Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

troyen ??

gloups

Par gloups
dans Software

 Partager

Messages recommandés

gloups Power Member

gloups

Posté(e)
Posté(e)

Bonjour,

 

Je pense être infecté par un troyen, mais je ne sais pas m'en débarasser !

 

Suite au téléchargement et a l'execution d'un truc pas net (personne n'est parfait) et peu de temps aprés avoir executé ce truc pas net, j'ai eu une alerte kerio:

 

"Quelqu'un (218.78.209.68, port 30448) veut envoyer un datagramme UDP sur le port 1026 géré par SMSS.EXE sur ce système"

 

detail sur l'application:

 

c:\windows\smss.exe

 

Or dans le repertoire windows; pas de ssms.exe....

 

de plus en mémoire, dans les taches, j'ai 2 instances de ssms.exe, une de 464 ko l'autre de 3884 Ko...mais impossible de les supprimer, XP me répond que ces processus sont critiques et qu'on ne peut donc pas les supprimer.

 

j'ai téléchargé TDS-3, il ne me trouve rien (mais peut-être est-ce que c'est parce que j'ai bloqué la backdoor par kerio ?)

 

par contre:

- pest patrol (scan on line) me trouve un troyen ds c:\windows\ssms.exe...mais tjrs pas ce fichier ds ce repertoire !

- avast ne me trouve rien.

 

je pense que je bloque ce troyen grace a kerio, mais je ne sais pas m'en débarasser ! (et bien sur, y'a bien longtemps que j'ai poubellisé le truc louche qui m'a importé ça !)

 

help !

Lien vers le commentaire
Partager sur d’autres sites

megataupe Godlike Member

megataupe

Posté(e)
Posté(e)

Salut. Sophos antivirus donne celui là comme actif récemment :

 

Troj/Delf-DI est un cheval de Troie qui se copie dans le fichier SMSS.EXE et ouvre une porte dérobée qui permet à l’intrus distant d'accéder à l'ordinateur infecté.

 

Ce cheval de Troie enregistre les frappes de touches que l’intrus distant pourra récupérer en lui envoyant les commandes appropriées.

 

Le vrai smss.exe c'est celui là :

 

smss - smss.exe

 

Le processus smss.exe (smss signifiant Session Management Subsystem) est un processus générique de Windows NT/2000/XP servant à créer, gérer et supprimer les sessions utilisateurs. Il s'agit du premier processus executé au démarrage en mode utilisateur.

 

Le processus smss n'est en aucun cas un Virus résident, un ver, un cheval de Troie, un spyware, ni un AdWare.

 

Il s'agit d'un processus système critique ne pouvant pas être arrêté par le gestionnaire des tâches.

Lien vers le commentaire
Partager sur d’autres sites
Invité tesgaz

Invité tesgaz

Posté(e)
Posté(e)
comment fait-on pour supprimer un service sous xp ?

 

salut,

 

tu ne peux pas désactiver ce processus :

Smss.exe

(Windows NT Session Manager)

Il s'agit du sous-système de gestion de session (session manager subsystem) qui est responsable de démarrer la session utilisateur.

Ce processus est initié par le thread système et est responsable de différentes activités dont le lancement des process Winlogon et Win32 (csrss.exe) ainsi que du positionnement des variables système. Après qu'il a lancé ces processus, il attend que Winlogon ou Csrss se termine. Si cela se produit normalement, le système s'arrête.

Ce processus est obligatoire

lire l'article sur le gestionnaire des taches :

http://www.zebulon.fr/articles/gestionnaire_taches.php

Lien vers le commentaire
Partager sur d’autres sites
gloups Power Member

gloups

Posté(e)
  • Auteur
Posté(e)

alors , il s'agit ici du FAUX smss.exe !!!

 

et j'ai bien desactivé le service en question, lancé depuis c:\windows\smss.exe.

 

mon problème reste que je n'arrive pas a supprimer ce service ! si quelqu'un sait comment supprimer un service (qui a auparavant été desactivé ? )

 

 

pour info; le vrai smss.exe est situé ds le repertoire c:\windows\system32; et est toujours sain.

 

enfin, ce faux smsss.exe n'est pas détecté ni par avast, ni par a², ni par TDS3.

 

le seul truc qui le trouve c'est pest patrol, version on line.

 

et le smss.exe qui se trouvait (depuis je l'ai enlevé) dans c:\windows\ etait bien un troyen-keylogger: j'ai édité le code avec un editeur hex: et j'ai vu sur la fin que ce programme devait chercher a recuperer plein de clef de jeux différents.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...