Lsass Exploit (Sasser ?)

Résolu
ekra Messages postés 1873 Statut Membre -  
ekra Messages postés 1873 Statut Membre -
Bonjour,

Mon père ayant connecté le PC sans protection, je me retrouve avec une message de Avast qui me dit "Attaque LSASS EXPLOIT blablabla:445/tcp"
J'ai fais toutes les mises à jour Windows, J'ai un firewall (kerio) + antivirus (Avast) + spybot + spywareblaster.

Le message apparait toutes les minutes en moyenne, que dois-je faire?

[EDIT] ET maintenant "DCOM exploit" attaque[/EDIT]

Merci !
--
Signaturé moi :)

8 réponses

  1. foobar47 Messages postés 13654 Statut Contributeur 534
     
    Tu peux cocher "Ne plus afficher ce message la prochaine fois" quand la fenetre apparait...
    a++
    0
    1. ekra Messages postés 1873 Statut Membre 342
       
      Bonjour

      Ok merci, si je n'arrive pas à corriger cela, je ferai ca...
      0
  2. foobar47 Messages postés 13654 Statut Contributeur 534
     
    En fait, il te previent qu'il y a une tentative, mais rien de grave...
    Si tu regardes bien l'adresse ip qui essaye d "attaquer", je suppose que c'est la tienne... entre autre ? non ?
    0
    1. ekra Messages postés 1873 Statut Membre 342
       
      Oui ca doit etre ca,

      Mais du coup, ca veut dire qu'il y a un prog qui est installé sur mon PC et qui provoqie ca, non ?
      0
  3. foobar47 Messages postés 13654 Statut Contributeur 534
     
    Si vraiment ça te gène, ferme le port 445... ;-)
    0
  4. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    salut,

    tu peux faire cela car je pense qu'il conviendrait avant de fermer les ports, de supprimer ton infection (si sasser est le mal ce que je pense).

    telecharge hijackthis:
    http://www.merijn.org/files/hijackthis.zip
    Dezippe le dans un dossier prévu a cet effet.
    Par exemple C:\hijackthis

    Démo : (merci a balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/demohijack.htm

    lance le puis:
    clic sur "do a system scan and save logfile" et pas autre chose
    fais un copier coller du log entier ici.

    a+
    0
    1. foobar47 Messages postés 13654 Statut Contributeur 534
       
      Salut,

      je ne pense pas, (j'éspère :D) que ce soit dû à Sasser, mais plus à Avast qui interprete des communications sur le port 445 comme étant l'origine de Sasser...

      @ suivre !!

      ++
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    Oki qu'est qui peut créer ces comm sur le port 445?

    culture perso merci
    0
    1. ekra Messages postés 1873 Statut Membre 342
       
      Bonjour, jean38
      Et merci à tous de votre intervention.

      LOG HIJACKTHIS :
      Logfile of HijackThis v1.99.1
      Scan saved at 11:21:53, on 27/10/2005
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\Explorer.EXE
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\WINDOWS\system32\RunDLL32.exe
      C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\program files\steam\steam.exe
      C:\Program Files\MSN Messenger\MsnMsgr.Exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
      C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
      C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
      C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
      C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
      C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\Program Files\WASTE\WASTE.exe
      C:\Documents and Settings\Maison\Bureau\Protection\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
      O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
      O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
      O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
      O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
      O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
      O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
      O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
      O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
      O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
      O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
      O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
      O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
      O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
      O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
      O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
      O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
      O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
      O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130158253203
      O17 - HKLM\System\CCS\Services\Tcpip\..\{D0FD2E0F-4B9F-4D20-9D8E-A2DE078A8836}: NameServer = 212.27.32.176,212.27.32.177
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
      O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
      O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
      O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
      O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
      O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
      O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

      Je vous remercie

      0
  7. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    nO PB ton log est clair donc suis les manip de notre ami foobar.

    A+

    Jean
    0
    1. foobar47 Messages postés 13654 Statut Contributeur 534
       
      Bon, tant mieux alors ! :)

      SMB est associé au port 445 qui est lié à la fonction Netbios à travers le protocole IP, tout comme les ports 137, 138 et 139...

      On peut désactiver l'écoute sur le port 445 en bidouillant la base de registre :
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
      "SmbDeviceEnabled"=dword:00000000

      Cela étant, il me semble que le SP2 d'XP ferme le port 445 par défaut...

      ++
      0
  8. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    merci de tes explications très cher, A+

    Jean
    0
    1. foobar47 Messages postés 13654 Statut Contributeur 534
       
      Mais je t'en prie !

      a++
      0
  9. ekra Messages postés 1873 Statut Membre 342
     
    Merci a vous tous !
    0