Ver sasser ou un de ses copains ?

Jer0me Messages postés 8 Statut Membre -  
 igogne -
Bonjour , voila je cherche un gars qui pourrais m'aider. J'ai attraper par quel moyen , je n'en sasi rien un ver , je suppose du moins que s'en est un. J'ai tout d'abord remarquer 2 problèmes : 1- le pc est très lent et il nécessite parfois de le couper par l'alimentation ce qui n'est pas bon et 2- une fenetre indiquant précisement ceci Arrêt du système Veuillez enregistrer tous les travaux en cours et quitter votre sessions. Toutes les modifications non enregistrées seront perdues. Cet arrêt a été initié par AUTORIT NT/SYSTEM temps restant avant l'arrêt du systeme 60sec le processus système C/WINDOWS/system32/lsass.exe s'est terminé de manière inattendue avec le code d'état xxxxxxxxxxxx vu k'il change. Le systeme va maintenant s'eteindre et redemarrer. en plus de ca je recois continuellement des fenetres m'indiquant des sites pour reparer mon probleme ( ex www.repair.com mais il varie ) J'ai ete voir sur les differents forum mais je n'ai soit pas trouver le bon antidote soit je n'ai pas le ver sasser mais un autre. Qui sais m'indiquer la bonne marche a suivre. Merci

6 réponses

  1. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    salut, lsass n'est pas le ver sasser mais un fichier valide.

    commence par faire çà, imprime et n'oublie rien, si la manip bug à une etape, continue en la sautant.
    A/ si tu ne les as pas, telecharge:

    Spybot S&D 1.4 et Ad-Aware SE 1.06
    http://www.lavasoftusa.com/software/adaware/
    http://www.safer-networking.org/fr/index.html

    puis sur
    http://www.florensac-chasse-trap.com

    pointe ton curseur sur « section virus » sans cliquer
    click sur le menu qui apparaît et charge

    CleanUp312.exe
    ne les utilise pas tout de suite

    idem si tu ne l’as pas A2 free sur http://www.emsisoft.net/fr/software/download/

    met à jour spybot, ad aware et a2 free sur internet (tu trouves l’option dans les menus) mais ne lance pas les scan.

    1) clic droit sur poste de travail
    propriété
    restauration systeme
    coche desactivé puis appliquer

    2) demarrer
    panneau de configuration
    outil
    option des dossiers
    affichage,
    coche afficher dossier cachés
    decoche : masquer extension des fichiers dont le type est connu
    masquer les fichiers protégés du systeme d'exploitation.

    3) demarre en mode sans echec.
    Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)

    4) execute cleanup312.exe

    tu relances tes scan ad aware
    puis spy boot
    puis a2 free
    et vire tout ce qu'ils trouvent (c'est un peu long mais tu devrais t'en sortir).

    vide ta poubelle et redemarre en mode normal, c'est à dire avant de redemarrer, tu refais les manip de départ mais en recochant ... pour retrouver la config de départ.

    redemarre
    telecharge hijackthis:
    http://www.merijn.org/files/hijackthis.zip
    Dezippe le dans un dossier prévu a cet effet.
    Par exemple C:\hijackthis
    lance le puis:
    clic sur "do a system scan and save logfile" et pas autre chose
    fais un copier coller du log entier ici.

    A+

    Jean
    0
  2. Utilisateur anonyme
     
    bonsoir vous 2;
    j ajouterais:
    si le compte a rebours reapparait:
    "Démarrer", sélectionnez "Exécuter...", entrez " shutdown -a " puis cliquez "Ok" (cette opération n'est valable que pour Windows XP).
    ceci devrait le stopper

    a+
    0
  3. Jer0me Messages postés 8 Statut Membre
     
    Bon j ai des problemes avec le programme a² et pour trouver ou enlever la restauration systeme ??? je pense que c'est un probleme de session car il met met erreur non specifie quand je vais voir dans comptes d'utilisateurs ??? je sais que je suis chiant mais c'est dur quand meme . J'aurais du faire plus attention. Au fait merci ceux qui m'ont aider
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Jer0me Messages postés 8 Statut Membre
     
    le log :
    Logfile of HijackThis v1.99.1
    Scan saved at 12:29:06, on 19/06/2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\System32\windowsp.exe
    C:\WINDOWS\system32\slserv.exe
    C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
    C:\WINDOWS\System32\scvvhost.exe
    C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\apps\ABoard\ABoard.exe
    C:\WINDOWS\System32\wf32vbc.exe
    C:\WINDOWS\System32\msmsngr.exe
    C:\WINDOWS\System32\tbsvc32.exe
    C:\WINDOWS\System32\navupdate64.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\Winsos\WINSOS.EXE
    C:\apps\ABoard\AOSD.exe
    C:\Program Files\rsie\esmd.exe
    C:\WINDOWS\System32\?hkntfs.exe
    C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    c:\spupdate26.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\PROGRA~1\WINZIP\wzqkpick.exe
    C:\PROGRA~1\WINZIP\winzip32.exe
    C:\Documents and Settings\Mireille Jamart\Local Settings\Temp\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.be/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.fr/spbasic.htm
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.msn.fr/spbasic.htm
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.be/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.be/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
    O4 - HKLM\..\Run: [RNBz Test] wf32vbc.exe
    O4 - HKLM\..\Run: [Services] C:\WINDOWS\system32\1.tmp
    O4 - HKLM\..\Run: [msmsngr] C:\WINDOWS\System32\msmsngr.exe
    O4 - HKLM\..\Run: [MSTaskbar 32] tbsvc32.exe
    O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitewva32.exe
    O4 - HKLM\..\Run: [Microsoft Windows Update] scvvhost.exe
    O4 - HKLM\..\Run: [MS UniX] navupdate64.exe
    O4 - HKLM\..\RunServices: [RNBz Test] wf32vbc.exe
    O4 - HKLM\..\RunServices: [MSTaskbar 32] tbsvc32.exe
    O4 - HKLM\..\RunServices: [Microsoft Windows Update] scvvhost.exe
    O4 - HKLM\..\RunServices: [MS UniX] navupdate64.exe
    O4 - HKLM\..\RunOnce: [Microsoft Windows Update] scvvhost.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\Winsos\WINSOS.EXE" MINI
    O4 - HKCU\..\Run: [RNBz Test] wf32vbc.exe
    O4 - HKCU\..\Run: [Microsoft Windows Update] scvvhost.exe
    O4 - HKCU\..\Run: [MSTaskbar 32] tbsvc32.exe
    O4 - HKCU\..\Run: [Steam] C:\Program Files\Valve\Steam\Steam.exe -silent
    O4 - HKCU\..\Run: [MS UniX] navupdate64.exe
    O4 - HKCU\..\Run: [Sra] C:\Program Files\rsie\esmd.exe
    O4 - HKCU\..\Run: [Xyn] C:\WINDOWS\System32\?hkntfs.exe
    O4 - HKCU\..\RunOnce: [Microsoft Windows Update] scvvhost.exe
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll
    O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\befr.htm
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{4E9320E3-B8B7-4DC3-9B89-06D0AB08A9C7}: NameServer = 62.235.14.4 62.235.13.199
    O17 - HKLM\System\CS1\Services\Tcpip\..\{4E9320E3-B8B7-4DC3-9B89-06D0AB08A9C7}: NameServer = 62.235.14.4 62.235.13.199
    O17 - HKLM\System\CS3\Services\Tcpip\..\{4E9320E3-B8B7-4DC3-9B89-06D0AB08A9C7}: NameServer = 62.235.14.4 62.235.13.199
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Mouse Hardware Sync (mousehs) - Unknown owner - C:\WINDOWS\System32\mousehs.exe
    O23 - Service: Network DDE Client (NetDDEclnt) - Unknown owner - C:\WINDOWS\System32\windowsp.exe
    O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
    O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
    0
  6. Jer0me Messages postés 8 Statut Membre
     
    Jean 38 tu sais me dire plus ??? Merci
    0
    1. bernie61
       
      salut à tous
      0. Fais une mise à jour de Windows
      Installe ce nettoyeur CCLEANER http://www.ccleaner.com/ ensuite
      *Pour scan complet il faut pouvoir scanner tous les dossiers donc faire :
      Démarrer/PanneauConfiguration/OptionsDossiers /ongletAffichage et là cocher les lignes
      - afficher les fichiers et dossier cachés
      - afficher contenu dossier système
      décocher
      - masquer fichiers protégés du dossier système
      Puis cliquer APPLIQUER à TOUS les Dossiers
      C:\WINDOWS\System32\mousehs.exe test antivirus/trojan possible sur celui là et aussi
      C:\WINDOWS\System32\windowsp.exe

      1. Tu connais ça vérifie (cliq droit souris/propriété) sinon ZIP (compresse) et efface le .EXE
      C:\Program Files\Winsos\WINSOS.EXE > serais un faux utilitaire antispy ?? à désinstaller
      2. Relances Hijackthis et coche (puis FIX)
      O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
      O4 - HKLM\..\Run: [RNBz Test] wf32vbc.exe
      O4 - HKLM\..\Run: [Services] C:\WINDOWS\system32\1.tmp
      O4 - HKLM\..\Run: [msmsngr] C:\WINDOWS\System32\msmsngr.exe
      O4 - HKLM\..\Run: [MSTaskbar 32] tbsvc32.exe
      O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitewva32.exe
      O4 - HKLM\..\Run: [Microsoft Windows Update] scvvhost.exe
      O4 - HKLM\..\Run: [MS UniX] navupdate64.exe
      O4 - HKLM\..\RunServices: [RNBz Test] wf32vbc.exe
      O4 - HKLM\..\RunServices: [MSTaskbar 32] tbsvc32.exe
      O4 - HKLM\..\RunServices: [Microsoft Windows Update] scvvhost.exe
      O4 - HKLM\..\RunServices: [MS UniX] navupdate64.exe
      O4 - HKLM\..\RunOnce: [Microsoft Windows Update] scvvhost.exe
      O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\Winsos\WINSOS.EXE" MINI
      O4 - HKCU\..\Run: [RNBz Test] wf32vbc.exe
      O4 - HKCU\..\Run: [Microsoft Windows Update] scvvhost.exe
      O4 - HKCU\..\Run: [MSTaskbar 32] tbsvc32.exe
      O4 - HKCU\..\Run: [MS UniX] navupdate64.exe
      O4 - HKCU\..\Run: [Sra] C:\Program Files\rsie\esmd.exe
      O4 - HKCU\..\Run: [Xyn] C:\WINDOWS\System32\?hkntfs.exe
      O4 - HKCU\..\RunOnce: [Microsoft Windows Update] scvvhost.exe
      O23 - Service: Mouse Hardware Sync (mousehs) - Unknown owner - C:\WINDOWS\System32\mousehs.exe > si virus
      O23 - Service: Network DDE Client (NetDDEclnt) - Unknown owner - C:\WINDOWS\System32\windowsp.exe > si virus
      3. Effacer ces programmes .EXE ( et à la fin vider la corbeille)
      C:\WINDOWS\System32\windowsp.exe
      C:\WINDOWS\System32\scvvhost.exe
      C:\WINDOWS\System32\wf32vbc.exe
      C:\WINDOWS\System32\msmsngr.exe
      C:\WINDOWS\System32\tbsvc32.exe
      C:\WINDOWS\System32\navupdate64.exe
      C:\Program Files\rsie\esmd.exe > tout le répertoire rsie
      C:\WINDOWS\System32\?hkntfs.exe
      c:\spupdate26.exe
      C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll > tout le répertoire EliteToolBar
      C:\WINDOWS\system32\1.tmp
      C:\windows\system32\elitewva32.exe
      à désenregistrer et effacer
      C:\WINDOWS\System32\mousehs.exe > si virus
      C:\WINDOWS\System32\windowsp.exe > si virus

      4. vider les répertoires temps et la corbeille, en lançant Ccleaner
      Refais un hijackthis de contrôle
      a+
      0
      1. igogne > bernie61
         
        bonjour bernie61 - votre message du 19/06/2005", j'essaie de faire les manip. indiquées, mais lorsque le dois décocher "masquer fichiers protégés du dossier système" j'ai le message ne peu être décoche car votre ordi. ne pourrait plus fonctionner"
        Pourquoi?
        j'ai déjà installer ccleaner
        lorque le fais un scann avec l'antivirus j'ai 14 fois cette réponse : impossible de san
        "C:\Documents and setting\monnom\...winzip32.ex
        0