como eliminar smss.exe

Yoli_1527 · Mensaje por **Yoli_1527** » 23 Nov 2006, 22:27

mi antivirus ha detectado el archivo smss.exe como un troyano, al intentar eliminarlo con el antivirus me dice k es imposible tanto limpiarlo como eliminaro como ponerlo en cuarentena. manualmente tampoco se puede eliminar y lo he intentado desde msdos y me pone acceso denegado.

si alguien puede tener alguna idea de la forma de eliminarlo se lo agradeceria.

gracias.

ahi · Mensaje por **ahi** » 23 Nov 2006, 22:29

smss.exe es principalmente un archivo del sistema. posteanos el log del hijackthis a ver si podemos ver algo "raro".

pero antes pasa el elitriip descargable de http://www.zonavirus.com seccion descargas que posiblemente acabe con el. si esto no sucede proceda con lo indicado

Mensaje por **msc hotline sat** » 24 Nov 2006, 07:49

En este caso es una variante del Backdoor CMQ

Si no te lo elimina el ELITRIIP, te pedirá muestra y una vez nos la envies, implementaremos su control y eliminacion en la proxima version

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 24-11-2006

Yoli_1527 · Mensaje por **Yoli_1527** » 24 Nov 2006, 15:24

hola

he pasado el elitriip como me recomendasteis pero ni sikiera detecta el archivo como infectado.

en cambio mi antivirus(mcafee) me le sigue detectando y ahora pone:

el archivo c:\windows\smss.exe esta infectado por el troyano ~~[b]~~New Malware.j[/b] y no se puede limpiar.

ahi · Mensaje por **ahi** » 24 Nov 2006, 15:28

mmm... pasa el hijackthis y nos posteas el log de su busqueda.

descarga el hijackthis de http://www.zonavirus.com, lo lanzas, le das a "do a system scan and save a logfile" y nos posteas el log. tambien postea el log del "elitriip" que se encuentra en C:\infosat.txt.

Yoli_1527 · Mensaje por **Yoli_1527** » 24 Nov 2006, 15:31

Os mando infosat.txt:

Fri Nov 24 15:18:35 2006

EliTriIP v2.81 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Fri Nov 24 15:20:16 2006

EliTriIP v2.81 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\YOLANDA\Mis documentos\Archivos de instalación\Install_MSN_Messenger.EXE --> Eliminado, Bifrose (dropper)

Yoli_1527 · Mensaje por **Yoli_1527** » 24 Nov 2006, 15:37

Logfile of HijackThis v1.99.1

Scan saved at 15:39:54, on 24/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\ARCHIV~1\TWINTO~1\MouseElf.EXE

C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\ARCHIV~1\mcafee.com\agent\mcagent.exe

C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe

C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe

C:\WINDOWS\system32\ctfmon.exe

c:\archiv~1\mcafee.com\vso\mcvsescn.exe

C:\WINDOWS\smss.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

c:\archiv~1\mcafee.com\vso\mcvsftsn.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Archivos de programa\TwinTouch Optical Office\EMouse.exe

c:\archivos de programa\mcafee.com\agent\mcdetect.exe

c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\YOLANDA\CONFIG~1\Temp\Rar$EX00.156\HijackThis.exe

Yoli_1527 · Mensaje por **Yoli_1527** » 24 Nov 2006, 15:39

hola

he pasado el elitriip como me recomendasteis pero ni sikiera detecta el archivo como infectado.

en cambio mi antivirus(mcafee) me le sigue detectando y ahora pone:

el archivo c:\windows\smss.exe esta infectado por el troyano ~~[b]~~New Malware.j[/b] y no se puede limpiar.

ahi · Mensaje por **ahi** » 24 Nov 2006, 16:00

has mandado solo la cabecera del hijackthis manda todo el archivo.

Mensaje por **msc hotline sat** » 24 Nov 2006, 16:11

Es otra cosa, no el gusano del backdoor CMQ que se copia en C:\windows\system (NO 32 !!!) O4 - HKLM\..\Run: [.nvsvc] D:\WINDOWS\system\smss.exe /w

y es que el nombre puede esconder cualquier cosa... (Conocemos unas 140 variantes del smss.exe del CMQ !

Fijate que este que nos tienes que enviar se guarda en c:\windows\smss.exe

Envianos muestra de este fichero a zonavirus@satinfo.es anexado a un mail en cuyo texto indiques como referencia tu nick en este foro

No confundirlo con el del sistema: C:\WINDOWS\System32\smss.exe !!!

saludos

ms, 24-11-2006

Ya está bien para liar, el del CMQ en system, el bueno en system32 y este new malware en c:\windows ... :lol:

como eliminar smss.exe

como eliminar smss.exe

no se elimina con elitriip

no se elimina con elitriip