findpost&p=17568 vilket troligen innebär att MBAM endast reagerade på att filen heter SMSS men inte har filändelsen .exe som den korrekta Microsoft-filen har, dvs det är troligen en skadlig fil som försöker dölja sig genom att ta ett namn som en vanlig Windows-fil har. Återställ filen och ladda upp den på virustotal-sidan. Länk till kommentar Dela på andra webbplatser More sharing options...
Kjell S Postad 7 april, 2010 Trådskapare Share Postad 7 april, 2010 Har inte filen kvar. Efter skanningen tog jag bort den grundligt, även från papperskorgen. Länk till kommentar Dela på andra webbplatser More sharing options...
Cecilia Postad 7 april, 2010 Share Postad 7 april, 2010 Det är ju bra att låta filer ligga kvar i karantänen åtminstone någon vecka eftersom det händer då och då att säkerhetsprogram falsklarmar och tar bort filer som inte är infekterade alls. Hur gjorde du kopian som MBAM hittade? Länk till kommentar Dela på andra webbplatser More sharing options...
Kjell S Postad 8 april, 2010 Trådskapare Share Postad 8 april, 2010 Gjorde kopia på smss.exe filen från \system32\ Fick följande analys a-squared 4.5.0.50 2010.04.06 - AhnLab-V3 5.0.0.2 2010.04.06 - AntiVir 7.10.6.31 2010.04.06 - Antiy-AVL 2.0.3.7 2010.04.06 - Authentium 5.2.0.5 2010.04.06 - Avast 4.8.1351.0 2010.04.06 - Avast5 5.0.332.0 2010.04.06 - AVG 9.0.0.787 2010.04.06 - BitDefender 7.2 2010.04.06 - CAT-QuickHeal 10.00 2010.04.06 - ClamAV 0.96.0.3-git 2010.04.06 - Comodo 4518 2010.04.06 - DrWeb 5.0.2.03300 2010.04.06 - eSafe 7.0.17.0 2010.04.06 - eTrust-Vet 35.2.7411 2010.04.06 - F-Prot 4.5.1.85 2010.04.06 - F-Secure 9.0.15370.0 2010.04.06 - Fortinet 4.0.14.0 2010.04.06 - GData 19 2010.04.06 - Ikarus T3.1.1.80.0 2010.04.06 - Jiangmin 13.0.900 2010.04.06 - Kaspersky 7.0.0.125 2010.04.06 - McAfee-GW-Edition 6.8.5 2010.04.06 - Microsoft 1.5605 2010.04.06 - NOD32 5005 2010.04.06 - Norman 6.04.11 2010.04.06 - nProtect 2009.1.8.0 2010.04.06 - Panda 10.0.2.2 2010.04.06 Trj/Krap.AH PCTools 7.0.3.5 2010.04.06 - Prevx 3.0 2010.04.06 - Rising 22.42.01.04 2010.04.06 - Sophos 4.52.0 2010.04.06 - Sunbelt 6143 2010.04.06 - Symantec 20091.2.0.41 2010.04.06 - TheHacker 6.5.2.0.256 2010.04.06 - TrendMicro 9.120.0.1004 2010.04.06 - VBA32 3.12.12.4 2010.04.05 - ViRobot 2010.4.6.2263 2010.04.06 - VirusBuster 5.0.27.0 2010.04.06 - Länk till kommentar Dela på andra webbplatser More sharing options...
Cecilia Postad 8 april, 2010 Share Postad 8 april, 2010 För mig så låter det som att det är stor sannolikhet att Panda falsklarmar. Finns det någon möjlighet inifrån Panda-programmet att skicka filer till Panda för kontroll? Länk till kommentar Dela på andra webbplatser More sharing options...
Kjell S Postad 11 april, 2010 Trådskapare Share Postad 11 april, 2010 Det verkar som det lugnat ner sig Panda har inte sagt något på ett par dagar. Det ska gå att skicka filer "i karantän" till Panda. Länk till kommentar Dela på andra webbplatser More sharing options...
Cecilia Postad 11 april, 2010 Share Postad 11 april, 2010 Det låter ju bra. Då har nog Panda rättat den felaktiga informationen i virusdatabasen. Länk till kommentar Dela på andra webbplatser More sharing options...
Rekommendera Poster
Arkiverat
Det här ämnet är nu arkiverat och är stängt för ytterligare svar.