LSASS.EXE ou LEET.EXE

RXJM -  
 Julien -
salut,
Un processus me semble dangereux puisqu'il prend le nom d'un processus windows même dans un dossier différent.
Le fichier indésirable (je croix) : 
LSASS.EXE
nom interne 
LEET.EXE

Réside dans : 
c:\windows\config\

Le fichier windows : 
LSASS.exe [LSA Shell (Export Version)]

La gestionnaire de tâches ne peut pas le tuer, alors vous pouvez le faire avec KillProcess v5.0.0.5 http://www.koeltzsch.com/Software/Download/KillProcess/KillProcess.zip

Voici un rapport généré par ce logiciel pour ce processus 
Program: c:\windows\config\lsass.exe
Snapshot: 11.08.2007 - 13:37:01

Module            Path                                                                  Version          Date
------------------------------------------------------------------------------------------------------------------------------
advapi32.dll      c:\windows\system32                                                   5.1.2600.2180    19.08.2004 - 19:09:19
clbcatq.dll       c:\windows\system32                                                   2001.12.4414.308 13.12.2006 - 14:50:30
comctl32.dll      c:\windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c036.0.2900.2982    25.08.2006 - 10:51:14
comctl32.dll      c:\windows\system32                                                   5.82.2900.2982   13.12.2006 - 14:54:09
comres.dll        c:\windows\system32                                                   2001.12.4414.258 19.08.2004 - 19:09:21
dnsapi.dll        c:\windows\system32                                                   5.1.2600.2938    13.12.2006 - 14:53:13
gdi32.dll         c:\windows\system32                                                   5.1.2600.3099    08.03.2007 - 17:50:30
hnetcfg.dll       c:\windows\system32                                                   5.1.2600.2180    19.08.2004 - 19:09:27
imm32.dll         c:\windows\system32                                                   5.1.2600.2180    19.08.2004 - 19:09:29
imon.dll          c:\windows\system32                                                   2.70.39.0        11.08.2007 - 13:09:03
kernel32.dll      c:\windows\system32                                                   5.1.2600.3119    16.04.2007 - 18:11:08
lpk.dll           c:\windows\system32                                                   5.1.2600.2180    19.08.2004 - 19:09:31
lsass.exe         c:\windows\config                                                     1.0.0.0          08.08.2007 - 20:54:34
msctf.dll         c:\windows\system32                                                   5.1.2600.2180    19.08.2004 - 19:09:33
msctfime.ime      c:\windows\system32                                                   5.1.2600.2180    19.08.2004 - 19:08:25
msvbvm60.dll      c:\windows\system32                                                   6.0.97.82        05.07.2006 - 23:52:10
msvcrt.dll        c:\windows\system32                                                   7.0.2600.2180    19.08.2004 - 19:09:35
mswinsck.ocx      c:\windows\system32                                                   6.0.81.69        02.08.2007 - 16:53:37
mswsock.dll       c:\windows\system32                                                   5.1.2600.2180    19.08.2004 - 19:09:35
ntdll.dll         c:\windows\system32                                                   5.1.2600.2180    19.08.2004 - 19:09:15
ole32.dll         c:\windows\system32                                                   5.1.2600.2726    13.12.2006 - 14:50:44
oleaut32.dll      c:\windows\system32                                                   5.1.2600.2180    19.08.2004 - 19:09:37
rasadhlp.dll      c:\windows\system32                                                   5.1.2600.2938    13.12.2006 - 14:53:14
rpcrt4.dll        c:\windows\system32                                                   5.1.2600.2794    13.12.2006 - 14:51:24
shell32.dll       c:\windows\system32                                                   6.0.2900.3051    19.12.2006 - 23:49:47
shlwapi.dll       c:\windows\system32                                                   6.0.2900.2995    13.12.2006 - 14:54:01
sxs.dll           c:\windows\system32                                                   5.1.2600.3019    13.12.2006 - 14:54:37
unlockerhook.dll  c:\program files\unlocker                                             not info         07.09.2006 - 19:18:56
user32.dll        c:\windows\system32                                                   5.1.2600.3099    08.03.2007 - 17:50:30
usp10.dll         c:\windows\system32                                                   1.420.2600.2180  19.08.2004 - 19:09:47
vb6fr.dll         c:\windows\system32                                                   5.0.81.69        05.07.2006 - 22:52:10
vbame.dll         c:\windows\system32                                                   2.0.2.5          25.11.1999 - 03:40:50
version.dll       c:\windows\system32                                                   5.1.2600.2180    19.08.2004 - 19:09:47
winrnr.dll        c:\windows\system32                                                   5.1.2600.2180    19.08.2004 - 19:09:47
wldap32.dll       c:\windows\system32                                                   5.1.2600.2180    19.08.2004 - 19:09:47
ws2_32.dll        c:\windows\system32                                                   5.1.2600.2180    19.08.2004 - 19:09:49
ws2help.dll       c:\windows\system32                                                   5.1.2600.2180    19.08.2004 - 19:09:49
wshtcpip.dll      c:\windows\system32                                                   5.1.2600.2180    19.08.2004 - 19:09:49
wsock32.dll       c:\windows\system32                                                   5.1.2600.2180    19.08.2004 - 19:09:49
------------------------------------------------------------------------------------------------------------------------------
KillProcess ==> Version: 5.0  -  Build: 5

Copyright by Kristian Kِltzsch
E-Mail: kristian@koeltzsch.com   -   Internet: www.koeltzsch.com

2 réponses

Réponse 1 / 2
rudyrital Messages postés 6230 Date d'inscription   Statut Membre Dernière intervention   131
 
Tout d'abord Bonjour et bienvenue sur le forum d'entraide COMMENT CA MARCHE


Télécharge HijackThis ici:
http://www.merijn.org/files/hijackthis.zip
ou ici :
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html

Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Démo : (Merci a Balltrap34 pour cette réalisation)
http://perso.orange.fr/rginformatique/section%20virus/Hijenr.gif

Lance le puis:
clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum

Démo : (Merci a Balltrap34 pour cette réalisation)

http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm


Bon courage
A+
0
RXJM
 
Salut,
J'ai déjà utilisé HijackThis, c'est vraiment le meilleur, mais ce que je dis c'est que j'ai déjà supprimé ce fichier qui est surement inutile (donc son démarrage est dangereux), il démarre depuis la clé suivante : 
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell


En plus n'est pas détecté comme virus, malware, spyware,... par Avira Personal Edition et même avec ESET NOD32 Antivirus (les deux à jour)
merci encore
@+
0
Réponse 2 / 2
Julien
 
salut, il semblerait que j'aie le meme probleme. lsass.exe dans le fichier cinfig du repertoire windows. de plus l'application tente de communiquer avec le web sous forme d'une autre application nommée "update". voici ce que j'ai pu trouver sur le sujet.

http://www.sophos.com/security/analyses/trojadclickag.html
0

Discussions similaires

comment supprimer lsass.exe!!
Deud -
dispatch -

13 réponses
virus ?!
maxxii -
maxxii -

11 réponses
spywar
stephane74 -
stephane74 -

4 réponses
APPEL AUX PRO : VIRUS !!
Tatiana77 -
Jiminsk -

27 réponses
au secours un virus trés con
khlifi.hamza -
khlifi.hamza -

12 réponses