[RESOLU] infection par smss.exe [Résolu/Fermé]

Signaler
Messages postés
219
Date d'inscription
lundi 1 août 2005
Statut
Membre
Dernière intervention
5 juillet 2016
-
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
-
Bonjour,

Tout est dans le titre, je me tourne vers les spécialistes pour un coup d'oeil averti. Je n'ose pas lancer cccleaner directement. Dois-je poster un rapport HijackThis ?

ps: je pense avoir chopé ça sur des sites de hacks css et javascript.

Merci de votre aide


12 réponses

Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 106
Salut,

Qu'est ce qui te fait dire que tu es infecté?
Tu as des détections ? dans quel fichier ? donne le chemin complet.

Poste le rapport HijackThis si tu veux pour voir.
Messages postés
219
Date d'inscription
lundi 1 août 2005
Statut
Membre
Dernière intervention
5 juillet 2016
17
Mon antivirus (mcAfee) me dit sans cesse (toute les 30s) 'smss.exe a été terminé car Active virus control a jugé qu'elle était malveillante'. Je reçois également des pubs de poker en plein écran.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:20:57, on 21/06/2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\efsui.exe
C:\Program Files\BitDefender\BitDefender 2010\bdagent.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\BitDefender\BitDefender 2010\seccenter.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\TortoiseSVN\bin\TSVNCache.exe
C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
C:\Program Files\DAEMON Tools Lite\DTLite.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Launchy\Launchy.exe
C:\Program Files\McAfee Security Scan\2.0.181\SSScheduler.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Notepad++\notepad++.exe
C:\Program Files\Common Files\Java\Java Update\jucheck.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Mozilla Firefox\firefox.exe
c:\windows\system32\inetsrv\w3wp.exe
C:\Windows\system32\dllhost.exe
C:\Program Files\Safari\Safari.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
c:\windows\system32\inetsrv\w3wp.exe
C:\Program Files\Microsoft SQL Server\90\Tools\Binn\VSShell\Common7\IDE\SqlWb.exe
C:\Program Files\Microsoft SQL Server\90\Tools\Binn\PROFILER90.EXE
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\explorer.exe
C:\SetUp\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Preserve
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O2 - BHO: DebugBar BHO - {69FC0024-10EB-480A-BBF2-3BF4E78E17B1} - C:\Program Files\Core Services\DebugBar\DebugInfoBar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2010\IEToolbar.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: DebugBar - {3E1201F4-1707-409F-BB45-A5F192381DA0} - C:\Program Files\Core Services\DebugBar\DebugToolBar.dll
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2010\bdagent.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2010\IEShow.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User '?')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User '?')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User '?')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User '?')
O4 - HKUS\S-1-5-21-1197192269-275984599-3624703948-1000\..\Run: [Skype] "C:\Program Files\Skype\\Phone\Skype.exe" /nosplash /minimized (User '?')
O4 - S-1-5-21-1197192269-275984599-3624703948-1000 Startup: OpenOffice.org 3.2.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe (User '?')
O4 - Startup: OpenOffice.org 3.2.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Launchy.lnk = C:\Program Files\Launchy\Launchy.exe
O4 - Global Startup: McAfee Security Scan Plus.lnk = ?
O13 - Gopher Prefix:
O16 - DPF: {1663ed61-23eb-11d2-b92f-008048fdd814} (MeadCo ScriptX Advanced) - http://localhost/inc/smsx.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: BitDefender Serveur Arrakis (Arrakis3) - BitDefender S.R.L. https://www.bitdefender.fr/ - C:\Program Files\Common Files\BitDefender\BitDefender Arrakis Server\bin\arrakis3.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender S.R.L. - C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: McAfee Security Scan Component Host Service (McComponentHostService) - McAfee, Inc. - C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2010\vsserv.exe
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 106
et t'as McAfee + BitDefender ?

Fais une capture de la détection de Mcafee.
Poste là : http://www.cijoint.fr/
et file le lien.

T'es sur Seven ?

Messages postés
219
Date d'inscription
lundi 1 août 2005
Statut
Membre
Dernière intervention
5 juillet 2016
17
oops ! je suis sur bitdefender... mauvaise mémoire.
http://www.cijoint.fr/cjlink.php?file=cj201006/cijdUZAWB2.png

Je suis bien sur seven.
Configuration: Windows 7 pro officiel // Processeur intel core 2 duo / RAM 2 GB / Firefox 3.6
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 106
Super l'alerte .....
Ils devraient mettre encore moins d'informations histoire qu'on sache encore moins ce qui se passe....
C'est vraiment n'importe quoi les antivirus.


vu que :
Je reçois également des pubs de poker en plein écran.

Je pense que tu as ça : https://forum.malekal.com/viewtopic.php?t=25956&start=




Sauvegarde tes documents importants.


Désactive les logiciels de protection (Antivirus, Antispywares) puis :

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

Eventuellement, installe la console de récupération comme cela est conseillé

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://www.cijoint.fr/
et donne le lien ici :)

Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.


Them crooked vultures this evening :D
Messages postés
219
Date d'inscription
lundi 1 août 2005
Statut
Membre
Dernière intervention
5 juillet 2016
17
ok je vais terminer mon travail en cours et puis je teste ça, je te tiens au courant. Merci de ton aide jusque là.
Configuration: Windows 7 pro officiel / Processeur intel core 2 duo / RAM 2 GB / Firefox 3.6
Messages postés
219
Date d'inscription
lundi 1 août 2005
Statut
Membre
Dernière intervention
5 juillet 2016
17
Bonjour malekal_morte,

Après avoir tenté une restauration système en vain et plusieurs désinfection par l'antivirus (de m...), j'ai lancé ton executable dont voici le rapport ; je croise les doigts !

Merci beaucoup de ton aide

http://www.cijoint.fr/cjlink.php?file=cj201006/cijBDqgLdS.txt

(nikel ce site ! :) )

Penses-tu que ce serait une bonne idée de lancer ccleaner ?


Configuration: Dell Vostro 1700 / Windows XP pro officiel / DD : 2x120 GB SATA 7200 tpm / Processeur intel core 2 duo / RAM 2 GB / Firefox 3.6
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 106
wow c'est quoi ce boxon.

On part avec un Seven avec BitDefender et McAfee machinScanquisertàrien et là on attérit avec un Combofix sur un Vista avec Norton Internet Security :

Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.3070.1837 [GMT 2:00]


?!?





Them crooked vultures this evening :D
Messages postés
219
Date d'inscription
lundi 1 août 2005
Statut
Membre
Dernière intervention
5 juillet 2016
17
Euh...j'en sais pas plus que toi, je t'assure que je tourne bien sur seven, avec BitDefender (et en effet un mcAffee scan qui sert à rien et que j'ai supprimé ; en fait, j'ai meme supprimé bitdefender pour installer avast mais c'était après combofix)

Je n'ai jamais eu norton, je sais pas du tout d'où il sort !
J'ai également trois machines virtuelles avec xp dessus...mais aucune trace de vista !

Je précise que j'ai installé début 2011 et que c'est mon pc pro.

Désolée de pas pouvoir être plus précise !

Edit : je viens de faire une recherche sur mon fichier de log et je ne trouve pas la ligne faisant référence à vista... le ctrl+F est défaillant ou tu as confondu monlog et celui d'un autre ?
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 106
OK tu vas te marrer :\

c'est moi qui fume, j'ai pris le mauvais onglet de Firefox et donc le rapport de ton voisin :\

autant pour moi :\

Bon y a pas ce que je pense sur ton rapport Combofix qui est niquel.

Pour voir dérar ça : http://www.esagelab.com/files/bootkit_remover.rar
Tu le lances et tu fais une capture d'écran et tu l'envoies sur cijoint et tu files le lien ici.

Si c'est niquel, on va dire que BitDefender fume (ou éventuellement on fera un scan GMER pour vraiment être certains que tout est niquel).
Messages postés
219
Date d'inscription
lundi 1 août 2005
Statut
Membre
Dernière intervention
5 juillet 2016
17
Bonjour,

Malgré un scan nikel, mes collègues veulent quand même que je formate parce qu' "on ne peut pas avoir confiance en un executable trouvé sur internet"... je travaille pour un logiciel en ligne de gestion financière et on ne peut se permettre aucun risque.

Je suis désolée d'avoir pris ton temps, si j'avais su la politique, j'aurai formatté directement !

Merci en tout cas pour ton aide ; je précise aux futurs utilisateurs qui liraient ce post que combofix a bien éliminé le problème et n'a rien cassé sur ma machine.

Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 106
comme ils pref :)

Pour la prévention :

Un peu de lecture pour éviter les infections :
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html



Them crooked vultures this evening :D