Ce soir lors de la mise à jour de Kaspersky ce dernier a trouvé un trojan dans le fichier smss.exe, avec bien sûr l'impossibilité de désinfecter le fichier. Pour ceux qui comme moi il y a encore 1 heure ne savent pas ce qu'est smss.exe (session management sub system), il s'agit du 1er processus lancé par Windows servant à créer, gérer et supprimer les sessions utilisateur, autrement dit le processus est instoppable et intouchable. Après vérif, la base de registre avait aussi été changée et pointait vers un smss.exe vérolé dans le C:\Windows alors que le vrai smss.exe était toujours intact dans le C:\Windows\System32. Pour supprimer le virus, j'ai dû ressortir une vieille disquette de boot avec le DOS 5.1, copier le smss.exe valide sur la disquette, booter une session DOS et écraser manuellement le smss.exe vérolé avec le bon.
Par contre j'ai vu aussi que le virus était sur mon PC depuis presque une semaine, alors que pourtant je met Kaspersky à jour tout les 2 jours, il ne l'a vu qu'aujourd'hui. De plus je n'ai pas installé de logiciel dans cet intervalle, juste fait du surf classique sur le web. Donc il est tout à fait possible que cela arrive à d'autres.
Si quelqu'un savait quelle clé de la base de registre il faut modifier pour que Windows pointe sur le smss.exe dans le répertoire system32, merci d'avance.
---------------
Le jeu du screenshot, le retour