A voir également:
- Virus NT Authority/system
- Nt kernel & system ✓ - Forum Virus / Sécurité
- Tinyurl virus - Forum Virus / Sécurité
- Svchost.exe virus - Guide
- Tlauncher virus ✓ - Forum Jeux vidéo
- Cette action ne peut pas être réalisée car le fichier est ouvert dans system - Guide
3 réponses
Nyctaclope
Messages postés
5302
Date d'inscription
dimanche 6 avril 2008
Statut
Membre
Dernière intervention
24 mai 2021
1 250
13 févr. 2010 à 15:30
13 févr. 2010 à 15:30
Bonjour !
Il semble que tu sois infecté par Sasser ..
Tu trouveras là toute la procédure pour arrêter le décompte et éliminer le virus, mais c'est en anglais .. :
http://www.pchell.com/virus/sasser.shtml
Le mieux est sans doute, si tu ne l'as pas fait lors de tes mises à jour, de télécharger via Windows update, depuis le site de Microsoft, l' "outil de suppression des logiciels malveillants", qui t'est en principe proposé chaque mois, et que Microsoft présente comme spécialiste de ce genre de problème. C'est l'occasion de le tester ..
Mais tu vas sans doute vite trouver ici toute l'aide d'excellents spécialistes de CCM ..
Bonne chance ..
A+
Nyctaclope
PS : une autre piste là :
https://forums.commentcamarche.net/forum/affich-12335814-fenetre-system-shutdown-lors-du-demarrage
mais l'information n'est pas très riche ..
Cependant, on peut en tirer une solution en cas d'urgence :
1// revenir à un point de restauration système antérieur à l'incident ( mais tu vas perdre les installations de logiciels intermédiaires .. )
2// si le virus ne se manifeste plus, aller immédiatement supprimer tous les points de restauration système.
si tu ne connais pas la manip, je peux te donner le détail, c'est assez simple ..
Il semble que tu sois infecté par Sasser ..
Tu trouveras là toute la procédure pour arrêter le décompte et éliminer le virus, mais c'est en anglais .. :
http://www.pchell.com/virus/sasser.shtml
Le mieux est sans doute, si tu ne l'as pas fait lors de tes mises à jour, de télécharger via Windows update, depuis le site de Microsoft, l' "outil de suppression des logiciels malveillants", qui t'est en principe proposé chaque mois, et que Microsoft présente comme spécialiste de ce genre de problème. C'est l'occasion de le tester ..
Mais tu vas sans doute vite trouver ici toute l'aide d'excellents spécialistes de CCM ..
Bonne chance ..
A+
Nyctaclope
PS : une autre piste là :
https://forums.commentcamarche.net/forum/affich-12335814-fenetre-system-shutdown-lors-du-demarrage
mais l'information n'est pas très riche ..
Cependant, on peut en tirer une solution en cas d'urgence :
1// revenir à un point de restauration système antérieur à l'incident ( mais tu vas perdre les installations de logiciels intermédiaires .. )
2// si le virus ne se manifeste plus, aller immédiatement supprimer tous les points de restauration système.
si tu ne connais pas la manip, je peux te donner le détail, c'est assez simple ..
Nyctaclope
Messages postés
5302
Date d'inscription
dimanche 6 avril 2008
Statut
Membre
Dernière intervention
24 mai 2021
1 250
16 févr. 2010 à 21:51
16 févr. 2010 à 21:51
Re
OK et bon courage ..
Tes symptômes ressemblent quand même bien à ceux décrits pour Sasser ..
A ta disposition en cas de difficultés .... Mais les manips sont très bien expliquées ...
Fais surtout bien le nettoyage dans le registre .
Et si tu es en réseau, vas également vérifier les autres PC.
A+
Nyctaclope
OK et bon courage ..
Tes symptômes ressemblent quand même bien à ceux décrits pour Sasser ..
A ta disposition en cas de difficultés .... Mais les manips sont très bien expliquées ...
Fais surtout bien le nettoyage dans le registre .
Et si tu es en réseau, vas également vérifier les autres PC.
A+
Nyctaclope
Sasser.A est un virus qui se propage via le réseau. Si une machine connectée à Internet n'est pas à jour dans ses correctifs ni protégée par un pare-feu correctement configuré, Sasser l'infecte via le port TCP 445 en utilisant la faille LSASS de Windows : le virus provoque le téléchargement d'un fichier AVSERVE.EXE dans le répertoire Windows via FTP et le port TCP 5554, puis son exécution à distance sans aucune intervention de l'utilisateur.
Une fois l'ordinateur infecté, le virus se copie dans le répertoire Système sous des noms variables ([nombre aléatoire]_up.exe), modifie la base de registres pour s'exécuter à chaque démarrage, puis lance 128 processus simultanés afin de balayer le réseau à la recherche de nouvelles machines vulnérables. L'exploitation de la faille LSASS par le virus rend le système instable, d'où un plantage de LSASS.EXE (et non ISASS.EXE) et un redémarrage automatique du système (message d'erreur : "LSA Shell has encountered a problem and needs to close. We are sorry for the inconvenience").
Sous Windows XP, un message d'erreur s'affiche à l'initiative de Autorite NT\System, puis l'ordinateur redémarre automatiquement après 60 secondes. Si ce délai ne vous laisse pas le temps de télécharger le correctif, il est possible de stopper le compte à rebours et d'annuler le redémarrage automatique en procédant de la manière suivante : cliquez sur le bouton "Démarrer", sélectionnez "Exécuter...", entrez " shutdown -a " puis cliquez "Ok" (cette opération n'est valable que pour Windows XP). Le virus créé enfin un fichier C:\WIN.LOG où il consigne l'adresse IP de la dernière machine infectée ainsi que le nombre total de machines contaminées.
Une propagation massive de Sasser et d'éventuelles variantes pourrait causer des perturbations similaires à celles engendrées par le virus Blaster en août 2003, en rendant notamment difficile voire impossible l'accès à certains sites web. La mise à jour des machines sous Windows NT, 2000, XP et 2003 est donc impérative pour combler la faille LSASS exploitée par le virus, mais aussi par divers outils de piratage à distance actuellement en circulation.
L'auteur présumé du virus Sasser aurait été arrêté. Il s'agirait d'un lycéen allemand de 18 ans, également impliqué dans la série des virus Netsky.
Une fois l'ordinateur infecté, le virus se copie dans le répertoire Système sous des noms variables ([nombre aléatoire]_up.exe), modifie la base de registres pour s'exécuter à chaque démarrage, puis lance 128 processus simultanés afin de balayer le réseau à la recherche de nouvelles machines vulnérables. L'exploitation de la faille LSASS par le virus rend le système instable, d'où un plantage de LSASS.EXE (et non ISASS.EXE) et un redémarrage automatique du système (message d'erreur : "LSA Shell has encountered a problem and needs to close. We are sorry for the inconvenience").
Sous Windows XP, un message d'erreur s'affiche à l'initiative de Autorite NT\System, puis l'ordinateur redémarre automatiquement après 60 secondes. Si ce délai ne vous laisse pas le temps de télécharger le correctif, il est possible de stopper le compte à rebours et d'annuler le redémarrage automatique en procédant de la manière suivante : cliquez sur le bouton "Démarrer", sélectionnez "Exécuter...", entrez " shutdown -a " puis cliquez "Ok" (cette opération n'est valable que pour Windows XP). Le virus créé enfin un fichier C:\WIN.LOG où il consigne l'adresse IP de la dernière machine infectée ainsi que le nombre total de machines contaminées.
Une propagation massive de Sasser et d'éventuelles variantes pourrait causer des perturbations similaires à celles engendrées par le virus Blaster en août 2003, en rendant notamment difficile voire impossible l'accès à certains sites web. La mise à jour des machines sous Windows NT, 2000, XP et 2003 est donc impérative pour combler la faille LSASS exploitée par le virus, mais aussi par divers outils de piratage à distance actuellement en circulation.
L'auteur présumé du virus Sasser aurait été arrêté. Il s'agirait d'un lycéen allemand de 18 ans, également impliqué dans la série des virus Netsky.
16 févr. 2010 à 19:25
je suis pas sur que ca soit sasser pck sur la fenêtre, ça affiche "c:\\windows\system32\services.exe" enfin j'y connais rien je vais quand même essayer ta soluce, merci encore !