Google vertelt me meer dat dit bestand niet verbinding hoort te maken met internet, want als het dat wel doet is het waarschijnlijk een trojan.

Scan eens met trojanhunter, te downloaden van:
http://www.trojanhunter.com/

Misschien ook eens hitman proberen:
http://www.hitmanpro.nl

Hoi M@rc

Geen problemen meer, inmiddels over op Mozilla Thunderbird, en gebruiken
momenteel met regelmaat Firefox. Linux sluipt op deze manier al een beetje binnen moet je maar denken. (Volgens mij komt dit uit de LINUX hoek)
Op mijn Linux machine draai ik Mozzila, KMail etc.



Uiteraard heb ik alles ten uitvoer gebracht, bedankt.
grt, FX

Hoi allemaal

Ik heb sinds vanmorgen ineens de melding in zone alarm
dat smss.exe is trying to connect the internet.

Dat heb ik normaliter nooit, ook na opnieuw opstarten blijft hij hierom
vragen. Na enig speurwerk vond ik over smss.exe het volgende:

[b:ba226ae787]Deze file is een onderdeel van het Windows besturingssysteem, terug te vinden in de installatiemap van je windows (bij Windows XP is dit normaal c:\windows\system32). De volledige naam van deze file is Session Manager Subsystem.

In het geval dat deze file in een andere map terug te vinden is dan in de Windows installatiemap kan dit een virus, een trojan, een worm of spyware zijn, zoals bij vele andere files ook het geval kan zijn.

smss.exe is verantwoordelijk voor alle sessies op je pc en is belangrijk voor je pc zodat deze stabiel en veilig kan werken. Het is niet de bedoeling dat dit proces wordt afgesloten!
Extra informatie
Virus: Neen
Spyware: Neen
Locatie: c:\windows\system32 [/b:ba226ae787]

En waar staat deze file smss.exe nu allemaal op mijn harddisk:

SMSS.EXE-1AA5475C.pf in C:\WINDOWS\Prefetch
smss.exe C:\WINDOWS\system32
smss.exe C:\system32.config

Voor toegang tot internet geef ik nu maar even deny tot ik weet of dit mag. Is hier een probleem ?


Na het draaien van Hitman Pro is het nog steeds.

grt, FX

Laat die bestandjes eens scannen via
http://virusscan.jotti.org/

Hoi

Bedankt voor de tip.
Volgens het scanprogramma is er niets aan de hand.

Maar waarom wil smss.exe af en toe langs zonealarm naar het internet ?


Toch altijd handig om te weten wat, waar, hoe etc of wat dan ook gebeurt.
Wat een zin !

grt, FX

Tja :cry: :cry: , trojan hunter gedraaid.

And the results are………………….

[b:c2f9a73e53]Registry scan
No suspicious entries found
Inifile scan
No suspicious entries found
Port scan
No suspicious open ports found
Memory scan
No trojans found in memory
File scan
Found possible trojan file: C:\Documents and Settings\BOB\Local Settings\Temporary Internet Files\Content.IE5\GPUJC56F\smsstmp[1].exe (Possible trojan downloader) (What's a possible trojan file?) (Submit for analysis…) (Add to ignore list)
Found possible trojan file: C:\WINDOWS\system32\config\cleaner.exe (Suspicious: UPX-packed file in Windows System folder) (What's a possible trojan file?) (Submit for analysis…) (Add to ignore list)
Found possible trojan file: C:\WINDOWS\system32\config\h.exe (Suspicious: UPX-packed file in Windows System folder) (What's a possible trojan file?) (Submit for analysis…) (Add to ignore list)
Found possible trojan file: C:\WINDOWS\system32\config\msmsgs.exe (Suspicious: UPX-packed file in Windows System folder) (What's a possible trojan file?) (Submit for analysis…) (Add to ignore list)
Found possible trojan file: C:\WINDOWS\system32\config\smsstmp.exe (Possible trojan downloader) (What's a possible trojan file?) (Submit for analysis…) (Add to ignore list)
5 possible trojan files found[/b:c2f9a73e53]


Alles maar in de [b:c2f9a73e53]Add to ignore list [/b:c2f9a73e53] plaatsen ?

grt, FX

Deze er ook nog maar even bijgezet 8) grt, FX


Logfile of HijackThis v1.99.0
Scan saved at 9:25:43, on 1-2-2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Keymaestro\Multimedia Keyboard\MMKeybd.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\System32\VTTimer.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\system32\config\msmsgs.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\config\smss.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Philips\LightFrame 3\LightFrameV3.exe
C:\Program Files\Keymaestro\Multimedia Keyboard\nhksrv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Keymaestro\Onscreen Display\OSD.exe
C:\Documents and Settings\BOB\Local Settings\Temp\Tijdelijke map 1 voor hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hccnet.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O1 - Hosts: 209.151.89.50 signin.ebay.com
O1 - Hosts: 209.151.89.50 signin.ebay.co.uk
O1 - Hosts: 209.151.89.50 signin.ebay.fr
O1 - Hosts: 209.151.89.50 signin.ebay.de
O1 - Hosts: 209.151.89.50 signin.ebay.be
O1 - Hosts: 209.151.89.50 signin.ebay.it
O1 - Hosts: 209.151.89.50 signin.ebay.ca
O1 - Hosts: 209.151.89.50 signin.ebay.nl
O1 - Hosts: 209.151.89.50 signin.ebay.com.cn
O1 - Hosts: 217.160.243.63 meine.deutsche-bank.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: LightFrame3IECOM - {43D29D14-460E-4F3A-9037-E60F11EF12F0} - C:\WINDOWS\System32\LightFrame3IECOM.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Keymaestro\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\system32\config\msmsgs.exe
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Services Process] C:\WINDOWS\system32\config\smss.exe
O4 - HKLM\..\Run: [THGuard] "C:\Program Files\TrojanHunter 4.1\THGuard.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: LightFrame 3.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105881352624
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Netropa NHK Server - Unknown - C:\Program Files\Keymaestro\Multimedia Keyboard\nhksrv.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[quote:51d4bf0365="FX"]
En waar staat deze file smss.exe nu allemaal op mijn harddisk:

SMSS.EXE-1AA5475C.pf in C:\WINDOWS\Prefetch
smss.exe C:\WINDOWS\system32
smss.exe C:\system32.config
[/quote:51d4bf0365]

Wow, mijn account bestaat nog steeds na jaren niet ingelogd te zijn…

Kijk eens hier:
http://www.neuber.com/taskmanager/process/smss.exe.html

SMSS.EXE is inderdaad een standaard Windows process, MAAR… Het hoort niet in een andere directory dan C:\Windows\System32 te staan.
De Prefetch directory is waar o.a. nieuwe versies van Windows bestanden tijdelijk worden gezet. Maar C:\system32.config is geen standaard directory, en zal dus eerder door een Virus aangemaakt zijn.
Ook wanneer het de standaard directory C:\Windows\System32\config is is dit niet normaal, aangezien hier niet dat soort bestanden in horen.

Hoi

Ik heb de 5 trojan files volgens trojan hunter geplaatst als

[b:892737365c]Add to ignore list [/b:892737365c]

Als ik trojan hunter weer draai krijg ik geen meldingen
meer, maar ……………………………….
Na opstarten krijg ik van zone alarm weer direct de melding smss.exe
is trying to connect the internet.

Moet ik de volgende regel soms fixen in HiJackThis

[b:892737365c]C:\WINDOWS\System32\smss.exe [/b:892737365c] ????????

grt, FX

laat eerst het hjt team je hjt log bekijken voor je verder pruts

in de directe windows\system32 map staat de legale versie

alle andere mappen waarin je hem vind / vond is illegaal

in je log zie ik nog meer illegale zaken die beter gefixt kan worden, maar weet niet of er wat meer achter zit

Bedankt sjouwer.

Ik wacht het rustig af.

grt, FX

Had even niet je hele log bekeken (zat op het werk en zo), maar zie dat er meer uit C:\Windows\System32\config wordt gestart. Dit zijn inderdaad Trojans of zo, dit zijn de enige bestanden die in die folder horen te staan:

AppEvent.Evt
default
default.LOG
default.sav
SAM
SAM.LOG
SecEvent.Evt
SECURITY
SECURITY.LOG
software
software.LOG
software.sav
SysEvent.Evt
system
system.LOG
system.sav
TempKey.LOG
userdiff
userdiff.LOG

En de folder systemprofile kan daar ook nog staan.

Als er in die folder dus een executable staat is er iets mis.

Ga naar http://www.grisoft.com, en download de gratis versie van AVG. Scan hiermee om te kijken of die de PC wat kan opschonen.

Hoi

Bedankt voor je reactie, ik ben tot 23.30 uur op mijn werk vandaar dat
ik niet eerder kon reageren. Ik zal je morgenochtend laten weten hoe het is afgelopen.

bedankt FX

Hoi

Niets meer gevonden, kan natuurlijk komen door het draaien van trojan hunter, deze heeft er al 5 uitgepikt.

Vraag blijft nu nog of ik de volgende regel mag fixen in HJT

[b:f7c20eb319]C:\WINDOWS\system32\config\smss.exe[/b:f7c20eb319]

Ik denk dat dat wel kan, maar ga eerst nog het HJT document bekijken.
En ik moet toegeven, dat snap ik niet allemaal, maar toch…………..

grt, FX

Er horen in C:\Windows\System32\config geen .exe bestanden te staan. Zowel deze bestanden als alle verwijzingen hiernaar kan je dus zonder pardon verwijderen.

Om ze te verwijderen moet je wel even in Safe Mode opstarten.

Ter info:

smss.exe is a process which is a part of the Microsoft Windows Operating System. It is called the Session Manager SubSystem and is responsible for handling sessions on your system. This program is important for the stable and secure running of your computer and should not be terminated. Note: smss.exe is also a process which is registered as the Win32.Ladex.a Trojan. This Trojan allows attackers to access your computer, stealing passwords and personal data. It is a registered security risk and should be removed immediately.

http://www.liutilities.com/products/wintaskspro/processlibrary/smss/

Beste mensen

De PC draait nog na het verwijderen van dat regeltje en de melding ben ik
nu kwijt. Incl wat trojans met trojan hunter.
Bedankt allemaal.

Hoi


O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\system32\config\msmsgs.exe

Dan gooi ik deze er toch ook maar uit.

grt, FX

http://www.multidesk.be/procesinfo/000003/