Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
838 connectés 

  FORUM HardWare.fr
  Windows & Software
  Win NT/2K/XP

  smss.exe et SMSS.exe : Trojan ???

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

smss.exe et SMSS.exe : Trojan ???

n°2153297
nero27
Posté le 10-09-2005 à 12:45:49  profilanswer
 

Voilà, depuis hier, j'ai un problème bizarre, Avast! m'envoie toutes les 30s cette fenêtre :
 
http://florian.petit2.free.fr/foutoir/smss.jpg
 
En regardant dans le gestionnaire des tâches, je me suis rendu compte que j'avais smss.exe, mais aussi SMSS.exe, que je trouve étrange :/
 
Ce processus est-il normal ou ressemble-t-il à un troyan ?
 
EDIT:  
voilà le log de hijackthis :
 

Logfile of HijackThis v1.99.1
Scan saved at 12:46:53, on 10/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system\lsass.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Creative\SBLive\AudioHQ\AHQTBU.EXE
C:\WINDOWS\System\SMSS.EXE
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Free Download Manager\fdm.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\eMule\emule.exe
C:\WINDOWS\twain_32\Trust\Compact Scan\WATCH.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Florian & Alex\Bureau\hijackthis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [lsass Service] C:\WINDOWS\system\lsass.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [AudioHQU] C:\Program Files\Creative\SBLive\AudioHQ\AHQTBU.EXE
O4 - HKLM\..\Run: [smss] C:\WINDOWS\System\SMSS.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Free Download Manager] C:\Program Files\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [FreeGo] C:\Documents and Settings\Florian & Alex\FreeGo.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - Global Startup: Watch.lnk = C:\WINDOWS\twain_32\Trust\Compact Scan\WATCH.exe
O8 - Extra context menu item: Download all by Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://C:\Program Files\Free Download Manager\dlpage.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/fr/fr/tools/activex/fpu.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


Message édité par nero27 le 10-09-2005 à 13:02:00
mood
Publicité
Posté le 10-09-2005 à 12:45:49  profilanswer
 

n°2153385
sioowan
Posté le 10-09-2005 à 14:20:11  profilanswer
 

10 secondes sur google et ça aurait donné ça ;o)
http://www.liutilities.com/product [...] rary/smss/
 
et apparement il peut être infecté. Donc Ad-aware, A square, The cleaner, et un bon coup d'anti-virus pour commencer.
 
Une fois tout ceci fait et si le problème persiste... On passe à autre chose.
 
Et post ton log ici http://www.hijackthis.de/index.php#anl
c'est plus simple.


Message édité par sioowan le 10-09-2005 à 14:32:01
n°2153394
wackevat
Posté le 10-09-2005 à 14:24:20  profilanswer
 

Tu as aussi UpdReg.EXE qui est louche.
 
Sinon, ne mets pas de balises code : ça bug en ce moment.

n°2153398
wackevat
Posté le 10-09-2005 à 14:26:01  profilanswer
 

Pour smss.exe : l'écriture (minuscule/majuscule) n'a aucune importance - mais la bonne place de ce fichier est dans system32  --> la copie dans system est sûrement un virus.

n°2153979
nero27
Posté le 10-09-2005 à 23:21:37  profilanswer
 

sioowan a écrit :

10 secondes sur google et ça aurait donné ça ;o)
http://www.liutilities.com/product [...] rary/smss/
 
et apparement il peut être infecté. Donc Ad-aware, A square, The cleaner, et un bon coup d'anti-virus pour commencer.
 
Une fois tout ceci fait et si le problème persiste... On passe à autre chose.
 
Et post ton log ici http://www.hijackthis.de/index.php#anl
c'est plus simple.


J'ai bien fait cette recherche : je sais très bien que smss.exe dans system32 est un fichier système (je ne poste jamais sans faire de recherche au préalable).
Dans mon cas, le problème ne vient pas de lui mais de SMSS.exe, dans /system, qui est vraiment très louche...
 

wackevat a écrit :

Pour smss.exe : l'écriture (minuscule/majuscule) n'a aucune importance - mais la bonne place de ce fichier est dans system32  --> la copie dans system est sûrement un virus.


C'est bien ça le problème, et selon les messages de avast!, il semble tenter d'envoyer des informations à une liste d'ip et de serveurs web :/
 
Après recherche, je peux le fermer avec Security Task Manager (à chaque ouverture de session) et il semblerait que ce soit bien un virus, mais je n'ai pas encore trouvé comment le supprimer :pfff:  
 
Si vous avez des infos, je suis preneur :jap:
 

n°2153992
wackevat
Posté le 10-09-2005 à 23:39:59  profilanswer
 

Tu démarres en mode sans échec, fixe la ligne  
O4 - HKLM..Run: [smss] C:WINDOWSSystemSMSS.EXE
dans HijackThis, cherche ce fichier dans le dossier system et supprime-le.
 
S'il revient, désactive la restauration et recommence la manip.

n°2153994
Profil sup​primé
Posté le 10-09-2005 à 23:42:08  answer
 

vous pouvez obtenir une analyse coplete et detaillé de vos log via le site d'hijackthis
 
http://www.hijackthis.de/fr
 
va jetter un coup d'oeuil pour voir si d'autres problemes

n°2153996
wackevat
Posté le 10-09-2005 à 23:48:17  profilanswer
 

Regarde la partie Advanced de ce lien :
http://www.sophos.com/virusinfo/an [...] fengc.html

n°2154008
nero27
Posté le 11-09-2005 à 00:14:15  profilanswer
 

Merci beaucoup tous les deux : je vais regarder ça et je vous tiens au courant ;)


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Win NT/2K/XP

  smss.exe et SMSS.exe : Trojan ???

 

Sujets relatifs
Trojan.Agent.cs!!!écran bleu trojan smitfraud
trojan.downloader.3918; win31.gael.3666; win32.IRC.Backdoorinfecte par trojan
trojanGros problème de Trojan "hclean32.exe" - Comment le supprimer ?
Win32.Trojan.Agent.cs impossible à supprimer avec Ad-Awaretrojan downloader 3918 et win 32 IRC backdoor
Trojan Horse Startpage.19.AOTrojan détecté par irc mais pas par mes scans.
Plus de sujets relatifs à : smss.exe et SMSS.exe : Trojan ???

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.040 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR