Virus with same file name:
W32.Dalbug.Worm - Symantec Corporation
Adware.DreamAd - Symantec Corporation
W32.Resdoc - Symantec Corporation
Adware.Advision - Symantec Corporation
Backdoor.IRC.Flood.F - Symantec Corporation
Backdoor.IRC.Aladinz.O - Symantec Corporation

:-)

@ AcidBurn,
Ik weet het, dat malware zich kan voordoen als smss.exe.
Maar op mijn systeem betreft het het correcte schone smss.exe bestand op de correcte locatie,
niet een vals smss.exe bestand op een afwijkende locatie.

@Spiff

Beste Spiff


1. zoek eerst naar smss.exe, kijk of dit locatie de enige waar dit bestand voorkomt.

2. Start je IE/Moz/Chr en upload dit bestand naar www.virustotal.com en je ziet of inderdaad het om een virus gaat.

voor de zekerheid vink bij je bestanden optie [extensie voor bekende bestanden verbergen UIT] en kies [verborgen bestanden laat zien].

succes
Fraidon

PS geef ook een feedback terug.

Eerlijk gezegd, ik heb geen flauw idee of dit soort requests normaal zijn vanuit smss.exe

Wat ik persoonlijk zelf zou doen:

*) scan het systeem met diverse off-line root/bootkit en virus-scanners vanaf een read-only medium als CDR of DVD+/-R. Read-only verkleint de kans op tussentijdse infectie van de scanner. Brand deze media bij voorkeur op een systeem waarvan je denkt dat die schoon is.

*) start de PC op met een Live Linux CD/DVD en genereer daarmee hashes (MD5, SHA-1, SHA512) van je smss.exe en sla die op (of maak er een foto van). Kopieer eventueel het bestand.

*) Haal de hash(es) en/of de gekopieerde smss.exe door een online virusscanner als Virustotal of Metascan Online. Doe dit wederom niet op het mogelijk geïnfecteerde systeem!

*) Check met een offline scanner de hash(es) van je MBR/bootloader en kijk of deze legitiem is. Zelf heb ik daar altijd Hiren's BootCD voor gebruikt, maar er zijn talloze manieren om dit te doen.

*) Sniff (met Wireshark of Ettercap bijvoorbeeld) naar welk IP-adres het betreffende verkeer (UDP op poort 53) is gericht. Dit zou gewoon het adres van je nameserver(s) moeten zijn. Als dit zo is, kun je wellicht de blokkade opheffen en nog een tijdje blijven controleren of dit in alle gevallen zo is/blijft. Ik weet niet of het mogelijk is het verkeer af te vangen voordat het de Windows Firewall bereikt; zo niet, trek wellicht anders eerst ff je internetverbinding eruit voor de zekerheid.

Verder zijn er genoeg sites (check vooral ook http://www.bleepingcomputer.com) die uitleggen hoe je uitgebreide scans kunt doen met verscheidene tools.
Een paar van mijn persoonlijke favorieten:
- Windows Offline Defender
- Hitman Pro
- Kaspersky TDSSkiller
- Emsisoft Emergency
- GMER
- BlitzBlank (pas op, vereist enige kennis van zaken)
- Malwarebytes
- CWshredder

UDP op poort 53 behoort DNS verkeer te zijn. Als je gewoon een werkende internetverbinding hebt kun je die in principe blijven blokkeren, totdat je zeker weet of het wel of niet malafide is...

Verder nog, het vervelende van de laatste tijd is dat er nogal wat virussen rondzwerven die nauwelijks tot zelfs niet worden herkend door het gros van de scanners. Dat wil zeggen, zelfs als je je systeem met 10 scanners hebt gescand, ben je nog altijd niet helemaal zeker van een schoon systeem. Het is dan ook aan te raden geregeld systeem-images te maken en die fysiek gescheiden op te slaan, zodat je altijd (min of meer) zeker kunt zijn van een schoon systeem, ook als het een onbekende boosdoener betreft :)
Dit laatste kan overigens gewoon middels Windows Backup op een draaiend systeem (mede mogelijk gemaakt door de Volume Shadow Copy service).

In elk geval...


Succes!
Ernie


P.S. Being paranoid doesn't mean they're not after you

@ Fraidon (als Anoniem) 16:55 uur,
en @ Ernie, 20:09 uur,
bedankt voor jullie reacties.


De toepassing die netwerktoegang zocht is smss.exe,
gestart door smss.exe,
allebei hetzelfde smss.exe bestand op de locatie C:\Windows\System32\smss.exe

Het zoeken van netwerktoegang door smss.exe (C:\Windows\System32\smss.exe) komt maar zeer sporadisch voor.
Gisteren, en de vorige keer misschien wel een jaar geleden, in ieder geval vele máánden geleden.
Niet vaker dan één of enkele malen per jaar.
Betrof het een kwaadaardig proces, dan zou een dergelijk zeer sporadisch optreden opmerkelijk zijn.
Ik vermoed eerder een 'hikje' van het systeem dat na een reboot weer verdwenen is, of een specifieke smss.exe-(sub)taak die slechts zeer sporadisch wordt uitgevoerd en slechts dan netwerktoegang zoekt (om mij vooralsnog onbekende reden).

Dat bestand C:\Windows\System32\smss.exe op mijn systeem lijkt in ieder geval schoon,
in ieder geval volgens de beoordeling door VirusTotal
https://www.virustotal.com/nl/file/31a63baa21b73b7395a2271a219e0a9b100e9cdeb275ff906f5c05b0a433bab5/analysis/1368462641/
en ook volgens HitmanPro, G Data IS 2014 en MBAM.
Dat geeft geen absolute zekerheid, zoals Ernie ook aangeeft, maar wel een indicatie.
En gezien het feit dat het enige smss.exe proces dat netwerktoegang zocht uitging van dát bestand (niet van een smss.exe op een andere locatie), ben ik niet werkelijk bezorgd.

Daarnaast is smss.exe een aantal malen aanwezig in C:\Windows\winsxs
maar dat is normaal, winsxs 'stapelt' in de loop der tijd kopieën van bestanden.

En daarnaast vindt Windows Zoeken een serie smss.exe vermeldingen zonder enige locatieaanduiding, en dat verwart me wat... Mogelijk betreft dat smss.exe in de herstelpunten?
Onhandig genoeg koos ik voor "Zoekopdracht opslaan", waarna de weergave van de zoekactie verdween (arrggh!!) en ik het zoeken opnieuw moest starten, terwijl de systeembrede zoekactie zonet al zéér veel tijd had gekost.
Die zoekactie loopt nu weer opnieuw, maar is voorlopig nog niet gereed - een systeembrede Windows Zoeken actie inclusief de verborgen en systeembestanden, die kost nogal wat tijd.
Maar hoe dan ook, gezien het feit dat buiten C:\Windows\System32\smss.exe en buiten C:\Windows\winsxs geen locatie werd weergegeven is lokaliseren en vervolgens gericht scannen hoe dan ook 'nogal lastig' ;-)

En verder, en zeer belangrijk:
Ernie schreef,
En dat is toch wat ik nu vooralsnog allereerst wil proberen te weten te komen, voordat ik aan een extensief onderzoek ga beginnen.
Ik hoop dat iemand met een redelijke mate van zekerheid weet te zeggen of het zeer sporadisch (slechts een of enkele malen per jaar) zoeken van netwerktoegang door smss.exe als normaal beschouwd kan worden, en zo ja, met welke reden.
Iemand?
N.B.
Niettemin bijzonder hartelijk dank voor alle onderzoeks-suggesties die je hebt neergezet! Als ik denk dat het nodig is, dan kan ik daar later (volgende week bijvoorbeeld) mee aan de slag. (Vooralsnog houdt smss.exe zich voorlopig toch weer gedeisd, neem ik aan.)


En ten slotte,
Fraidon schreef,
Dat spreekt voor zich :-)
https://www.security.nl/artikel/41156/
https://www.security.nl/artikel/43383/


[wijzigingen: enkele typo's gecorrigeerd en enkele minieme aanvullingen]

Aanvullend op mijn bericht van 21:55 uur:

Inmiddels is de Windows Search naar smss.exe opnieuw afgerond.
Zie deze weergave:
http://www.imgdumper.nl/uploads6/519155b2edb40/519155b2e660d-smss_search.png

Van de gevonden resultaten heb ik vier elementen gescand d.m.v. VirusTotal, alles 'schoon':

"0004-bestand"
11-4-2009
C:\Windows\winsxs\Temp\PendingDeletes\$$DeleteMe.smss.exe.01ce354a5aa09b10.0004
https://www.virustotal.com/nl/file/38a8e453a11cde9fcd2eeb7b69b05c04e78452552a16ef93ebf315e970b8e4a9/analysis/1368478592/

"EXE_D7209C3A-bestand" (winsxs)
9-4-2013
C:\Windows\winsxs\Backup\x86_microsoft-windows-smss_31bf3856ad364e35_6.0.6002.18805_none_ae2630391653543e_smss.exe_d7209c3a
https://www.virustotal.com/nl/file/31a63baa21b73b7395a2271a219e0a9b100e9cdeb275ff906f5c05b0a433bab5/analysis/1368478616/

Toepassing
9-3-2013, 3:28 uur
C:\Windows\System32\smss.exe
https://www.virustotal.com/nl/file/31a63baa21b73b7395a2271a219e0a9b100e9cdeb275ff906f5c05b0a433bab5/analysis/1368478641/

Toepassing, in winsxs
9-3-2013, 3:28 uur
C:\Windows\winsxs\x86_microsoft-windows-smss_31bf3856ad364e35_6.0.6002.18805_none_ae2630391653543e\smss.exe
https://www.virustotal.com/nl/file/31a63baa21b73b7395a2271a219e0a9b100e9cdeb275ff906f5c05b0a433bab5/analysis/1368481032/


Maar zoals ik 21:55 uur al aangaf -
Wat de smss.exe vermeldingen zonder locatieaanduiding zijn (zie de weergave via imgdumper), dat is me niet duidelijk.
Smss.exe in de herstelpunten?

Mocht het bovenstaande (inclusief de weergave via imgdumper) iemand meer inzicht verschaffen, dan is dat mooi meegenomen.

Mijn hoofdvraag blijft:

Weet iemand met een redelijke mate van zekerheid te zeggen of het zeer sporadisch (slechts een of enkele malen per jaar) zoeken van netwerktoegang door smss.exe als normaal beschouwd kan worden, en zo ja, met welke reden dan?

Lijkt erop dat het gewoon een DNS request naar je router is. Zal dus wel een hostnaam van het een of ander willen resolven. Lijkt me niet super bijzonder, maar je zou met iets als wireshark kunnen kijken wat er precies in het request staat.

Dank je voor je reactie, Anoniem.

Maar omdat die request slechts zeer sporadisch voorkomt, slechts een of enkele malen per jaar, en nu wellicht voorlopig weer een tijdje niet, zal het bekijken van de inhoud van zo'n request voorlopig niet lukken.

Heb je enig idee waarom smss.exe een DNS request naar de router zou sturen?
Uit de beschrijving van de taken van smss.exe (Windows Session Manager, Session Manager Subsystem)
(http://en.wikipedia.org/wiki/Session_Manager_Subsystem)
lijkt niet te blijken waarom smss.exe een DNS request naar de router zou sturen.
En waarom zo zeer sporadisch?

Wellicht probeert ie een certificaat revocation list te updaten ofzo.
Als je een Windows systeem draaiend hebt doet ie soms zomaar ineens een lookup van crl.microsoft.com
of mscrl.microsoft.com en haalt daar een crl bestand op.

Bedoel je met "ie" het smss.exe proces,
of bedoel je daarmee het Windows-systeem in bredere zin?

Ik weet dat een Windows-systeem op de achtergrond een heel scala aan taken uitvoert, en ik kijk er doorgaans niet van op wanneer bepaalde Windows-processen voor het een of ander contact zoeken met Microsoft. Maar van smss.exe begrijp ik het nog niet. Uit de beschrijving van wat smss.exe doet (http://en.wikipedia.org/wiki/Session_Manager_Subsystem) blijkt voor mij niet waarom specifiek smss.exe contact met Microsoft zou verlangen, of met m'n router, of waarom smss.exe anderszins netwerktoegang zou vragen. Andere bronnen, die een verdergaande beschrijving geven van wat smss.exe doet en verlangt, en die een verklaring zouden kunnen bieden voor het zoeken van netwerktoegang, die heb ik nog niet kunnen vinden.

Ik weet niet uit welk proces het komt omdat ik dit gedrag van buiten op het netwerk observeer.
(het betreft een bedrijfsnetwerk en ik geloof niet in vragen aan de gebruiker of "proces x toegang
mag hebben tot het netwerk" dus dat soort firewalls gebruiken we niet, daarentegen wordt wel alles
wat een machine richting internet doet gelogd, maar dan weet je niet altijd waar het vandaan komt)

Dank je, Anoniem, ik begrijp het.

Maar daarmee staan dus nog steeds mijn vragen open,
voor een ieder:
1.
Weet iemand met een redelijke mate van zekerheid te zeggen waarom specifiek smss.exe netwerktoegang zou zoeken?
Daarbij uitgaande van de normale taken van smss.exe,
en de mogelijkheid van een geïnfecteerd systeem voor dit moment buiten beschouwing latend.
Ik wil eerst duidelijkheid over de vraag of smss.exe op een schoon systeem netwerktoegang kan zoeken, en waarom.
Kent iemand een bron/bronnen die daarover details geeft/geven? Meer details dan wat hier wordt vermeld:
http://en.wikipedia.org/wiki/Session_Manager_Subsystem
Tot op heden heb ik geen Microsoft-bronnen of andere bronnen gevonden die meer details bieden over smss.exe.
2.
Waarom zou smss.exe slechts zo zeer sporadisch (slechts een of enkele malen per jaar) netwerktoegang zoeken?
Ook hierbij uitgaande van de normale taken van smss.exe,
en de mogelijkheid van een geïnfecteerd systeem voor dit moment buiten beschouwing latend.

Het proces zou geen verbinding moeten maken met internet, dat klopt niet. Het zou niets anders moeten doen dan het beheer van de lokale session.

Heb je al eens gekeken wat voor poorten openstaan op de PC als je de firewall uit zet?

Dat lijkt mij ook.
Maar.. ken je ook bronnen die dat documenteren?

En wérd er wel toegang gezocht met internet, of slechts met de router?
(Netwerk: LAN-verbinding; Protocol: UDP; Poort: dns (53); IP-adres: router.home)

Um, nee - waaróm precies?
En hoe, precies, check je met de firewall uitgeschakeld welke poorten dan openstaan? Hoe check je dat local?
En ondanks de router-firewall ben ik daar wat huiverig voor, maar ik neem aan dat je bedoelt zonder internetverbinding?

Er staan nog diverse vragen open.
Heeft iemand nog inzichten en/of antwoorden die een bijdrage kunnen leveren, dan ben ik daar beslist nog benieuwd naar.
Ook naar antwoorden van AcidBurn (of anderen) op wat ik wo.15-5, 14:48 uur aan AcidBurn vroeg als reactie op zijn/haar bijdrage van wo.15-5, 14:33 uur.
Alvast bedankt, wie nog een nuttige bijdrage kan leveren.


Mijn hoofdvraag was en is:
Later verder uitgewerkt:
En als reactie op
En als reactie op

Zoals ik al aangaf -
alvast bedankt, wie nog een nuttige bijdrage kan leveren.

@Spiff: Misschien is het een onderdeel van WGA om achter je ethernet adres te komen (op een zeer omslachtige wijze):
http://en.wikipedia.org/wiki/Windows_Genuine_Advantage#Data_collected.
Heb je (kort) na deze melding Windows wel eens handmatig moeten valideren?

Of smss.exe is geïnteresseerd in een foutcode van de DNS functie en niet in het 'normale' resultaat van de functie zelf.
Iig, als je in al die jaren geen virus oid hebt gevonden zou ik me er niet al te druk over maken.
Tenzij je doelwit bent van 'APT' ;-)

Of het fenomeen ooit direct na een Windows-installatie optrad in relatie met WGA, dat kan ik me niet herinneren.
Maar bij het optreden helemaal los van een uitgevoerde Windows-installatie, dus in gevallen pas een jaar of meer later, was er geen relatie met WGA en valideren.

Wie weet, maar voor zover ik documentatie over smss.exe heb gevonden lijkt dat niet tot de taak van het smss.exe proces te horen. Het lastige is echter dat ik maar bijzonder weinig documentatie over smss.exe kan vinden, niets in relatie met het hier beschreven 'smss.exe-fenomeen'.

Ik maak me er zeker niet te druk over, hoor, wees gerust.
Maar ik heb wel een gezonde nieuwsgierigheid, je kent dat wel :-)
En nadat onlangs dat 'smss.exe-fenomeen' weer eens een keertje opdook moest ik daarom dit topic maar eens starten, om nu eindelijk eens te proberen meer duidelijkheid te krijgen over de reden van het optreden van het fenomeen. Ik hoop daarom nog steeds dat iemand hier net die specifieke kennis bezit om dit raadseltje te kunnen oplossen. Zo niet, dan houdt het puzzelen op een gegeven moment wel op, natuurlijk.

@ AcidBurn,

Zou je nog kunnen antwoorden op wat ik je woensdag 15-5, 14:48 uur vroeg in reactie op wat jij aangaf op woensdag 15-5, 14:33 uur? Ik ben werkelijk nog benieuwd.
Alvast hartelijk bedankt.

Dank je voor je reactie, Solaris.
Maar Spyware Doctor gebruik ik niet, en MBAM slechts on-demand.
Een vergelijkbare applicatie is HitmanPro, maar ook die gebruik ik slechts on-demand.
Bij het uitvoeren van een MBAM of HitmanPro update of scan is het beschreven smss.exe-fenomeen echter nooit opgetreden, het is alle (sporadische) keren opgetreden zonder dat ik het op dat moment in verband kon brengen met een trigger-proces.
En gezien de melding door mijn firewall lijkt het er sterk op dat het juist smss.exe is die (zoals beschreven, uiterst sporadisch) netwerktoegang zoekt, en niet een ander proces dat toegang zoekt tot smss.exe. Of het zou zo moeten zijn dat mijn firewall een verzoek verkeerd beschrijft, waardoor verwarring ontstaat. Er is echter niets dat daarop wijst.

Nogmaals bedankt voor je reactie, Solaris.

En nu hoop ik opnieuw dat AcidBurn nog eens meeleest ;-) en kan reageren op wat ik vorige week, 15-5, 14:48 uur, vroeg in reactie op wat AcidBurn aangaf op 15-5, 14:33 uur.
Zijn/haar opmerkingen en vraag waren interessant, maar ik heb antwoord nodig op mijn vervolgvragen van 15-5, 14:48 uur, om er eventueel mee verder te kunnen.

Solaris , volgens mij haal je een paar dingen door elkaar.
spiff zijn probleem is dat smss.exe ZELF netwerk toegang wil tot het internet , niet dat een ANDER proces toegang tot smss.exe wil via het netwerk (127.0.0.1 localhost neem ik dan aan?).
Bovendien draai ik al heel wat jaartjes de diverse windows versies , en ik weet zeker dat ik nog nooit heb gezien dat een proces netwerk toegang wil tot smss.exe .Waarschijnlijk omdat smss.exe geen netwerk toegang heeft , geen netwerk toegang gebruikt , en al helemaal geen server draait (geen luisterende poorten die naar een inkomende verbinding luisteren).
Misschien haal je netwerk toegang en geheugen toegang (HIPS beveiliging) door elkaar ?
Want het absoluut niet vreemd wanneer een anti malware (anti virus) programma geheugen toegang wil tot de draaiende processen die in het geheugen aktief zijn , simpelweg om te kijken ofdat ze niet besmet of gehijacked zijn.
Ik hoop dat het je nu iets duidelijker is.

Even voor de duidelijkheid , toen ik reageerde had ik spiff zijn reactie nog niet gezien , hij was mij net 1 minuut voor. :)

En de negatieve rating van mijn reactie op Solaris?
Was ik te beleefd, volgde ik Solaris teveel, of zoiets?
Ik ben nog steeds niet gewend aan negatieve ratings zonder enige uitleg of verklaring daarvoor.

Nope , my bad , wilde solaris een min puntje geven , maar jou reactie stond daar plotseling tussen (1 minuut voor de mijne gepost). geprobeerd terug te veranderen maar dat ging helaas niet.
ging niet expres :(

Ha, dank je voor de verduidelijking, mvh69.
En gelukkig is rood mijn lievelingskleur, dus wat zeur ik eigenlijk :-)

http://www.neuber.com/taskmanager/process/smss.exe.html


Als je de firewall uit zet moet je even een CMD-box openen (start -> uitvoeren -> typ: cmd) en dan kun je heel snel zien welke poorten openstaan met het commando: netstat -ano.

De laatste kolom geeft het proces ID aan wat de poort reserveert. Als je wilt weten wat het proces is doe je: tasklist|find <proces id>

Hier nog wat meer info over wat het proces precies doet:
http://forum.kaspersky.com/lofiversion/index.php/t58940.html

Niet gehinderd door enige kennis van Windows praat ik vermoedelijk onzin, maar hier zijn toch wat gedachten die bij me opkomen.

Volgens Wikipedia is het Session Manager Subsystem onder meer verantwoordelijk voor het starten van de kernel en user modes. Uit de firewall-melding die je reproduceert maak ik niet op of het proces probeert verbinding te maken met poort 53 (op welke machine?) of ernaar wil luisteren. Als het probeert te luisteren, en smss verantwoordelijk is voor het opzetten van user en kernel mode, is het dan niet denkbaar dat het een gepriviligeerde poort is en smss namens een user-mode-proces dat legitiem naar die poort luistert de initialisatie doet? Of zoiets überhaupt op die manier kan binnen Windows weet ik niet, maar de gedachte schoot wel onmiddelijk door mijn hoofd toen ik las wat smss doet.

Dank je, AcidBurn.
Die eerste bron kende ik wel, de tweede had ik niet eerder bekeken.
Ze bieden echter niet meer informatie over smss.exe dan de Wikipedia-bron die ik al vermeldde.
(http://en.wikipedia.org/wiki/Session_Manager_Subsystem)
En inderdaad, niets in de informatie in die bronnen wijst erop dat smss.exe netwerktoegang zou kunnen zoeken. Maar tevens sluiten die bronnen het zoeken van netwerktoegang door smss.exe niet volkomen uit, het komt simpelweg niet aan de orde in die bronnen. Microsoft Windows ondertussen een beetje kennende, kan ik vooralsnog niet volledig uitsluiten dat smss.exe onder bepaalde omstandigheden wel degelijk netwerktoegang zou zoeken, maar dat die informatie niet of slechts zeer moeilijk ergens te vinden is.
Ik hoopte dat jij of iemand anders een bron kende die uitvoeriger informatie biedt over smss.exe, zoals een diepgaande Microsoft-bron betreffende alle gedrag van smss.exe. Zo'n uitvoeriger bron heb ik zoals gezegd nog nergens kunnen vinden.

Dank je, AcidBurn.
Mijn "waaróm precies?" vraag heb je niet beantwoord, maar met die andere informatie kan ik aan de slag. Even een momentje tijd vinden, en dan ga ik dat eens bekijken.
Nogmaals bedankt, en ik zal later even berichten of ik wat interessants gevonden heb.

Dankjewel, Anoniem, beslist interessante gedachten.
Betreffend poort 53, mijn netwerk bevat slechts een pc en een modemrouter, dus ik nam aan dat poort 53 mijn pc betrof. Of heeft een modemrouter ook een poort 53?
En ik meen me te herinneren in het firewall-log gezien te hebben dat smss.exe (in de uitzonderlijke gevallen waarop ik doelde) netwerktoegang vroeg, een uitgaande verbinding vroeg. Ik kan niet uitsluiten dat ik me daarbij vergist kan hebben.
Buiten dat, kan ik je gedachtegang niet beoordelen. Mijn Windows-kennis is redelijk goed, maar betreffende netwerkregels en -gedrag is mijn kennis echter slechts vrij beperkt.

Sorry, het was vroeg vanochtend.

Aan de hand van de openstaande poorten zou je misschien nog iets anders geks kunnen vinden, malware of een virus. Ik heb de laatste 4 dagen Wireshark op mijn PC laten meekijken maar op geen enkel moment heeft dit proces op mijn Windows 7 computer contact gezocht met het netwerk of internet.

Zoals ik al aangegeven had, op mijn systeem treedt het zoeken van netwerktoegang door smss.exe slechts uiterst sporadisch op, slechts een of enkele malen per jaar. Een week analyseren geeft dus wellicht geen zekerheden.

netstat -ano heb ik inmiddels uitgevoerd,
en vervolgens de resultaten beoordeeld aan de hand van het overzicht geboden door het commando tasklist.
Alle weergegeven actieve verbindingen op één na waren van legitieme Windows processen, en die ene was van mijn antivirusprogramma, eveneens legitiem.
smss.exe leverde/zocht geen actieve verbinding.

Overigens nog:
Het overzicht geleverd door het commando tasklist was voldoende voor me om aan de hand van proces id de bijbehorende procesnamen te achterhalen.
Maar de door jou/AcidBurn gegeven syntaxis tasklist|find <proces id> leverde een foutmelding op.
Ik neem aan dat <proces id> vervangen wordt door de te vinden proces id, zonder haken, maar dat leverde een foutmelding. Het wel neerzetten van die haken evengoed. Van tasklist|find <proces id> heb ik een paar syntaxis-varianten geprobeerd, maar elk leverde de melding dat de syntaxis onjuist was, of een vergelijkbare foutmelding.
Wat is de juiste syntaxis voor tasklist|find <proces id>? Ik heb dat niet kunnen achterhalen.
Gelukkig had ik aan enkel tasklist al genoeg om aan de hand van proces id de bijbehorende procesnamen te achterhalen.

Nogmaals hartelijk bedankt voor de netstat -ano en tasklist tip.

Sorry dan ben ik in de war met de linux syntax. Als je wilt kan ik het nog even proberen thuis maar ik werk 99% van mijn tijd op Linux :-)

Nee hoor, dat is niet nodig.
Het overzicht geleverd door het commando tasklist was voldoende voor me om aan de hand van proces id de bijbehorende procesnamen te achterhalen, dus je hoeft voor mij beslist geen moeite te doen om nog een Windows syntax voor tasklist|find <proces id> te zoeken.

En nogmaals hartelijk bedankt.

Spiff , als je wilt weten welk proces verantwoordelijk is voor openstaande poorten/verbindingen die je in netstat ziet dan is het niet nodig om "tasklist|find <proces id>" of iets dergelijks te doen , gewoon netstat -anbo gebruiken. De "b" parameter geeft dan meteen de naam van het proces weer.
Bovendien acht ik persoonlijk de kans niet groot dat je een vreemd en/of kwaadaardig proces met internet toegang zal aantreffen op die manier omdat malware die zo zichtbaar opereerd dus ook in je taskmanager zichtbaar zal zijn en bovendien dus ook door je firewall gezien en geblokkeerd zal worden.En ik ga er voor het gemak even van uit dat dat niet het geval is omdat je dat er dan wel bij verteld zou hebben.
Als je het mij vraagt dan is jou probleem of een heel toevallige samenloop van omstandigheden of een zeer naar , goed verborgen en lastig stukje malware dat om verbindingen naar buiten (internet) te maken andere processen hijacked om op die manier "onzichtbaar" met een C&C server te verbinden.Welke van de 2 het is is lastig te beoordelen zonder verdere informatie. Het was een stuk makkelijker geweest als je had geweten wat de dns request was geweest die smss.exe probeerde (poort 53) te doen danwel met welk ip het daarna probeerde te connecten .Dus kan ik niets meer doen dan je toch aanraden om voor de volgende keer een packet sniffer klaar te hebben staan die je dan op zijn minst even zo insteld dat die de dns requests logged , de daaropvolgende verbinding hoef je niet perse in je sniffer te loggen omdat ik er van uit ga dat je dat ook in je firewall log terug kan vinden.
Ook zou je de sysinternals suite kunnen downloaden "http://social.technet.microsoft.com/Search/en-US?query=sysinternals%20suite&ac=2" en procmon kunnen runnen , zodanig ingesteld dat die alleen smss.exe monitoord .En als laatste een tooltje dat je een dump van smss.exe laat maken op het moment dat die weer verbinding probeerd te maken.

succes

Ha, dank je, mvh69, ik zie het.
Voor de met netstat -ano gevonden gegevens de bij de proces id behorende processen opzoeken met behulp van de gegevens uit tasklist dat ging ook, maar netstat -anbo is toch net wat handiger, dankjewel.

Ik ga uit van dat eerste.
Er is geen enkele aanwijzing voor malware-processen, en dat rare vragen om netwerktoegang door smss.exe komt zoals ik heb aangegeven slechts uiterst sporadisch voor, slechts een of hoogstens enkele malen per jaar, wat erg onwaarschijnlijk lijkt voor malware.

Gezien het feit dat een upgrade van Vista naar Win7 gepland is voor de nabije toekomst (schijfje ligt al geruime tijd gereed, maar ik heb nog nooit de tijd genomen voor installatie), ben ik een volgende smss.exe-verzoek om netwerktoegang daarmee mogelijk voor.
Treuzel ik nog langer met die Win7-installatie, en zou ik dit jaar nog eens zo'n smss.exe-verzoek tegenkomen, dan nog is het optreden daarvan zo enorm sporadisch dat ik het nauwelijks de moeite waard vind om het hele jaar op de loer te gaan liggen met een packet sniffer en Sysinternals en meer.
Ik begrijp alle goede adviezen, maar ik hoopte vooral dat iemand een 'simpele' reguliere verklaring kende voor het beschreven fenomeen. Maar daar is het te zeldzaam voor, vermoed ik.

Wie weet is dat rare sporadische smss.exe netwerktoegang-verzoek zelfs wel een vergeten Vista-bugje. Ik kom het héél af en toe ergens op een forum tegen in een stukje van een eveneens verbaasde Windows-gebruiker, maar (net als in mijn geval) met veel te weinig aanknopingspunten om wijzer van te worden. Ik weet niet of het mogelijk beperkt kan zijn tot Vista, maar dat het betreffende smss.exe-fenomeen erg weinig voorkomt dat is duidelijk.
Kwam het betreffende fenomeen breder en vooral vaker voor, dan was het gemakkelijk te analyseren geweest.