Vraag & Antwoord

Beveiliging & privacy

smss.exe Virus of niet + HJT logfile

23 antwoorden
  • Hoi allemaal Ik heb sinds vanmorgen ineens de melding in zone alarm dat smss.exe is trying to connect the internet. Dat heb ik normaliter nooit, ook na opnieuw opstarten blijft hij hierom vragen. Na enig speurwerk vond ik over smss.exe het volgende: [b:ba226ae787]Deze file is een onderdeel van het Windows besturingssysteem, terug te vinden in de installatiemap van je windows (bij Windows XP is dit normaal c:\windows\system32). De volledige naam van deze file is Session Manager Subsystem. In het geval dat deze file in een andere map terug te vinden is dan in de Windows installatiemap kan dit een virus, een trojan, een worm of spyware zijn, zoals bij vele andere files ook het geval kan zijn. smss.exe is verantwoordelijk voor alle sessies op je pc en is belangrijk voor je pc zodat deze stabiel en veilig kan werken. Het is niet de bedoeling dat dit proces wordt afgesloten! Extra informatie Virus: Neen Spyware: Neen Locatie: c:\windows\system32 [/b:ba226ae787] En waar staat deze file smss.exe nu allemaal op mijn harddisk: SMSS.EXE-1AA5475C.pf in C:\WINDOWS\Prefetch smss.exe C:\WINDOWS\system32 smss.exe C:\system32.config Voor toegang tot internet geef ik nu maar even deny tot ik weet of dit mag. Is hier een probleem ? :( Na het draaien van Hitman Pro is het nog steeds. grt, FX
  • Laat die bestandjes eens scannen via [url]http://virusscan.jotti.org/[/url]
  • Hoi Bedankt voor de tip. Volgens het scanprogramma is er niets aan de hand. Maar waarom wil smss.exe af en toe langs zonealarm naar het internet ? Toch altijd handig om te weten wat, waar, hoe etc of wat dan ook gebeurt. Wat een zin ! :D grt, FX
  • [url=http://www.google.com/search?q=smss.exe]Google[/url] vertelt me meer dat dit bestand niet verbinding hoort te maken met internet, want als het dat wel doet is het waarschijnlijk een trojan. ;)
  • Scan eens met trojanhunter, te downloaden van: http://www.trojanhunter.com/ Misschien ook eens hitman proberen: http://www.hitmanpro.nl
  • Tja :cry: :cry: , trojan hunter gedraaid. And the results are...................... [b:c2f9a73e53]Registry scan No suspicious entries found Inifile scan No suspicious entries found Port scan No suspicious open ports found Memory scan No trojans found in memory File scan Found possible trojan file: C:\Documents and Settings\BOB\Local Settings\Temporary Internet Files\Content.IE5\GPUJC56F\smsstmp[1].exe (Possible trojan downloader) (What's a possible trojan file?) (Submit for analysis...) (Add to ignore list) Found possible trojan file: C:\WINDOWS\system32\config\cleaner.exe (Suspicious: UPX-packed file in Windows System folder) (What's a possible trojan file?) (Submit for analysis...) (Add to ignore list) Found possible trojan file: C:\WINDOWS\system32\config\h.exe (Suspicious: UPX-packed file in Windows System folder) (What's a possible trojan file?) (Submit for analysis...) (Add to ignore list) Found possible trojan file: C:\WINDOWS\system32\config\msmsgs.exe (Suspicious: UPX-packed file in Windows System folder) (What's a possible trojan file?) (Submit for analysis...) (Add to ignore list) Found possible trojan file: C:\WINDOWS\system32\config\smsstmp.exe (Possible trojan downloader) (What's a possible trojan file?) (Submit for analysis...) (Add to ignore list) 5 possible trojan files found[/b:c2f9a73e53] Alles maar in de [b:c2f9a73e53]Add to ignore list [/b:c2f9a73e53] plaatsen ? grt, FX
  • Deze er ook nog maar even bijgezet 8) grt, FX Logfile of HijackThis v1.99.0 Scan saved at 9:25:43, on 1-2-2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Keymaestro\Multimedia Keyboard\MMKeybd.exe C:\Program Files\Analog Devices\SoundMAX\SMTray.exe C:\WINDOWS\System32\VTTimer.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\Java\jre1.5.0\bin\jusched.exe C:\WINDOWS\system32\config\msmsgs.exe C:\Program Files\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\config\smss.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Philips\LightFrame 3\LightFrameV3.exe C:\Program Files\Keymaestro\Multimedia Keyboard\nhksrv.exe C:\WINDOWS\System32\alg.exe C:\Program Files\AVPersonal\AVGUARD.EXE C:\Program Files\AVPersonal\AVWUPSRV.EXE C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\wdfmgr.exe C:\Program Files\Keymaestro\Onscreen Display\OSD.exe C:\Documents and Settings\BOB\Local Settings\Temp\Tijdelijke map 1 voor hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hccnet.nl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O1 - Hosts: 209.151.89.50 signin.ebay.com O1 - Hosts: 209.151.89.50 signin.ebay.co.uk O1 - Hosts: 209.151.89.50 signin.ebay.fr O1 - Hosts: 209.151.89.50 signin.ebay.de O1 - Hosts: 209.151.89.50 signin.ebay.be O1 - Hosts: 209.151.89.50 signin.ebay.it O1 - Hosts: 209.151.89.50 signin.ebay.ca O1 - Hosts: 209.151.89.50 signin.ebay.nl O1 - Hosts: 209.151.89.50 signin.ebay.com.cn O1 - Hosts: 217.160.243.63 meine.deutsche-bank.de O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: LightFrame3IECOM - {43D29D14-460E-4F3A-9037-E60F11EF12F0} - C:\WINDOWS\System32\LightFrame3IECOM.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Keymaestro\Multimedia Keyboard\MMKeybd.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\system32\config\msmsgs.exe O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Services Process] C:\WINDOWS\system32\config\smss.exe O4 - HKLM\..\Run: [THGuard] "C:\Program Files\TrojanHunter 4.1\THGuard.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - Global Startup: LightFrame 3.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105881352624 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE O23 - Service: Netropa NHK Server - Unknown - C:\Program Files\Keymaestro\Multimedia Keyboard\nhksrv.exe O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
  • [quote:51d4bf0365="FX"] En waar staat deze file smss.exe nu allemaal op mijn harddisk: SMSS.EXE-1AA5475C.pf in C:\WINDOWS\Prefetch smss.exe C:\WINDOWS\system32 smss.exe C:\system32.config [/quote:51d4bf0365] Wow, mijn account bestaat nog steeds na jaren niet ingelogd te zijn... Kijk eens hier: http://www.neuber.com/taskmanager/process/smss.exe.html SMSS.EXE is inderdaad een standaard Windows process, MAAR... Het hoort niet in een andere directory dan C:\Windows\System32 te staan. De Prefetch directory is waar o.a. nieuwe versies van Windows bestanden tijdelijk worden gezet. Maar C:\system32.config is geen standaard directory, en zal dus eerder door een Virus aangemaakt zijn. Ook wanneer het de standaard directory C:\Windows\System32\config is is dit niet normaal, aangezien hier niet dat soort bestanden in horen.
  • Hoi Ik heb de 5 trojan files volgens trojan hunter geplaatst als [b:892737365c]Add to ignore list [/b:892737365c] Als ik trojan hunter weer draai krijg ik geen meldingen meer, maar ..................................... Na opstarten krijg ik van zone alarm weer direct de melding smss.exe is trying to connect the internet. Moet ik de volgende regel soms fixen in HiJackThis [b:892737365c]C:\WINDOWS\System32\smss.exe [/b:892737365c] ???????? grt, FX
  • laat eerst het hjt team je hjt log bekijken voor je verder pruts in de directe windows\system32 map staat de legale versie alle andere mappen waarin je hem vind / vond is illegaal in je log zie ik nog meer illegale zaken die beter gefixt kan worden, maar weet niet of er wat meer achter zit
  • Bedankt sjouwer. Ik wacht het rustig af. grt, FX
  • Had even niet je hele log bekeken (zat op het werk en zo), maar zie dat er meer uit C:\Windows\System32\config wordt gestart. Dit zijn inderdaad Trojans of zo, dit zijn de enige bestanden die in die folder horen te staan: AppEvent.Evt default default.LOG default.sav SAM SAM.LOG SecEvent.Evt SECURITY SECURITY.LOG software software.LOG software.sav SysEvent.Evt system system.LOG system.sav TempKey.LOG userdiff userdiff.LOG En de folder systemprofile kan daar ook nog staan. Als er in die folder dus een executable staat is er iets mis. Ga naar http://www.grisoft.com, en download de gratis versie van AVG. Scan hiermee om te kijken of die de PC wat kan opschonen.
  • Hoi Bedankt voor je reactie, ik ben tot 23.30 uur op mijn werk vandaar dat ik niet eerder kon reageren. Ik zal je morgenochtend laten weten hoe het is afgelopen. bedankt FX
  • Hoi Niets meer gevonden, kan natuurlijk komen door het draaien van trojan hunter, deze heeft er al 5 uitgepikt. Vraag blijft nu nog of ik de volgende regel mag fixen in HJT [b:f7c20eb319]C:\WINDOWS\system32\config\smss.exe[/b:f7c20eb319] Ik denk dat dat wel kan, maar ga eerst nog het HJT document bekijken. En ik moet toegeven, dat snap ik niet allemaal, maar toch.............. grt, FX
  • Er horen in C:\Windows\System32\config geen .exe bestanden te staan. Zowel deze bestanden als alle verwijzingen hiernaar kan je dus zonder pardon verwijderen. Om ze te verwijderen moet je wel even in Safe Mode opstarten.
  • Ter info: smss.exe is a process which is a part of the Microsoft Windows Operating System. It is called the Session Manager SubSystem and is responsible for handling sessions on your system. This program is important for the stable and secure running of your computer and should not be terminated. Note: smss.exe is also a process which is registered as the Win32.Ladex.a Trojan. This Trojan allows attackers to access your computer, stealing passwords and personal data. It is a registered security risk and should be removed immediately. http://www.liutilities.com/products/wintaskspro/processlibrary/smss/
  • Beste mensen De PC draait nog na het verwijderen van dat regeltje en de melding ben ik nu kwijt. Incl wat trojans met trojan hunter. Bedankt allemaal. :D
  • Hoi O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\system32\config\msmsgs.exe Dan gooi ik deze er toch ook maar uit. grt, FX
  • http://www.multidesk.be/procesinfo/000003/
  • Hallo FX, Vlug even gekeken: Sla HijackThis op in een eigen map. Niet op je bureaublad of in je Temp-files. HijackThis maakt namelijk backups in de map waar het opgestart wordt. Zorg dat alle [url=http://users.pandora.be/marcvn/spyware/1117602.htm]verborgen bestanden weergegeven worden[/url]. Start de computer in [url=http://users.pandora.be/marcvn/spyware/1378056.htm]veilige modus[/url]. Sluit alle open vensters, run HijackThis nog een keer en laat volgende items repareren: [b:6122dbeb27] O1 - Hosts: 209.151.89.50 signin.ebay.com O1 - Hosts: 209.151.89.50 signin.ebay.co.uk O1 - Hosts: 209.151.89.50 signin.ebay.fr O1 - Hosts: 209.151.89.50 signin.ebay.de O1 - Hosts: 209.151.89.50 signin.ebay.be O1 - Hosts: 209.151.89.50 signin.ebay.it O1 - Hosts: 209.151.89.50 signin.ebay.ca O1 - Hosts: 209.151.89.50 signin.ebay.nl O1 - Hosts: 209.151.89.50 signin.ebay.com.cn O1 - Hosts: 217.160.243.63 meine.deutsche-bank.de O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\system32\config\msmsgs.exe O4 - HKLM\..\Run: [Services Process] C:\WINDOWS\system32\config\smss.exe [/b:6122dbeb27] Verwijder deze bestanden: C:\WINDOWS\system32\config\msmsgs.exe C:\WINDOWS\system32\config\smss.exe Reboot de computer, run HijackThis opnieuw en post een nieuwe log.

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.