Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

gloups

troyen ??

Messages recommandés

Bonjour,

 

Je pense être infecté par un troyen, mais je ne sais pas m'en débarasser !

 

Suite au téléchargement et a l'execution d'un truc pas net (personne n'est parfait) et peu de temps aprés avoir executé ce truc pas net, j'ai eu une alerte kerio:

 

"Quelqu'un (218.78.209.68, port 30448) veut envoyer un datagramme UDP sur le port 1026 géré par SMSS.EXE sur ce système"

 

detail sur l'application:

 

c:\windows\smss.exe

 

Or dans le repertoire windows; pas de ssms.exe....

 

de plus en mémoire, dans les taches, j'ai 2 instances de ssms.exe, une de 464 ko l'autre de 3884 Ko...mais impossible de les supprimer, XP me répond que ces processus sont critiques et qu'on ne peut donc pas les supprimer.

 

j'ai téléchargé TDS-3, il ne me trouve rien (mais peut-être est-ce que c'est parce que j'ai bloqué la backdoor par kerio ?)

 

par contre:

- pest patrol (scan on line) me trouve un troyen ds c:\windows\ssms.exe...mais tjrs pas ce fichier ds ce repertoire !

- avast ne me trouve rien.

 

je pense que je bloque ce troyen grace a kerio, mais je ne sais pas m'en débarasser ! (et bien sur, y'a bien longtemps que j'ai poubellisé le truc louche qui m'a importé ça !)

 

help !

Partager ce message


Lien à poster
Partager sur d’autres sites

j'ajoute que les options de l'explorateur de fichier me fait bien afficher tous les dossiers et fichiers même cachés.

 

même en mode dos, pas de ssms.exe ds ce repertoire !

Modifié par gloups

Partager ce message


Lien à poster
Partager sur d’autres sites

Salut. Sophos antivirus donne celui là comme actif récemment :

 

Troj/Delf-DI est un cheval de Troie qui se copie dans le fichier SMSS.EXE et ouvre une porte dérobée qui permet à l’intrus distant d'accéder à l'ordinateur infecté.

 

Ce cheval de Troie enregistre les frappes de touches que l’intrus distant pourra récupérer en lui envoyant les commandes appropriées.

 

Le vrai smss.exe c'est celui là :

 

smss - smss.exe

 

Le processus smss.exe (smss signifiant Session Management Subsystem) est un processus générique de Windows NT/2000/XP servant à créer, gérer et supprimer les sessions utilisateurs. Il s'agit du premier processus executé au démarrage en mode utilisateur.

 

Le processus smss n'est en aucun cas un Virus résident, un ver, un cheval de Troie, un spyware, ni un AdWare.

 

Il s'agit d'un processus système critique ne pouvant pas être arrêté par le gestionnaire des tâches.

Partager ce message


Lien à poster
Partager sur d’autres sites

j'ai trouvé un service suspect:

 

"Application Management Browser"

 

avec un chemin d'accés executable: "C:\WINDOWS\smss.exe"...justement !

 

mais tjrs pas smss.exe dans mon repertoire windows !

Partager ce message


Lien à poster
Partager sur d’autres sites

bon c'était bien ce service la; et c'était bien le smss.exe ds mon repertoire windows.

 

par contre, j'ai desactivé le service; mais je ne sais pas le supprimer !

 

comment fait-on pour supprimer un service sous xp ?

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour,

 

Ne peux-tu pas récupérer un SMSS.exe sain (sur ton CD XP par exemple) et remplacer le SMSS substitué (boot en dos) ??

 

N'as-tu pas un point de récupération système antérieure ??

 

As-tu essayé A² dispo (Antitroyen efficace)

 

++

Partager ce message


Lien à poster
Partager sur d’autres sites
Invité tesgaz
comment fait-on pour supprimer un service sous xp ?

 

salut,

 

tu ne peux pas désactiver ce processus :

Smss.exe

(Windows NT Session Manager)

Il s'agit du sous-système de gestion de session (session manager subsystem) qui est responsable de démarrer la session utilisateur.

Ce processus est initié par le thread système et est responsable de différentes activités dont le lancement des process Winlogon et Win32 (csrss.exe) ainsi que du positionnement des variables système. Après qu'il a lancé ces processus, il attend que Winlogon ou Csrss se termine. Si cela se produit normalement, le système s'arrête.

Ce processus est obligatoire

lire l'article sur le gestionnaire des taches :

http://www.zebulon.fr/articles/gestionnaire_taches.php

Partager ce message


Lien à poster
Partager sur d’autres sites

alors , il s'agit ici du FAUX smss.exe !!!

 

et j'ai bien desactivé le service en question, lancé depuis c:\windows\smss.exe.

 

mon problème reste que je n'arrive pas a supprimer ce service ! si quelqu'un sait comment supprimer un service (qui a auparavant été desactivé ? )

 

 

pour info; le vrai smss.exe est situé ds le repertoire c:\windows\system32; et est toujours sain.

 

enfin, ce faux smsss.exe n'est pas détecté ni par avast, ni par a², ni par TDS3.

 

le seul truc qui le trouve c'est pest patrol, version on line.

 

et le smss.exe qui se trouvait (depuis je l'ai enlevé) dans c:\windows\ etait bien un troyen-keylogger: j'ai édité le code avec un editeur hex: et j'ai vu sur la fin que ce programme devait chercher a recuperer plein de clef de jeux différents.

Partager ce message


Lien à poster
Partager sur d’autres sites

Votre contenu devra être approuvé par un modérateur

Invité
Vous postez un commentaire en tant qu’invité. Si vous avez un compte, merci de vous connecter.
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×