fichier douteux " lsass.exe " == pro Résolu/Fermé

Question

Bonjour à tous, 

Depuis un moment déjà, j'observe des topics contenant cette ligne HJT Running processes, en C: ---> C:\WINDOWS\system32\lsass.exe

Quelques exemples:

-  comment connaitre les protections de mon pc
-  virus lenteur
-  probleme avec virus
-  infecte par win32 trojan dowloader
-  winantivirus 2006 encore

Je ne vois personne ( ni moi non plus jusqu'à ce jour ) prendre en compte cet " lsass.exe ", susceptible d'engorger l'UC. ( même sur des topics ayant pour objet la lenteur PC )

Je m'interroge d'autant plus, que je lis sur:

- CastleCops : lsass X lsass.exe Added by the RATSU.B VIRUS! Note - this is not the legitimate Lsass.exe system file should normally NOT figure in Msconfig/Startup! 
- PREVX: lsass.exe Trojan.SystemPoser , in  %WINDIR%\SYSTEM32\,  Installs programs. Deletes programs. Invokes dll components. Communicates with web sites using httpout protocols. Has outbound communications. Creates known malware. Creates copies of itself. Oct 15, 2006; 03:10 Oct 19, 2006
- Bleepingcomputer : .TEXTCONV  lsass.exe  X Added by the WEBUS.B TROJAN! Note - this is not the legitimate lsass.exe process, which should not appear in Msconfig/Startup!  

Qu'en penser ??
Merci pour vos commentaires.
;)

Regis59 · Answer

Salut Afideg,

Il faut faire attention a ne pas confondre un processus legitime et une "copie" faite pour tromper l ennemi (l infection)

lsass.exe 
lsass exe

---> Processus légitime.

Par contre, si tu le tape ici:
http://www.castlecops.com/StartupList.html

---> Néfaste !

La seule difference est que l infection apparait en 04 ! Pour le processus légitime , il apparait toujours dans les processus.
D'ailleurs, sur Castle cop, ils indiquent ceci:

Note: (lsass.exe) The legitimate Windows Process should not be seen in Msconfig or as a Startup item.

A+

afideg · Answer

Régis59, Encore une fois merci, Mais avoue que rien n'est évident; Regarde ce que j'avais lu de CastleCops : lsass X lsass.exe Added by the RATSU.B VIRUS! Note - this is not the legitimate " Lsass.exe " system file should normally NOT figure in Msconfig/Startup! Si je lis bien CastleCops prétendrait que le vrai Process doit s'écrire " Lsass.exe " " L " et pas " I " ????????? Ce n'est pas facile; Merci Al

Regis59 · Answer

Salut Al;

Par rapport a ce que tu me dis juste au dessu, pas besoin de chercher plus loin que cela:

lsass X lsass.exe

La partie en gras:
C'est ce qui se trouve entre [] en 04.

Si tu le retrouves en 04, il est donc X ( = malware). L'exe lié au [] est celui que j ai souligné !

Pour synthétisé, jamais tu ne dois trouver de lsass.exe ailleur que dans les processus actifs et surtout l'ecriture doit etre rigoureusement celle ci dessu.

a+

Lyonnais92 · Answer

Bonsoir,

J'ai suivi avec intérêt ce topic, car il y a une mention lsass.exe dans 'infecté par virtumonde' sous cette forme :

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system\lsass.exe

L'inscription est méchante, mais le fix de sasser n'a rien donné.

@+

Regis59 · Answer

Salut Lyonnais,

Bien sur qu elle est mechant puisqu elle ne se situe pas dans le systeme32.

C:\WINDOWS\system\lsass.exe 

Vu la forme de l infection, je pense qu'il y a des 04 qui s y referent...

a+

Regis59 · Answer

De rien ;-)

A+ et bonne nuit a vous 2 ;-p

pepcac · Answer

Desole de revenir la dessus, mais je n'ai pas bien compris l'histoire du "O4" .. kesako ?

J'ai verifie ce matin les process qui tournaient sur mon pC et lsass.exe y etait ... en lisant ce topic, tout est clair sauf ce ... fameux "O4" ???

Qqn peut il m'aider ?
Merci

Pepito

Lyonnais92 · Answer

Bonjour,

 04 fait référence aux lignes des log HijackThis.

Si tu veux voir plus pour ton cas :

Télécharge HijackThis ici: 
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html 

Dézippe le dans un dossier prévu à cet effet. 
Par exemple C:\hijackthis < Enregistre le bien dans c : ! 
Démo : (Merci a Balltrap34 pour cette réalisation) 
http://perso.orange.fr/rginformatique/section%20virus/Hijenr.gif

Lance le puis: 
clique sur "do a system scan and save logfile" (cf démo) 
faire un copier coller du log entier sur le forum 

Démo : (Merci a Balltrap34 pour cette réalisation) 

http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm 

@+

afideg · Answer

Re,

-Pour le processus légitime lsass.exe , il apparait toujours dans les processus. 
-D'ailleurs, sur Castle cop, ils indiquent ceci: 
« The legitimate Windows Process should not be seen in Msconfig or as a Startup item.» 

-Autrement-dit, si tu le retrouves en 04 ( comme ceci: [lsass] en 04 ), il est donc X ( = malware). 
-Pour synthétiser, jamais tu ne dois trouver de lsass.exe ailleurs que dans les processus actifs;  et surtout l'écriture doit être rigoureusement celle-ci lsass.exe. 

-Par exemple ici: F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system\lsass.exe 
-Dans ce cas, même si lsass.exe est bien écrit, tu remarques qu'il n'est pas à sa place ( il doit être en \system32\ )

ATTENTION:  l ( comme dans "elle" ), et non pas L ou 1 ( = 1 un )  ==> il faut la chance et de bons yeux au bon moment !


CONSEIL : Fais ce que demande Lyonnais92, S'il te plaît. Merci


Al.

peten · Answer

Salut,
J'ai suivi votre discussion mais ne comprend pas très bien ! 
J'ai fait un scan avec hijackthis comme conseillé et je ne vois rien d'anormal.
Pourtant quand je démarre une session en administrateur sur winxp, j'ai un message : lsa shell (export version) lsass.exe doit fermer [...] Ne pas envoyer.
Et ce message apparait 50 fois d'affiler ! En plus j'ai un soft qui veux plus se lancer !
Quand je fais montrer les détails de l'erreur lsa shell, il m'indique comme fichier "où l'erreur à lieu" le même que dans le rapport d'erreur de mon programme qui ne se lance plus !
(le programme est CodeSoft 6 même si je ne pense pas que c'est important !)

Pouvez vous me donnez des conseils... Dans quel sens chercher !!?
Merci d'avance pour vos réponses !

Logfile of HijackThis v1.99.1
Scan saved at 17:25:21, on 28/05/2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Canon\VDC\AuVdc.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Symantec AntiVirus\SavRoam.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\Explorer.EXE
C:\program files\filenet\idm\fnsysmgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINDOWS\System32\CTFMON.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\hijackthis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [0FileNET System Manager] c:\program files\filenet\idm\fnsysmgr.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ltc-lab.com
O17 - HKLM\Software\..\Telephony: DomainName = ltc-lab.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{1A96B046-A070-4D70-BC4D-5F9817FE739A}: NameServer = 130.130.9.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ltc-lab.com
O17 - HKLM\System\CS1\Services\Tcpip\..\{1A96B046-A070-4D70-BC4D-5F9817FE739A}: NameServer = 130.130.9.1
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ltc-lab.com
O17 - HKLM\System\CS2\Services\Tcpip\..\{1A96B046-A070-4D70-BC4D-5F9817FE739A}: NameServer = 130.130.9.1
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Canon NetSpot Suite Service - CANON INC. - C:\Program Files\Canon\VDC\AuVdc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

potal · Answer

Salut, j'ai un probleme de lenteur au demarage de mon ordinateur, il affiche les messages suivants: WINDOWS ne trouve pas " Windows\system\lsass.exe " et WINDOWS ne trouve pas " hpzjrd01.dll ", merci pour votre aide.

Lyonnais92 · Answer

Bonjour,

Clique sur ce lien
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
pour télécharger le fichier d'installation d'HijackThis.

Enregistre HJTInstall.exe sur ton bureau.

Double-clique sur HJTInstall.exe pour lancer le programme

Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis

Accepte la license en cliquant sur le bouton "I Accept"

Ferme Hijackthis en cliquant sur la croix rouge en haut à droite de la fenêtre.

Ensuite, fais ceci :    

Télécharge DSS (Deckard's System Scanner de Deckard) sur ton Bureau à partir de ce lien :

    http://www.techsupportforum.com/sectools/Deckard/dss.exe

    Choisis "enregistrer" et "Bureau" comme emplacement.

    Ferme toutes les applications en cours (très important, sinon l'ordi peut planter).

    Double-clique sur dss.exe pour lancer l'outil.

    S'il ne trouve pas HijackThis, clique sur Oui.

    Clique sur OK à chaque fois que cela sera demandé.

    L'analyse finie, un fichier texte s'affichera. Poste son contenu dans ta réponse.
     
    Le rapport se trouve ici : C:\Deckard\System Scanner\main.txt.

potal · Answer

merci de ton soutien, je le fait amintenant.

afideg · Answer

Salut Lyonnais

Allo ? potale ? « je le fait amintenant  ».
==> quand le fais-tu ?

Al.

Fichier douteux " lsass.exe " ==> pro

14 réponses

Discussions similaires