Se connecter / S'enregistrer
Votre question

SSMS.EXE infecté par Backdoor

Tags :
  • Windows
  • Sécurité
Dernière réponse : dans Sécurité et virus
14 Mars 2010 13:01:44

Bonjour à tous,

Le fichier SSMS.exe dans windows/system32 est infecté par un virus backdoor (Backdoor.Win32.Rbot.aftu) contre lequel Kaspersky ne peut rien sinon le supprimer.

Si c'est possible, je voudrais décompacter le fichier original SSMS.exe du CD d'installation de XP Pro Pack1 s'il s'y trouve quelque part et remplacer le fichier infecté par celui-là.

Sinon, où puis-je me procurer le fichier intact, il est nécessaire au bon fonctionnement de Windows sur internet ?

Merci déjà de votre aide.

DC001

Autres pages sur : ssms exe infecte backdoor

14 Mars 2010 13:44:34

Je ferme celui-ci du coup.
Contenus similaires
a c 267 8 Sécurité
a b 9 Windows
21 Mars 2010 14:21:01

L'auteur du sujet est-il encore là ? Bonne question.
21 Mars 2010 19:10:46

Oui, il m'a MP pour ré-ouvrir le sujet justement ;) 
a c 267 8 Sécurité
a b 9 Windows
21 Mars 2010 19:11:43

Ok OmaR ;) 

  • Télécharge OTL (de OldTimer) sur ton Bureau.
  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Une fenêtre apparaît. Dans la section Output en haut de cette fenêtre, coche Minimal Output.
  • Coche également les cases à côté de LOP Check et Purity Check.
  • Enfin, clique sur le bouton Run Scan. Le scan ne prendra pas beaucoup de temps.
  • Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).

    Pour me transmettre les rapports :
  • Clique sur ce lien : http://www.cijoint.fr/
  • Clique sur Parcourir... et cherche le fichier du rapport que tu souhaites me transmettre.
  • Clique sur Ouvrir.
  • Clique sur Cliquez ici pour déposer le fichier.
  • Un lien de cette forme, hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt, est ajouté dans la page.
  • Copie-colle ce lien dans ta réponse.
    7 Avril 2010 01:12:46

    Bonjour,

    Je me manifeste tardivement et je m'en excuse d'emblée car vous êtes intervenu, vous, très rapidement.
    J'ai suivi vos instructions mais ne sachant pas à quoi correspondait "RUN SCAN" ("Analyse" ou "Analyse rapide" ?), j'ai effectué un scan rapide ("Analyse rapide") et un scan complet ("Analyse") avec OTL.

    voici les liens sur Ci-joint.fr des rapports correspondants générés

    1. Analyse rapide

    "OTL_analyse rapide.Txt"
    http://www.cijoint.fr/cjlink.php?file=cj201004/cij0g99R...

    "Extras analyse rapide.Txt"
    http://www.cijoint.fr/cjlink.php?file=cj201004/cijlF07r...

    2. Analyse "complète"

    "OTL_analyse.Txt"
    http://www.cijoint.fr/cjlink.php?file=cj201004/cijDglOj...

    "Extras_analyse.Txt"
    http://www.cijoint.fr/cjlink.php?file=cj201004/cijWmcPx...

    J'attends votre verdict avec perplexité. J'ai fouillé le répertoire C:\Windows\system32 de quelques ordinateurs à portée de main à la recherche du gestionnaire de sessions sous-système (smss.exe) mais en vain, pas de trace de cet exécutable (vierge ou virolé aussi) ! Pourtant il s'agissait de PCs tournant sous XP aussi ???

    En vous remerciant déjà pour votre expertise bienveillante,

    cordialement,

    DC

    @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

    Destrio5 a dit :
    Ok OmaR ;) 

  • Télécharge OTL (de OldTimer) sur ton Bureau.
  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Une fenêtre apparaît. Dans la section Output en haut de cette fenêtre, coche Minimal Output.
  • Coche également les cases à côté de LOP Check et Purity Check.
  • Enfin, clique sur le bouton Run Scan. Le scan ne prendra pas beaucoup de temps.
  • Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).

    Pour me transmettre les rapports :
  • Clique sur ce lien : http://www.cijoint.fr/
  • Clique sur Parcourir... et cherche le fichier du rapport que tu souhaites me transmettre.
  • Clique sur Ouvrir.
  • Clique sur Cliquez ici pour déposer le fichier.
  • Un lien de cette forme, hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt, est ajouté dans la page.
  • Copie-colle ce lien dans ta réponse.

    a c 267 8 Sécurité
    a b 9 Windows
    7 Avril 2010 01:17:22

  • Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
  • Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
  • Sélectionne Exécuter un examen rapide.
  • Clique sur Rechercher. L'analyse démarre.
  • A la fin de l'analyse, un message s'affiche :
    Citation :
    L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  • Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
  • Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.
    7 Avril 2010 18:01:12

    Destrio5 a dit :
  • Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
  • Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
  • Sélectionne Exécuter un examen rapide.
  • Clique sur Rechercher. L'analyse démarre.
  • A la fin de l'analyse, un message s'affiche :
    Citation :
    L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  • Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
  • Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.


  • +++++++++++++++++++++++++++++++++++++++++++++++++++++

    Bonjour,

    Avant de procéder à la mise en quarantaine des "intrus" (que ce soit avec Kaspersky ou Malwarebytes' Anti-Malware), je voudrais être sur que mon ordinateur et l'accès internet seront toujours possibles, une fois supprimés.
    D'après ce que j'ai lu, SSMS est nécessaire au bon fonctionnement de XP et il doit être présent dans le répertoire Windows\System32 ! C'est pour cette raison que je voulais remplacer SSMS par un exemplaire non infecté et pas le supprimer.

    J'attends votre feu vert.

    En attendant , voici le rapport de Malwarebytes' Anti-Malware (3 malwares détectés dont SSMS infecté par tojan Agent "Backdoor.Win32.Rbot.aftu")

    Merci.

    DC
    7 Avril 2010 18:08:52

    Sorry, j'oubliais le rapport de Malwarebytes' Anti-Malware, Voici son contenu :
    DC

    Malwarebytes' Anti-Malware 1.45
    www.malwarebytes.org

    Version de la base de données: 3930

    Windows 5.1.2600 Service Pack 1
    Internet Explorer 6.0.2800.1106

    08/04/10 07:43:59
    mbam-log-2010-04-08 (07-43-59).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 111626
    Temps écoulé: 3 minute(s), 47 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 2

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Bind (Malware.Trace) -> No action taken.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Documents and Settings\Bibi\Application Data\Microsoft\profile.dat (Malware.Trace) -> No action taken.
    C:\WINDOWS\SYSTEM32\ssms.exe (Trojan.Agent) -> No action taken.

    7 Avril 2010 18:09:44

    Destrio5 a dit :
  • Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
  • Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
  • Sélectionne Exécuter un examen rapide.
  • Clique sur Rechercher. L'analyse démarre.
  • A la fin de l'analyse, un message s'affiche :
    Citation :
    L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  • Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
  • Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.


  • ++++++++++++++++++++++++++++++++++++++++++++++++++++

    Sorry, j'oubliais le rapport de Malwarebytes' Anti-Malware, Voici son contenu :

    DC

    Malwarebytes' Anti-Malware 1.45
    www.malwarebytes.org

    Version de la base de données: 3930

    Windows 5.1.2600 Service Pack 1
    Internet Explorer 6.0.2800.1106

    08/04/10 07:43:59
    mbam-log-2010-04-08 (07-43-59).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 111626
    Temps écoulé: 3 minute(s), 47 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 2

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Bind (Malware.Trace) -> No action taken.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Documents and Settings\Bibi\Application Data\Microsoft\profile.dat (Malware.Trace) -> No action taken.
    C:\WINDOWS\SYSTEM32\ssms.exe (Trojan.Agent) -> No action taken.
    a c 267 8 Sécurité
    a b 9 Windows
    8 Avril 2010 00:20:42

    Citation :
    C:\WINDOWS\System32\smss.exe

    --> Fichier de Windows (il peut être infecté).

    Citation :
    C:\WINDOWS\SYSTEM32\ssms.exe (Trojan.Agent) -> No action taken.

    --> Fichier infectieux.

    En conclusion, tu peux supprimer ce qu'a trouvé MBAM.
    9 Avril 2010 00:06:52

    Destrio5 a dit :
    Citation :
    C:\WINDOWS\System32\smss.exe

    --> Fichier de Windows (il peut être infecté).

    Citation :
    C:\WINDOWS\SYSTEM32\ssms.exe (Trojan.Agent) -> No action taken.

    --> Fichier infectieux.

    En conclusion, tu peux supprimer ce qu'a trouvé MBAM.



    **********************************************

    Merci pour votre aide, tout fonctionne apparemment sans problème, je n'aurais pas osé supprimer ssms.exe mais ai-je bien compris c'est smss.exe et pas ssms.exe qui est le gestionnaire de sessions sous-système de Windows ???
    smss.exe en tout cas n'est pas infecté et ssms.exe est l'agent infectieux qui ne fait pas partie de Windows, si j'avais su !

    Il ne fait pas bon être dyslexique en informatique non plus !

    Bonne soirée.

    DC
    a c 267 8 Sécurité
    a b 9 Windows
    9 Avril 2010 11:05:39

    Le smss.exe situé dans C:\WINDOWS\System32 est un processus de Windows :
    http://www.commentcamarche.net/contents/processus/smss-...

    Il peut être infecté par un virus qui infecte les fichiers .exe, ce n'est pas ton cas.

    Dans ton cas, un virus nommé ssms.exe s'est ajouté dans C:\WINDOWS\System32 et vu que le nom ressemble au processus smss.exe de Windows, tu as eu peur de le supprimer.

    Si le fichier smss.exe n'est pas placé dans C:\WINDOWS\System32, il peut s'agir également d'une infection.
    10 Avril 2010 17:44:21

    Destrio5 a dit :
    Le smss.exe situé dans C:\WINDOWS\System32 est un processus de Windows :
    http://www.commentcamarche.net/contents/processus/smss-...

    Il peut être infecté par un virus qui infecte les fichiers .exe, ce n'est pas ton cas.

    Dans ton cas, un virus nommé ssms.exe s'est ajouté dans C:\WINDOWS\System32 et vu que le nom ressemble au processus smss.exe de Windows, tu as eu peur de le supprimer.

    Si le fichier smss.exe n'est pas placé dans C:\WINDOWS\System32, il peut s'agir également d'une infection.


    **********************************************

    Merci pour tout, j'avais lu effectivement que smss.exe présent ailleurs que dans C:\WINDOWS\System32 était un signe d'infection.

    Bon WE !

    DC
    a c 267 8 Sécurité
    a b 9 Windows
    10 Avril 2010 20:47:20

    Ton Windows XP n'est pas à jour.
    10 Avril 2012 15:57:05

    Destrio5 a dit :
    Ton Windows XP n'est pas à jour.


    Bonjour Destrio5,

    J'ai mis à jour mon XP (SP3) maintenant qu'on en est à Seven et bientôt à Win8 ! Je l'avais fait depuis bien plutôt en fait mais suite à une infection virale ou malware j'ai dû réparer XP en utilisant le disque d'installation de XP SP1 puis réinstaller SP3. Ouf, j'en suis sorti mais je crains que mon PC soit toujours sous l'emprise d'un malware ou autre, les pages web s'affichent avec un décalage jamais connu jusqu'à présent et pour la 1è fois un virement effectué à l'aide d'un digipass n'est pas repris dans mes extraits de compte malgré la confirmation fournie par le système bancaire informatique. Je n'aime pas cela et j'ouvre un post à ce sujet en espérant que quelqu'un (toi ça serait bien car tu m'avais bien dépanné pour ce problème en 2010) pourra solutionner mon problème.
    A propos je m'aperçois que je ne l'ai pas signalé comme résolu (comment faire encore ?). Merci déjà !
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS