smss.exe et SMSS.exe : Trojan ???

smss.exe et SMSS.exe : Trojan ??? - Win NT/2K/XP - Windows & Software

Marsh Posté le 10-09-2005 à 12:45:49    

Voilà, depuis hier, j'ai un problème bizarre, Avast! m'envoie toutes les 30s cette fenêtre :
 
http://florian.petit2.free.fr/foutoir/smss.jpg
 
En regardant dans le gestionnaire des tâches, je me suis rendu compte que j'avais smss.exe, mais aussi SMSS.exe, que je trouve étrange :/
 
Ce processus est-il normal ou ressemble-t-il à un troyan ?
 
EDIT:  
voilà le log de hijackthis :
 

Logfile of HijackThis v1.99.1
Scan saved at 12:46:53, on 10/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system\lsass.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Creative\SBLive\AudioHQ\AHQTBU.EXE
C:\WINDOWS\System\SMSS.EXE
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Free Download Manager\fdm.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\eMule\emule.exe
C:\WINDOWS\twain_32\Trust\Compact Scan\WATCH.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Florian & Alex\Bureau\hijackthis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [lsass Service] C:\WINDOWS\system\lsass.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [AudioHQU] C:\Program Files\Creative\SBLive\AudioHQ\AHQTBU.EXE
O4 - HKLM\..\Run: [smss] C:\WINDOWS\System\SMSS.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Free Download Manager] C:\Program Files\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [FreeGo] C:\Documents and Settings\Florian & Alex\FreeGo.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - Global Startup: Watch.lnk = C:\WINDOWS\twain_32\Trust\Compact Scan\WATCH.exe
O8 - Extra context menu item: Download all by Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://C:\Program Files\Free Download Manager\dlpage.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/fr/fr/tools/activex/fpu.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


Message édité par nero27 le 10-09-2005 à 13:02:00
Reply

Marsh Posté le 10-09-2005 à 12:45:49   

Reply

Marsh Posté le 10-09-2005 à 14:20:11    

10 secondes sur google et ça aurait donné ça ;o)
http://www.liutilities.com/product [...] rary/smss/
 
et apparement il peut être infecté. Donc Ad-aware, A square, The cleaner, et un bon coup d'anti-virus pour commencer.
 
Une fois tout ceci fait et si le problème persiste... On passe à autre chose.
 
Et post ton log ici http://www.hijackthis.de/index.php#anl
c'est plus simple.


Message édité par sioowan le 10-09-2005 à 14:32:01
Reply

Marsh Posté le 10-09-2005 à 14:24:20    

Tu as aussi UpdReg.EXE qui est louche.
 
Sinon, ne mets pas de balises code : ça bug en ce moment.

Reply

Marsh Posté le 10-09-2005 à 14:26:01    

Pour smss.exe : l'écriture (minuscule/majuscule) n'a aucune importance - mais la bonne place de ce fichier est dans system32  --> la copie dans system est sûrement un virus.

Reply

Marsh Posté le 10-09-2005 à 23:21:37    

sioowan a écrit :

10 secondes sur google et ça aurait donné ça ;o)
http://www.liutilities.com/product [...] rary/smss/
 
et apparement il peut être infecté. Donc Ad-aware, A square, The cleaner, et un bon coup d'anti-virus pour commencer.
 
Une fois tout ceci fait et si le problème persiste... On passe à autre chose.
 
Et post ton log ici http://www.hijackthis.de/index.php#anl
c'est plus simple.


J'ai bien fait cette recherche : je sais très bien que smss.exe dans system32 est un fichier système (je ne poste jamais sans faire de recherche au préalable).
Dans mon cas, le problème ne vient pas de lui mais de SMSS.exe, dans /system, qui est vraiment très louche...
 

wackevat a écrit :

Pour smss.exe : l'écriture (minuscule/majuscule) n'a aucune importance - mais la bonne place de ce fichier est dans system32  --> la copie dans system est sûrement un virus.


C'est bien ça le problème, et selon les messages de avast!, il semble tenter d'envoyer des informations à une liste d'ip et de serveurs web :/
 
Après recherche, je peux le fermer avec Security Task Manager (à chaque ouverture de session) et il semblerait que ce soit bien un virus, mais je n'ai pas encore trouvé comment le supprimer :pfff:  
 
Si vous avez des infos, je suis preneur :jap:
 

Reply

Marsh Posté le 10-09-2005 à 23:39:59    

Tu démarres en mode sans échec, fixe la ligne  
O4 - HKLM..Run: [smss] C:WINDOWSSystemSMSS.EXE
dans HijackThis, cherche ce fichier dans le dossier system et supprime-le.
 
S'il revient, désactive la restauration et recommence la manip.

Reply

Marsh Posté le 10-09-2005 à 23:42:08    

vous pouvez obtenir une analyse coplete et detaillé de vos log via le site d'hijackthis
 
http://www.hijackthis.de/fr
 
va jetter un coup d'oeuil pour voir si d'autres problemes

Reply

Marsh Posté le 10-09-2005 à 23:48:17    

Regarde la partie Advanced de ce lien :
http://www.sophos.com/virusinfo/an [...] fengc.html

Reply

Marsh Posté le 11-09-2005 à 00:14:15    

Merci beaucoup tous les deux : je vais regarder ça et je vous tiens au courant ;)

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed