Virus lsass.exe sur Windows SERVER 2003

Question

Bonjour,

Je voudrais demander un service, mon serveur a été attaqué par le virus lsass.exe et smss.exe que j'ai facilement enlevé avec un antivirus. 

Seulement, maintenant, j'ai un probleme : il a fait disparaitre le menu "executer" et les autres commandes et je voudrais savoir si il y existe un utilitaire du genre SDFix.exe pour remettre le registre à l'ordre.

Je ne veux pas re installer windows serveur parce que j'ai trop de parametres que je ne veux pas prendre le risque de perdre.

Merci à l'avance pour votre aide.

Utilisateur anonyme · Answer

Salut,

Es-tu en possession du CD de Windows Serveur 2003 ?

Utilisateur anonyme · Answer

Ok,

Les fichiers lsass.exe et smss.exe détectés pourraient être des fichiers système (ou les virus ont "volés" leur nom).

Je te propose de vérifier les fichiers système de Windows :

• Mets le CD de Windows dans ton lecteur

• Clique sur le bouton démarrer et choisis exécuter

• Tape "sfc /scannow" (sans les guillemets) et valide avec la touche entrée

Patiente pendant la vérification des fichiers puis redémarre ton PC.

Utilisateur anonyme · Answer

Ok,

Peut être que le raccourci de la commande exécuter fonctionne : touche Windows + R.

gen-hackman · Answer

salut :

clic droit dans la barre des taches / gestionnaire des taches

clic sur fichier , puis nouvelle tache , puis taper ce que demande sans filet au post3

rianakely · Answer

Salut a tous,

sansfilet> la commande Windows+R ne marche pas non plus
gen-hackman> ce truc marche et je vais l'essayer et je reviens vers vous. Ca va prendre du temps.merci bcp.

Quoi que cela m'arrangerai enormement si il ya un utilitaire direct qui retablit tout :-)

gen-hackman · Answer

si c etait si facile !.....

rianakely · Answer

Desole le gars, ca ne marche pas

dans gestionnaire de taches, il n'y a pas de "nouvelle tache" sauf quand l'onglet est sur utilisateur. pas moyen de lancer un .exe de nul part......

Je ne vais pas pouvoir partir en vacances si je n'arrive pas a resoudre ce foutu probleme  ssssshhhhhhh...

Utilisateur anonyme · Answer

Essaie çà :

• Télécharge rkill sur ton bureau

• Double clique sur rkill.com

• Patiente le temps que l'outil travaille, pendant ce temps les fenêtres et la barre de tâches risquent de disparaître


Quand tu as de nouveau la barre des tâches : 


• Télécharge RSIT de Random/Random, et enregistre le sur ton Bureau.

• Sous XP : Double clique sur RSIT.exe
• Sous Vista/7 : Fais un clic droit sur RSIT.exe et sélectionne "Exécuter en tant qu'administrateur"

• Clique sur Continue à l'écran Disclaimer.

• Si l'outil HijackThis n'est pas présent sur ton PC, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande) et tu devras accepter la licence en cliquant sur le bouton accept.

• Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés.

&#9650; Les rapports sont sauvegardés dans C:\rsit\info.txt et C:\rsit\log.txt

&#9658; Aide en images

gen-hackman · Answer

à l'onglet fichier en haut de la fenetre du gestionnaire

rianakely · Answer

sansfilet> ca marche sur tous les windows sauf serveur 2003
Gen > onglet fichier = exit et rien d'autre, pas de nouvelle tache.....

Je ne suis pas sorti de l'auberge hein?

Utilisateur anonyme · Answer

Qu'est ce qui ne marche pas sous 2003, rkill ou rsit ?

Si c'est rkill, essaie en passant directement à l'étape rsit.

gen-hackman · Answer

je pense que c est rkill car rsiit fontionne sur XP

Utilisateur anonyme · Answer

rkill fonctionne aussi sous xp, non ?

gen-hackman · Answer

ahoui suis-je bête ...!!!!! ^^

gen-hackman · Answer

bah si mon truc tourne dessus...on peut essayer au cas où....ca fera un diag plus ou moins precis

Utilisateur anonyme · Answer

Oui, bien sûr, et çà te permettra de savoir si çà fonctionne sur un server 2003.

rianakely · Answer

messieurs,

rien ne fonctionne, je suis desole pour cette machine mais bon.....je vais demander personnellement a andy manchesta de concevoir un sdfix pour moi ;-)

Utilisateur anonyme · Answer

Essaie çà :

• télécharge List_Kill'em de gen-hackman sut ton bureau

• dézippe le et lance le fichier List_Kill'em.exe

• choisis f pour français puis 1 pour lancer la recherche

• copie/colle le rapport qui va s'ouvrir dans ta réponse

gen-hackman · Answer

warsam rejoins moi ici je vais t'aider :

https://forums.commentcamarche.net/forum/affich-15536617-probleme-de-warsam

rianakely · Answer

Les amis, je crous que je vais abandonner temporairement.Je reprendrais en janvier.Bonnes vacances a tous et encor merci.

gen-hackman · Answer

comme tu veux...

Utilisateur anonyme · Answer

Bonnes vacances en attendant..

gen-hackman · Answer

merci toi aussi^^

Utilisateur anonyme · Answer

Ahh, si seulement :)

rianakely · Answer

Bonjour a tous et bonne annee,

Je suis de retour et j'attends les meilleures suggestions si quelqu'un a trouve rien qu'une toute petite solution a mon probleme.

J'ai deja essaye toutes vos suggestions mais rien ne s'y passe. Je crois que je vais faire un hijackthis et poster le rapport ici vous ne croyez pas?

Merci encore et j'attends de vos nouvelles.

Utilisateur anonyme · Answer

Salut, bon retour :)

(Re) commence par çà :

• Télécharge RSIT de Random/Random, et enregistre le sur ton Bureau.

• Sous XP : Double clique sur RSIT.exe
• Sous Vista/7 : Fais un clic droit sur RSIT.exe et sélectionne "Exécuter en tant qu'administrateur"

• Clique sur Continue à l'écran Disclaimer.

• Si l'outil HijackThis n'est pas présent sur ton PC, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande) et tu devras accepter la licence en cliquant sur le bouton accept.

• Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés.

&#9650; Les rapports sont sauvegardés dans C:\rsit\info.txt et C:\rsit\log.txt

&#9658; Aide en images

rianakely · Answer

et voici un autre hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:04:31, on 20.01.10
Platform: Windows 2003  (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 (6.00.3790.0000)
Boot mode: Normal

Running processes:
C:\Documents and Settings\Administrator\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\IBMIASRW.EXE
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\ismserv.exe
C:\ElsaWin\bin\LcSvrAdm.exe
C:\ElsaWin\bin\LcSvrDba.exe
C:\ElsaWin\bin\LcSvrHis.exe
C:\ElsaWin\bin\LcSvrPas.exe
C:\ElsaWin\bin\LcSvrSaz.exe
C:\WINDOWS\system32
tfrs.exe
C:\EDI32\DIService.exe
C:\EDI32\ODEX32.EXE
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32	cpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\ElsaWin\bin\LcSvrAuf.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\spool\DRIVERS\W32X86\3\CNAP2LAK.EXE
C:\WINDOWS\system32\spool\DRIVERS\W32X86\3\CNAP2RPK.EXE
C:\WINDOWS\system32\spool\DRIVERS\W32X86\3\CNAB7SWK.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://portal.cpn.vwg/login/login_en.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\system32\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://portal.cpn.vwg/
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [CNAP2 Launcher] C:\WINDOWS\system32\spool\DRIVERS\W32X86\3\CNAP2LAK.EXE
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\Documents and Settings\Administrator\WINDOWS\webelated.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\Documents and Settings\Administrator\WINDOWS\webelated.htm (file missing)
O10 - Broken Internet access because of LSP provider 'c:\documents and settings\administrator\windows\system32\mswsock.dll' missing
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O15 - ESC Trusted Zone: http://portal.cpn.vwg
O15 - ESC Trusted Zone: http://www.cryer.co.uk
O15 - ESC Trusted Zone: https://www.google.mu/?gws_rd=ssl
O15 - ESC Trusted Zone: http://*.windowsupdate.com
O15 - ESC Trusted Zone: http://*.windowsupdate.com (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = acegroup.mu
O17 - HKLM\Software\..\Telephony: DomainName = acegroup.mu
O17 - HKLM\System\CCS\Services\Tcpip\..\{7530E832-6AA4-4523-AB78-8A3F177FD803}: NameServer = 127.0.0.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = acegroup.mu
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = acegroup.mu
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = acegroup.mu
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = acegroup.mu
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = acegroup.mu
O18 - Protocol: vw-wi - {0F3C833F-FB28-40EA-8CB9-6A55B996C3F6} - C:\ElsaWin\bin\wiProt.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - Unknown owner - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: IBM Automatic Server Restart Service for IPMI (ibms6asr) - IBM Corporation - C:\WINDOWS\system32\IBMIASRW.EXE
O23 - Service: ELSA Administration Service (LcSvrAdm) - Volkswagen AG - C:\ElsaWin\bin\LcSvrAdm.exe
O23 - Service: ELSA Auftragsverwaltungs Service (LcSvrAuf) - Volkswagen AG - C:\ElsaWin\bin\LcSvrAuf.exe
O23 - Service: ELSA DBA Server (LcSvrDba) - Volkswagen AG - C:\ElsaWin\bin\LcSvrDba.exe
O23 - Service: ELSA Historie Server (LcSvrHis) - Volkswagen AG - C:\ElsaWin\bin\LcSvrHis.exe
O23 - Service: ELSA PASS Server (LcSvrPAS) - Volkswagen AG - C:\ElsaWin\bin\LcSvrPas.exe
O23 - Service: ELSA APOSpro Server (LcSvrSaz) - Volkswagen AG - C:\ElsaWin\bin\LcSvrSaz.exe
O23 - Service: ODEX Windows - Unknown owner - C:\EDI32\DIService.exe
O23 - Service: SAP Front-End Distribution Service (SAPDistribSvc) - SAP AG - C:\WINDOWS\SAPwksta\sapfeids.exe

Utilisateur anonyme · Answer

Il y a effectivement certaines choses "bizarres".

Par contre, les rapports ne sont pas complets :

• Va sur le site ci-joint.fr

• Clique sur le bouton parcourir

• Recherche le fichier log.txt qui se trouve dans le dossier C:\rsit et clique sur Ouvrir

• Clique sur le bouton "Cliquez ici pour déposer le fichier"

• Copie ensuite le lien qui est affiché dans ta réponse.

Refais la manipulation avec le fichier info.txt


Peux-tu aussi me dire les  symptômes que tu rencontres.

Utilisateur anonyme · Answer

Salut,

J'ai bien vu les rapports mais ils ne sont pas complets.

Je t'ai répondu ici ==> https://forums.commentcamarche.net/forum/affich-15526134-virus-lsass-exe-sur-windows-server-2003?page=2#32

rianakely · Answer

Salut,

Mon premier probleme c'est que quand j'ai fait rsit, il a envoye un message d'erreur et quand j'ai regarde dans c:rsit/ il n'y a que log.txt mais pas de info.txt

Tu veux que j'envoie meme le log ou ca ne sers a rien? Ou bien ya t-il une autre solution?

Symptome de mon serveur :

1- le menu executer ne marche plus
2- impossible d'executer les tache de gestion de postes clients, tout est bloque
3- Evidement le serveur devient lent a repondre

Merci encore  et j'attends avec patiente

Utilisateur anonyme · Answer

Fais ceci :

Affichage des fichiers/dossiers cachés :

• Va dans le menu démarrer
• Clique sur Poste de travail (ou Ordinateur si tu es sous Vista)
• Clique l'onglet Affichage
• Clique sur le menu "Outils "
• Clique sur "Options des dossiers... "
• Puis clique sur l'onglet "Affichage"
• Coche la case "Afficher les fichiers et dossiers cachés"
• Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
• Clique sur Oui au message d'alerte
• Clique sur le bouton "OK"


On va analyser un fichier :

• Va sur le site VirusTotal

• Clique sur le bouton "parcourir"

• Recherche le fichier présent ici ==> C:\WINDOWS\system32\lsass.exe 

• Clique sur le bouton "Envoyer le fichier"

• Patiente pendant le scan du fichier

• Copie le rapport dans ta réponse


Refais ensuite la manipulation avec ce fichier ==> C:\Documents and Settings\Administrator\WINDOWS\System32\smss.exe

rianakely · Answer

un petit details que j'ai oublie de te dire : le menu Options de dossiers dans le poste de travail a disparu aussi ;-)

Utilisateur anonyme · Answer

Oui, çà aurait été trop facile :)

Peux-tu tenter une réparation de l'installation de Windows en suivant ce tuto ==> http://www.informatruc.com/reparer-windows-xp-2

Note : Comme il s'agit d'un tuto pour Windows XP et que tu as 2003, il risque d'y avoir quelques différences.

gen-hackman · Answer

salut ca doit etre la clé "NoFlderOptions" dans la clé explorer qui est presente

Utilisateur anonyme · Answer

Salut gen,

C'est possible pour la clé, mais il y a sans doute d'autres clés modifiées (pas d'accès au gestionnaire de tâches, pas d'accès à exécuter..).

Une réparation de Windows devrait remettre tout çà par défaut, non ?

rianakely · Answer

Salut a vous,

sansfilet > je ne peux pas prendre le risque de toucher a l'installation car si jamais il y a un pépin, tout la boite va fermer pour cause de black out informatique. Je voudrais plus tard re installer windows mais  pour le moment je n'ai pas acces à tous mes parametres pour pouvoir les sauvegarder et c'est cela qui me gène.

gen > je n'ai aucune idée de quoi tu parles mais toutes les solutions sont les bienvenues.

gen-hackman · Answer

non je pense qu un diagnostic plus poussé peut faire l affaire....ce pc est donc dans l impossibilité de redemarrer ?

rianakely · Answer

pour la resinstallation de windows , vu que c'est un serveur, je prefere oublier ca. Mes parametres sont trop precieux et je ne les ai pas notés.

Ce pc redemarre.D'ailleurs il faut le redemarrer souvent ces derniers temps car il bloque l'acces a certains utilisateurs sans raison.

J'ai deja essayé sdfix mais mlheureusement ca ne marche pas sur un server 2003.

gen-hackman · Answer

voyons ceci :

Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent(car il est detecté a tort comme infection)

&#9654 Télécharge List&Kill'em et enregistre le sur ton bureau 

&#9654 Branche clés usb , disques durs externes , mp3 , mp4 , etc..

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

coche la case "creer une icone sur le bureau"

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis la langue puis choisis l'option 1 = Mode Recherche

&#9654 laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , mais ne le supprime pas pour l instant, le scan n'est pas fini.

&#9654 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

tu peux supprimer le rapport catchme.log de ton bureau maintenant.

rianakely · Answer

Gen > merci beaucoup. Je vais le faire demain soir et je rapporterai sans faute. je ne peux faire ca que quand tout le monde sera parti.

a+

Virus lsass.exe sur Windows SERVER 2003

40 réponses

Votre réponse

Newsletters