smss.exe: legittimo o troiano?

[Saluti]

Facendo un controllo con HijackThis mi ritrovo con questo file: C:\WINDOWS\SMSS.exe.
Il sito http://sysinfo.org/startuplist.php sostiene quanto segue:
Added by the FLOOD.F TROJAN! Note - this is not the legitimate smss.exe process which should NOT appear in Msconfig/Startup.
in effetti SMSS appare proprio in Msconfig/avvio. Tra l'altro, se non sbaglio, emss.exe dovrebbe trocarsi in System32, ed infatti io là ce l'ho.
Però AD-aware non mi segnala il problema.
Inoltre ho questo file: C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe cos' valutato: Part of Symantec (Norton) Security Centre. What does it do, and is it required? non si capisce se vada lasciato oppure no.

Grazie

[dado]

Il file smss.exe è un file di windows, ma dovrebbe trovarsi nella cartella WINDOWS\SYSTEM32. Trovandosi in altra cartella, può proprio darsi che sia un virus/trojan: quindi, aggiorna l'antivirus e fai una scansione approfondita da modalità provvisoria.

UsrPrmpt.exe è un file di Symantec, lascialo lì dov'è:
http://www.liutilities.com/products/win ... /UsrPrmpt/

[Saluti]

L'ho fatto e anche in modalità provvisoria e tutto sembra a posto, povero me....

[*~Hayabusa~*]

Ma se come dici il file si trova in C:\windows e non in system32 disabilitalo..

Ho visto che hai scritto vari nomi di probabili troiani, magari scaricati qualche tool specifico per rimuoverli, se non ti trovano niente sei al sicuro

Magari crea prima un punto di ripristino..non si sa mai..

[dado]

Prova ad esempio a dare una passatina con lo stinger.

[Saluti]

Se può servire a fare chiarezza ecco il log di Ad-Watch della Lovasoft che indica i caricamenti all'avvio del computer. Tra l'altro oltre a smss, mi si carica anche un realsched.exe" -osboot misterioso.
Qualcuno ci capisce?
Grazie!


Logfile Ad-Watch, esportato su 09/04/2005
Numero Totale Eventi:5
===============================================
09/04/2005 8.26.51 - Definitions file SE1R34 23.03.2005 loaded successfully.
Build:SE1R34 23.03.2005
Total Signatures :36711
Target Families :644
Target Categories :6
CSI data Size :50728

File Size :1367368

===============================================
09/04/2005 8.26.51 - User preferences file loaded.
Ad-Watch preference file loaded.
Applying user settings
C:\Documents and Settings\Sartori\Dati applicazioni\Lavasoft\Ad-Aware\awsettings.awc
Initialization complete.




===============================================
09/04/2005 8.26.51 - File dei Siti caricato.
File dei Siti caricato con successo.
C:\Programmi\Ad-Aware SE Professional\sites.txt
Totale : 3229





===============================================
09/04/2005 8.26.56 - E' stata rilevata una modifica al registro
Root:HKEY_LOCAL_MACHINE
Chiave:Software\Microsoft\Windows\CurrentVersion\Run
Valore:Debug
Dati:
New Data:C:\WINDOWS\SMSS.exe



===============================================
09/04/2005 8.26.56 - E' stata rilevata una modifica al registro
Root:HKEY_LOCAL_MACHINE
Chiave:Software\Microsoft\Windows\CurrentVersion\Run
Valore:TkBellExe
Dati:"C:\Programmi\File comuni\Real\Update_OB\starealsched.exe" -osboot
New Data:

[wolf80]

Se può servire a fare chiarezza ecco il log di Ad-Watch della Lovasoft che indica i caricamenti all'avvio del computer. Tra l'altro oltre a smss, mi si carica anche un realsched.exe" -osboot misterioso.
Qualcuno ci capisce?
Grazie!

beh, realsched.exe dovrebbe essere un processo di RealPlayer per l'update dello stesso;

fai start--> esegui --> msconfig e disabilita l'avvio di quel processo (è inutile)
comunque usa magari regseeker e cancella le voci di registro inerenti a realsched (prima fai un backup del registro...)

[Saluti]

Allora sentite un po'.
Ho eliminato smss.exe da C:\Windows.
L'Ad-Watch di Lavasoft che segnala le modifiche al registro non mi segnala più la modifica che esso provocava all'avvio.
Tuttavia Task manager ed anche Regseeker me lo danno ancora presente in avvio automatico.
Ma insomma, cosa succede?

[*~Hayabusa~*]

Quindi hai risolto il problema!
Se ti danno ancora il programma nell'avvio automatico e la cosa ti da fastidio allora cancella quel riferimento! Però tieni presente che un link in esecuzione automatica a un file che non esiste è la stessa cosa di un link sul desktop a un progamma che hai levato = il link sta la ma non serve, non è dannoso..
Per cancellarlo puoi usare regcleaner per esempio, lo trovi nella sezione download

HTH