Fichier douteux " lsass.exe " ==> pro

Résolu
afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -  
afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour à tous,

Depuis un moment déjà, j'observe des topics contenant cette ligne HJT Running processes, en C: ---> C:\WINDOWS\system32\lsass.exe

Quelques exemples:

- comment connaitre les protections de mon pc
- virus lenteur
- probleme avec virus
- infecte par win32 trojan dowloader
- winantivirus 2006 encore

Je ne vois personne ( ni moi non plus jusqu'à ce jour ) prendre en compte cet " lsass.exe ", susceptible d'engorger l'UC. ( même sur des topics ayant pour objet la lenteur PC )

Je m'interroge d'autant plus, que je lis sur:

- CastleCops : lsass X lsass.exe Added by the RATSU.B VIRUS! Note - this is not the legitimate Lsass.exe system file should normally NOT figure in Msconfig/Startup!
- PREVX: lsass.exe Trojan.SystemPoser , in %WINDIR%\SYSTEM32\, Installs programs. Deletes programs. Invokes dll components. Communicates with web sites using httpout protocols. Has outbound communications. Creates known malware. Creates copies of itself. Oct 15, 2006; 03:10 Oct 19, 2006
- Bleepingcomputer : .TEXTCONV lsass.exe X Added by the WEBUS.B TROJAN! Note - this is not the legitimate lsass.exe process, which should not appear in Msconfig/Startup!

Qu'en penser ??
Merci pour vos commentaires.
;)

14 réponses

  1. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut Afideg,

    Il faut faire attention a ne pas confondre un processus legitime et une "copie" faite pour tromper l ennemi (l infection)

    lsass.exe
    lsass exe

    ---> Processus légitime.

    Par contre, si tu le tape ici:
    http://www.castlecops.com/StartupList.html

    ---> Néfaste !

    La seule difference est que l infection apparait en 04 ! Pour le processus légitime , il apparait toujours dans les processus.
    D'ailleurs, sur Castle cop, ils indiquent ceci:

    Note: (lsass.exe) The legitimate Windows Process should not be seen in Msconfig or as a Startup item.

    A+
    0
  2. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Régis59,

    Encore une fois merci,

    Mais avoue que rien n'est évident;

    Regarde ce que j'avais lu de CastleCops :

    lsass X lsass.exe Added by the RATSU.B VIRUS!
    Note - this is not the legitimate " Lsass.exe " system file should normally NOT figure in Msconfig/Startup!

    Si je lis bien CastleCops prétendrait que le vrai Process doit s'écrire " <souligne>Lsass.exe "</souligne>

    " L " et pas " I " ?????????

    Ce n'est pas facile;
    Merci
    Al
    0
  3. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut Al;

    Par rapport a ce que tu me dis juste au dessu, pas besoin de chercher plus loin que cela:

    lsass X lsass.exe

    La partie en gras:
    C'est ce qui se trouve entre [] en 04.

    Si tu le retrouves en 04, il est donc X ( = malware). L'exe lié au [] est celui que j ai souligné !

    Pour synthétisé, jamais tu ne dois trouver de lsass.exe ailleur que dans les processus actifs et surtout l'ecriture doit etre rigoureusement celle ci dessu.

    a+
    0
  4. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonsoir,

    J'ai suivi avec intérêt ce topic, car il y a une mention lsass.exe dans 'infecté par virtumonde' sous cette forme :

    F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system\lsass.exe

    L'inscription est méchante, mais le fix de sasser n'a rien donné.

    @+
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut Lyonnais,

    Bien sur qu elle est mechant puisqu elle ne se situe pas dans le systeme32.

    C:\WINDOWS\system\lsass.exe

    Vu la forme de l infection, je pense qu'il y a des 04 qui s y referent...

    a+
    0
    1. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      OK

      « lsass X lsass.exe
      La partie en gras: " lsass "
      C'est ce qui se trouve entre [] en 04.
      Si tu le retrouves en 04, il est donc X ( = malware). L'exe lié au [] est celui que j ai souligné ! »

      Merci pour ce cours magistral;ça fait du bien de comprendre enfin.
      Bonne soirée.

      Salut Lyonnais ;)
      0
  7. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    De rien ;-)

    A+ et bonne nuit a vous 2 ;-p
    0
  8. pepcac Messages postés 9 Statut Membre
     
    Desole de revenir la dessus, mais je n'ai pas bien compris l'histoire du "O4" .. kesako ?

    J'ai verifie ce matin les process qui tournaient sur mon pC et lsass.exe y etait ... en lisant ce topic, tout est clair sauf ce ... fameux "O4" ???

    Qqn peut il m'aider ?
    Merci

    Pepito
    0
  9. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    04 fait référence aux lignes des log HijackThis.

    Si tu veux voir plus pour ton cas :

    Télécharge HijackThis ici:
    https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html

    Dézippe le dans un dossier prévu à cet effet.
    Par exemple C:\hijackthis < Enregistre le bien dans c : !
    Démo : (Merci a Balltrap34 pour cette réalisation)
    http://perso.orange.fr/rginformatique/section%20virus/Hijenr.gif

    Lance le puis:
    clique sur "do a system scan and save logfile" (cf démo)
    faire un copier coller du log entier sur le forum

    Démo : (Merci a Balltrap34 pour cette réalisation)

    http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

    @+
    0
  10. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Re,

    -Pour le processus légitime lsass.exe , il apparait toujours dans les processus.
    -D'ailleurs, sur Castle cop, ils indiquent ceci:
    « The legitimate Windows Process should not be seen in Msconfig or as a Startup item.»

    -Autrement-dit, si tu le retrouves en 04 ( comme ceci: [lsass] en 04 ), il est donc X ( = malware).
    -Pour synthétiser, jamais tu ne dois trouver de lsass.exe ailleurs que dans les processus actifs; et surtout l'écriture doit être rigoureusement celle-ci lsass.exe.

    -Par exemple ici: F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system\lsass.exe
    -Dans ce cas, même si lsass.exe est bien écrit, tu remarques qu'il n'est pas à sa place ( il doit être en \system32\ )

    ATTENTION: l ( comme dans "elle" ), et non pas L ou 1 ( = 1 un ) ==> il faut la chance et de bons yeux au bon moment !

    CONSEIL : Fais ce que demande Lyonnais92, S'il te plaît. Merci

    Al.
    0
  11. peten
     
    Salut,
    J'ai suivi votre discussion mais ne comprend pas très bien !
    J'ai fait un scan avec hijackthis comme conseillé et je ne vois rien d'anormal.
    Pourtant quand je démarre une session en administrateur sur winxp, j'ai un message : lsa shell (export version) lsass.exe doit fermer [...] Ne pas envoyer.
    Et ce message apparait 50 fois d'affiler ! En plus j'ai un soft qui veux plus se lancer !
    Quand je fais montrer les détails de l'erreur lsa shell, il m'indique comme fichier "où l'erreur à lieu" le même que dans le rapport d'erreur de mon programme qui ne se lance plus !
    (le programme est CodeSoft 6 même si je ne pense pas que c'est important !)

    Pouvez vous me donnez des conseils... Dans quel sens chercher !!?
    Merci d'avance pour vos réponses !

    Logfile of HijackThis v1.99.1
    Scan saved at 17:25:21, on 28/05/2007
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Canon\VDC\AuVdc.exe
    C:\Program Files\Symantec AntiVirus\DefWatch.exe
    C:\Program Files\Symantec AntiVirus\SavRoam.exe
    C:\Program Files\Symantec AntiVirus\Rtvscan.exe
    C:\Program Files\RealVNC\VNC4\WinVNC4.exe
    C:\WINDOWS\Explorer.EXE
    C:\program files\filenet\idm\fnsysmgr.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\PROGRA~1\SYMANT~1\VPTray.exe
    C:\WINDOWS\System32\CTFMON.EXE
    C:\Program Files\Messenger\msmsgs.exe
    C:\hijackthis\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [0FileNET System Manager] c:\program files\filenet\idm\fnsysmgr.exe
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
    O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ltc-lab.com
    O17 - HKLM\Software\..\Telephony: DomainName = ltc-lab.com
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1A96B046-A070-4D70-BC4D-5F9817FE739A}: NameServer = 130.130.9.1
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ltc-lab.com
    O17 - HKLM\System\CS1\Services\Tcpip\..\{1A96B046-A070-4D70-BC4D-5F9817FE739A}: NameServer = 130.130.9.1
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ltc-lab.com
    O17 - HKLM\System\CS2\Services\Tcpip\..\{1A96B046-A070-4D70-BC4D-5F9817FE739A}: NameServer = 130.130.9.1
    O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
    O23 - Service: Canon NetSpot Suite Service - CANON INC. - C:\Program Files\Canon\VDC\AuVdc.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
    O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
    O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)
    0
  12. potal
     
    Salut, j'ai un probleme de lenteur au demarage de mon ordinateur, il affiche les messages suivants: WINDOWS ne trouve pas " Windows\system\lsass.exe " et WINDOWS ne trouve pas " hpzjrd01.dll ", merci pour votre aide.
    0
  13. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    Clique sur ce lien
    http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
    pour télécharger le fichier d'installation d'HijackThis.

    Enregistre HJTInstall.exe sur ton bureau.

    Double-clique sur HJTInstall.exe pour lancer le programme

    Par défaut, il s'installera là :
    C:\Program Files\Trend Micro\HijackThis

    Accepte la license en cliquant sur le bouton "I Accept"

    Ferme Hijackthis en cliquant sur la croix rouge en haut à droite de la fenêtre.

    Ensuite, fais ceci :

    Télécharge DSS (Deckard's System Scanner de Deckard) sur ton Bureau à partir de ce lien :

    http://www.techsupportforum.com/sectools/Deckard/dss.exe

    Choisis "enregistrer" et "Bureau" comme emplacement.

    Ferme toutes les applications en cours (très important, sinon l'ordi peut planter).

    Double-clique sur dss.exe pour lancer l'outil.

    S'il ne trouve pas HijackThis, clique sur Oui.

    Clique sur OK à chaque fois que cela sera demandé.

    L'analyse finie, un fichier texte s'affichera. Poste son contenu dans ta réponse.

    Le rapport se trouve ici : C:\Deckard\System Scanner\main.txt.
    0
  14. potal Messages postés 5 Statut Membre
     
    merci de ton soutien, je le fait amintenant.
    0
  15. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Salut Lyonnais

    Allo ? potale ? « je le fait amintenant ».
    ==> quand le fais-tu ?

    Al.
    0