Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

smss.exe Virus of niet + HJT logfile

M@rc
23 antwoorden
  • Hoi allemaal

    Ik heb sinds vanmorgen ineens de melding in zone alarm
    dat smss.exe is trying to connect the internet.

    Dat heb ik normaliter nooit, ook na opnieuw opstarten blijft hij hierom
    vragen. Na enig speurwerk vond ik over smss.exe het volgende:

    [b:ba226ae787]Deze file is een onderdeel van het Windows besturingssysteem, terug te vinden in de installatiemap van je windows (bij Windows XP is dit normaal c:\windows\system32). De volledige naam van deze file is Session Manager Subsystem.

    In het geval dat deze file in een andere map terug te vinden is dan in de Windows installatiemap kan dit een virus, een trojan, een worm of spyware zijn, zoals bij vele andere files ook het geval kan zijn.

    smss.exe is verantwoordelijk voor alle sessies op je pc en is belangrijk voor je pc zodat deze stabiel en veilig kan werken. Het is niet de bedoeling dat dit proces wordt afgesloten!
    Extra informatie
    Virus: Neen
    Spyware: Neen
    Locatie: c:\windows\system32 [/b:ba226ae787]

    En waar staat deze file smss.exe nu allemaal op mijn harddisk:

    SMSS.EXE-1AA5475C.pf in C:\WINDOWS\Prefetch
    smss.exe C:\WINDOWS\system32
    smss.exe C:\system32.config

    Voor toegang tot internet geef ik nu maar even deny tot ik weet of dit mag. Is hier een probleem ? :(


    Na het draaien van Hitman Pro is het nog steeds.

    grt, FX
  • Laat die bestandjes eens scannen via
    http://virusscan.jotti.org/
  • Hoi

    Bedankt voor de tip.
    Volgens het scanprogramma is er niets aan de hand.

    Maar waarom wil smss.exe af en toe langs zonealarm naar het internet ?


    Toch altijd handig om te weten wat, waar, hoe etc of wat dan ook gebeurt.
    Wat een zin ! :D

    grt, FX
  • Google vertelt me meer dat dit bestand niet verbinding hoort te maken met internet, want als het dat wel doet is het waarschijnlijk een trojan. ;)
  • Scan eens met trojanhunter, te downloaden van:
    http://www.trojanhunter.com/

    Misschien ook eens hitman proberen:
    http://www.hitmanpro.nl
  • Tja :cry: :cry: , trojan hunter gedraaid.

    And the results are………………….

    [b:c2f9a73e53]Registry scan
    No suspicious entries found
    Inifile scan
    No suspicious entries found
    Port scan
    No suspicious open ports found
    Memory scan
    No trojans found in memory
    File scan
    Found possible trojan file: C:\Documents and Settings\BOB\Local Settings\Temporary Internet Files\Content.IE5\GPUJC56F\smsstmp[1].exe (Possible trojan downloader) (What's a possible trojan file?) (Submit for analysis…) (Add to ignore list)
    Found possible trojan file: C:\WINDOWS\system32\config\cleaner.exe (Suspicious: UPX-packed file in Windows System folder) (What's a possible trojan file?) (Submit for analysis…) (Add to ignore list)
    Found possible trojan file: C:\WINDOWS\system32\config\h.exe (Suspicious: UPX-packed file in Windows System folder) (What's a possible trojan file?) (Submit for analysis…) (Add to ignore list)
    Found possible trojan file: C:\WINDOWS\system32\config\msmsgs.exe (Suspicious: UPX-packed file in Windows System folder) (What's a possible trojan file?) (Submit for analysis…) (Add to ignore list)
    Found possible trojan file: C:\WINDOWS\system32\config\smsstmp.exe (Possible trojan downloader) (What's a possible trojan file?) (Submit for analysis…) (Add to ignore list)
    5 possible trojan files found[/b:c2f9a73e53]


    Alles maar in de [b:c2f9a73e53]Add to ignore list [/b:c2f9a73e53] plaatsen ?

    grt, FX
  • Deze er ook nog maar even bijgezet 8) grt, FX


    Logfile of HijackThis v1.99.0
    Scan saved at 9:25:43, on 1-2-2005
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Keymaestro\Multimedia Keyboard\MMKeybd.exe
    C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    C:\WINDOWS\System32\VTTimer.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Java\jre1.5.0\bin\jusched.exe
    C:\WINDOWS\system32\config\msmsgs.exe
    C:\Program Files\AVPersonal\AVGNT.EXE
    C:\WINDOWS\system32\config\smss.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Philips\LightFrame 3\LightFrameV3.exe
    C:\Program Files\Keymaestro\Multimedia Keyboard
    hksrv.exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\AVPersonal\AVGUARD.EXE
    C:\Program Files\AVPersonal\AVWUPSRV.EXE
    C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\wdfmgr.exe
    C:\Program Files\Keymaestro\Onscreen Display\OSD.exe
    C:\Documents and Settings\BOB\Local Settings\Temp\Tijdelijke map 1 voor hijackthis.zip\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hccnet.nl/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O1 - Hosts: 209.151.89.50 signin.ebay.com
    O1 - Hosts: 209.151.89.50 signin.ebay.co.uk
    O1 - Hosts: 209.151.89.50 signin.ebay.fr
    O1 - Hosts: 209.151.89.50 signin.ebay.de
    O1 - Hosts: 209.151.89.50 signin.ebay.be
    O1 - Hosts: 209.151.89.50 signin.ebay.it
    O1 - Hosts: 209.151.89.50 signin.ebay.ca
    O1 - Hosts: 209.151.89.50 signin.ebay.nl
    O1 - Hosts: 209.151.89.50 signin.ebay.com.cn
    O1 - Hosts: 217.160.243.63 meine.deutsche-bank.de
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: LightFrame3IECOM - {43D29D14-460E-4F3A-9037-E60F11EF12F0} - C:\WINDOWS\System32\LightFrame3IECOM.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Keymaestro\Multimedia Keyboard\MMKeybd.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\system32\config\msmsgs.exe
    O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
    O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
    O4 - HKLM\..\Run: [Services Process] C:\WINDOWS\system32\config\smss.exe
    O4 - HKLM\..\Run: [THGuard] "C:\Program Files\TrojanHunter 4.1\THGuard.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - Global Startup: LightFrame 3.lnk = ?
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin
    pjpi150.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin
    pjpi150.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105881352624
    O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
    O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
    O23 - Service: Netropa NHK Server - Unknown - C:\Program Files\Keymaestro\Multimedia Keyboard
    hksrv.exe
    O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



  • [quote:51d4bf0365="FX"]
    En waar staat deze file smss.exe nu allemaal op mijn harddisk:

    SMSS.EXE-1AA5475C.pf in C:\WINDOWS\Prefetch
    smss.exe C:\WINDOWS\system32
    smss.exe C:\system32.config
    [/quote:51d4bf0365]

    Wow, mijn account bestaat nog steeds na jaren niet ingelogd te zijn…

    Kijk eens hier:
    http://www.neuber.com/taskmanager/process/smss.exe.html

    SMSS.EXE is inderdaad een standaard Windows process, MAAR… Het hoort niet in een andere directory dan C:\Windows\System32 te staan.
    De Prefetch directory is waar o.a. nieuwe versies van Windows bestanden tijdelijk worden gezet. Maar C:\system32.config is geen standaard directory, en zal dus eerder door een Virus aangemaakt zijn.
    Ook wanneer het de standaard directory C:\Windows\System32\config is is dit niet normaal, aangezien hier niet dat soort bestanden in horen.
  • Hoi

    Ik heb de 5 trojan files volgens trojan hunter geplaatst als

    [b:892737365c]Add to ignore list [/b:892737365c]

    Als ik trojan hunter weer draai krijg ik geen meldingen
    meer, maar ……………………………….
    Na opstarten krijg ik van zone alarm weer direct de melding smss.exe
    is trying to connect the internet.

    Moet ik de volgende regel soms fixen in HiJackThis

    [b:892737365c]C:\WINDOWS\System32\smss.exe [/b:892737365c] ????????

    grt, FX
  • laat eerst het hjt team je hjt log bekijken voor je verder pruts

    in de directe windows\system32 map staat de legale versie

    alle andere mappen waarin je hem vind / vond is illegaal

    in je log zie ik nog meer illegale zaken die beter gefixt kan worden, maar weet niet of er wat meer achter zit
  • Bedankt sjouwer.

    Ik wacht het rustig af.

    grt, FX
  • Had even niet je hele log bekeken (zat op het werk en zo), maar zie dat er meer uit C:\Windows\System32\config wordt gestart. Dit zijn inderdaad Trojans of zo, dit zijn de enige bestanden die in die folder horen te staan:

    AppEvent.Evt
    default
    default.LOG
    default.sav
    SAM
    SAM.LOG
    SecEvent.Evt
    SECURITY
    SECURITY.LOG
    software
    software.LOG
    software.sav
    SysEvent.Evt
    system
    system.LOG
    system.sav
    TempKey.LOG
    userdiff
    userdiff.LOG

    En de folder systemprofile kan daar ook nog staan.

    Als er in die folder dus een executable staat is er iets mis.

    Ga naar http://www.grisoft.com, en download de gratis versie van AVG. Scan hiermee om te kijken of die de PC wat kan opschonen.
  • Hoi

    Bedankt voor je reactie, ik ben tot 23.30 uur op mijn werk vandaar dat
    ik niet eerder kon reageren. Ik zal je morgenochtend laten weten hoe het is afgelopen.

    bedankt FX
  • Hoi

    Niets meer gevonden, kan natuurlijk komen door het draaien van trojan hunter, deze heeft er al 5 uitgepikt.

    Vraag blijft nu nog of ik de volgende regel mag fixen in HJT

    [b:f7c20eb319]C:\WINDOWS\system32\config\smss.exe[/b:f7c20eb319]

    Ik denk dat dat wel kan, maar ga eerst nog het HJT document bekijken.
    En ik moet toegeven, dat snap ik niet allemaal, maar toch…………..

    grt, FX
  • Er horen in C:\Windows\System32\config geen .exe bestanden te staan. Zowel deze bestanden als alle verwijzingen hiernaar kan je dus zonder pardon verwijderen.

    Om ze te verwijderen moet je wel even in Safe Mode opstarten.
  • Ter info:

    smss.exe is a process which is a part of the Microsoft Windows Operating System. It is called the Session Manager SubSystem and is responsible for handling sessions on your system. This program is important for the stable and secure running of your computer and should not be terminated. Note: smss.exe is also a process which is registered as the Win32.Ladex.a Trojan. This Trojan allows attackers to access your computer, stealing passwords and personal data. It is a registered security risk and should be removed immediately.

    http://www.liutilities.com/products/wintaskspro/processlibrary/smss/
  • Beste mensen

    De PC draait nog na het verwijderen van dat regeltje en de melding ben ik
    nu kwijt. Incl wat trojans met trojan hunter.
    Bedankt allemaal.

    :D
  • Hoi


    O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\system32\config\msmsgs.exe

    Dan gooi ik deze er toch ook maar uit.

    grt, FX
  • http://www.multidesk.be/procesinfo/000003/
  • Hallo FX,

    Vlug even gekeken:
    Sla HijackThis op in een eigen map. Niet op je bureaublad of in je Temp-files. HijackThis maakt namelijk backups in de map waar het opgestart wordt.

    Zorg dat alle verborgen bestanden weergegeven worden.

    Start de computer in veilige modus.

    Sluit alle open vensters, run HijackThis nog een keer en laat volgende items repareren:
    [b:6122dbeb27]
    O1 - Hosts: 209.151.89.50 signin.ebay.com
    O1 - Hosts: 209.151.89.50 signin.ebay.co.uk
    O1 - Hosts: 209.151.89.50 signin.ebay.fr
    O1 - Hosts: 209.151.89.50 signin.ebay.de
    O1 - Hosts: 209.151.89.50 signin.ebay.be
    O1 - Hosts: 209.151.89.50 signin.ebay.it
    O1 - Hosts: 209.151.89.50 signin.ebay.ca
    O1 - Hosts: 209.151.89.50 signin.ebay.nl
    O1 - Hosts: 209.151.89.50 signin.ebay.com.cn
    O1 - Hosts: 217.160.243.63 meine.deutsche-bank.de

    O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\system32\config\msmsgs.exe
    O4 - HKLM\..\Run: [Services Process] C:\WINDOWS\system32\config\smss.exe

    [/b:6122dbeb27]
    Verwijder deze bestanden:

    C:\WINDOWS\system32\config\msmsgs.exe
    C:\WINDOWS\system32\config\smss.exe


    Reboot de computer, run HijackThis opnieuw en post een nieuwe log.

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.