Virus lsass.exe ! [Résolu/Fermé]

Signaler
-
Messages postés
21123
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
-
Bonjour!
Bon voilà je me permets de vous solliciter car j'ai une amie qui vient de choper un ver je pense.
Pour ceux qui se souviennent du fameux verblaster, ben cette fois c'est la même. Voici le problème:
A chaque connexion internet, a ubout d'un délais de trois minute max, elle a le droit à une fénêtre lui disant ke le système d'exploitation doit redémarrer. L'exe en cause cette fois si situe dans le fichier syst32 de windows et c'est le "lsass.exe" donc à priori ce n'est pas le verblast mais un autre. De plus ce n'est pas le rcp en cause cette fois, c'est "l'Autorité nt/system".
Voilà est ce qu'une personne pourrait donc me fournir une adresse web ou je puisse retrouver la démarche à suivre pour éliminer le virus, sans pour autant réinstaller windows.
Merci d'avance pour l'aide que vous pourriez me fournir!
Vous pouvez à votre guise m'envoyer la réponse par mail ou bien sur le forum au choix (j'avoue une préférence par mail mais je viendrais de toute façon sur le forum)

61 réponses

Messages postés
113
Date d'inscription
mardi 9 octobre 2001
Statut
Membre
Dernière intervention
21 juin 2009
56
Le virus n'est pas LSASS.exe !
NE LE SUPPRIMEZ PAS !

Le virus s'appelle sasser.
Voici quelques informations à son sujet

===========================
NOMS ET ALIAS DU VER :
Sasser (Panda Software)
Sasser.A (CA)
Sasser (F-Secure)
W32/Sasser.worm (Mc Afee)
W32/Sasser-A (Sophos)
W32.Sasser.Worm (Symantec)
WORM_SASSER.A (Trend Micro)
Bat.Sasser.a

SYSTEME(S) CONCERNE(S) :
Windows 2000
Windows XP
Windows NT
Windows 2003

1/ INFORMATIONS ET DETAILS :

Sasser est un virus qui se propage via le réseau. Si une machine connectée à Internet n'est pas à jour dans ses correctifs ni protégée par un pare-feu correctement configuré, Sasser l'infecte via le port TCP 445 en utilisant la faille LSASS de Windows : le virus provoque le téléchargement d'un fichier AVSERVE.EXE, Avserve2.exe dans le répertoire Windows via FTP et le port TCP 5554, puis son exécution à distance sans aucune intervention de l'utilisateur.

Une fois l'ordinateur infecté, le virus se copie dans le répertoire Système sous des noms variables ([nombre aléatoire]_up.exe), modifie la base de registres pour s'exécuter à chaque démarrage, puis lance 128 processus simultanés afin de balayer le réseau à la recherche de nouvelles machines vulnérables. L'exploitation de la faille LSASS par le virus rend le système instable, d'où un plantage de LSASS.EXE (et non ISASS.EXE) et un redémarrage automatique du système (message d'erreur : "LSA Shell has encountered a problem and needs to close. We are sorry for the inconvenience").

Sous Windows XP, un message d'erreur s'affiche à l'initiative de Autorite NT\System, puis l'ordinateur redémarre automatiquement après 60 secondes. Si ce délai ne vous laisse pas le temps de télécharger le correctif, il est possible de stopper le compte à rebours et d'annuler le redémarrage automatique en procédant de la manière suivante : cliquez sur le bouton "Démarrer", sélectionnez "Exécuter...", entrez " shutdown -a " puis cliquez "Ok" (cette opération n'est valable que pour Windows XP). Le virus créé enfin un fichier C:\WIN.LOG où il consigne l'adresse IP de la dernière machine infectée ainsi que le nombre total de machines contaminées.

Une propagation massive de Sasser et d'éventuelles variantes pourrait causer des perturbations similaires à celles engendrées par le virus Blaster en août 2003, en rendant notamment difficile voire impossible l'accès à certains sites web. La mise à jour des machines sous Windows NT, 2000, XP et 2003 est donc impérative pour combler la faille LSASS exploitée par le virus, mais aussi par divers outils de piratage à distance actuellement en circulation.

2/ PREVENTION :
Les utilisateurs concernés doivent mettre à jour leur antivirus Panda avec le PAV.SIG d'aujourd'hui. En cas de doute, les utilisateurs de Windows NT, 2000, XP et 2003 doivent également mettre à jour leur système avec ces differents patchs : KB 835732 ( http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx ) KB 828741 ( http://www.microsoft.com/technet/security/bulletin/MS04-012.mspx ) KB 837001 ( http://www.microsoft.com/technet/security/bulletin/MS04-014.mspx ) Grace à ces patchs, dix-neuf vulnérabilités dont sept de niveau critique seront corrigées dans divers composants ou services de Windows XP, 2000, NT 4.0 et 2003 (LSASS, LDAP, PCT, Winlogon, Metafile, Help and Support Center, Utility Manager, Windows Management, Local Descriptor Table, H.323, Virtual DOS Machine, Negotiate SSP, SSL et ASN.1 ?Double Free?). Ces vulnérabilités peuvent permettre à une personne malveillante d'exécuter le code de son choix et de prendre le contrôle à distance de l'ordinateur de sa victime ou à un virus de s'exécuter automatiquement à l'insu de l'utilisateur.

3/ DESINFECTION :
Avant de commencer la désinfection, il est impératif de s'assurer avoir appliqué les mesures préventives ci-dessus afin d'empêcher toute réinfection de l'ordinateur par le virus. Les utilisateurs disposant d'un antivirus peuvent l'utiliser en analyse à la demande si celui-ci est bien à jour.


Des informations supplémentaire seront disponible sur le site web (en Anglais):
http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?idvirus=46865
http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?idvirus=46875
================================

Comme d'habitude avec ces petits virus qui rebootent vot système,
faut connaître l'astuce anti-reboot.
Dès que la fenêtre indiquant que le système va s'arrêter s'affiche, voilci ce que vous devez faire :
- Cliquez sur démarrer. Le menu s'affiche.
- Cliquez sur exécuter
- Tapez 'cmd' et cliquez sur 'OK'. La fenêtre dite 'de commande' s'affiche.
- Tapez l'instruction suivante : shutdown -a

Et voilou, vous pouvez continuer.

Bonne désinfection
41
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 60511 internautes nous ont dit merci ce mois-ci


Bonjour,

Chapeau pour votre aide sur le virus lsass.exe, super complète et super efficace. Encore un tout grand merci.

Petite question : quand j'ai eu fini de mettre les 3 patchs que vous conseillez j'ai lancé 2 anti virus mais aucun n'a décelé de virus. Alors que je n'ai plus le problème?
En mettant les patchs on supprimait d'office ce virus??
Je voudrais comprendre, même si je ne suis pas un fou d'ordinateur

Merci si vous savez me répondre et encore une fois félécitations pour votre explication
Bonne soirée
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
320 > Jean-Paul HARDY
salut
en mettent les patch tu ne supprime pas le virus il evite la reinfection
passe ceci il s occupe de toutes les versions de sasser
alors action numero 1
telecharger ce fichier : a retelecharger chaque fois que vous vouler l utiliser

ftp://www.renonce.com/pub/renonce/Rimouveur.exe

Action numero 2 :o)
Demarrer en mode sans echec :
tapotter sur la touche F8 sans arret desque tu allume ton PC
et si ca ne marche pas utiliser la touche f5 a la place
Appliquer le fichier dans le mode sans echec
le PC redemarre a la fin si c'est pas le cas tu fais un reboot tu ne touche plus a F8 et le PC reviendra tout seul en mode normal sans les virus

Action numero 3
copier ici le contenu du fichier resulata.txt qui se trouve au redemarrage du pc



--------------------
mes vrai passion la chasse et le balltrap
>
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009

bonsoir g lu le resultat de ton analyse il se trouve que g un Isaas.exe dans mes processus mais mon pc ne plante pas est ce que le devrai supprimer 'Isaas.exe'? et en plus je ne suis pas un grand connaisseur dans ce metier je dis bien ce metier cad c pas mon fort une reponse serait la bienvenue merci d avance

salut mec

moi j'ai le meme virus mais par contre le fameux lsass.exe s'affiche au demarrage de windows et ne fais que redemarer sans aller sur windows et j'ai essayer le sans echec et derniere bonne configue mais toujour pareil donc je ne peut plus aller dans mon ordi. que puive faire? atu une solution stp?merci
Messages postés
7452
Date d'inscription
jeudi 30 novembre 2006
Statut
Contributeur
Dernière intervention
18 août 2012
1 332 > nsilvestre56
bonjour apparement t'es infecté par le vers sasser :


1. arreter le compt a rebours

Dans la barre des tâches en bas de votre écran, cliquez sur Démarrer puis Exécuter.
Saisissez « cmd », puis cliquez sur OK.
A l'invite de commande, saisissez « shutdown.exe -a », puis appuyez sur ENTRÉE.



2. installer un parfeu

Kerio (parefeu)

https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html


tuto

http://www.malekal.com/kerio_firewall.php


3.mise a jour windows
va sur ce site et installes toute les mise a jour prioritaire

http://update.microsoft.com/windowsupdate/v6/default.aspx?ln=fr


4. faire un scan antivirus

lance ton antivirus si t'en a pas installes avast

Avast (antivirus)
https://www.clubic.com/telecharger-fiche11113-avast-antivirus-gratuit.html

tutorial
https://forums.cnetfrance.fr


plus d'info :
http://www.microsoft.com/france/securite/alertes/sasser_printxp.aspx
a+++
Messages postés
79621
Date d'inscription
samedi 24 août 2002
Statut
Modérateur
Dernière intervention
23 octobre 2020
4 362
Salut.
Oui c'est nouveau.
Alors => http://www.commentcamarche.net/forum/affich-707174-eradiquer-sasser
et surtout : mise à jour WindowsUpdate !!!
A+

-=O(_BmV_)O=-  L'amour comme épée,
      ||       ||       l'humour comme bouclier. 
Messages postés
4
Date d'inscription
samedi 24 avril 2004
Statut
Membre
Dernière intervention
3 mai 2004

Bon tout d'abord, je tiens a vous remercier pour votre aide à tous!
Merci avec ces infos je devrai pouvoir eliminer ce virus.
Bon alors par contre normalement si vous avez un os windows98 il devrait pas etre toucher par ce genre de virus mais bon on est jamais sur a cent pour cent avec ces trucs.
Ensuite pour ceux ki ne savent pas si le virus est bien ou non eliminer et k'il ne veulent pas se connecter sur internet suivez les consignes de tristesobre.
Merci encore
Messages postés
113
Date d'inscription
mardi 9 octobre 2001
Statut
Membre
Dernière intervention
21 juin 2009
56
Salut tous le monde !


Bon, mon post datait un peu... Y'a beaucoup de nouvelles variantes de sasser depuis...



========MaNiAc.bOi================
MaNiAc.bOi, tu as Windows XP service pack 1 je pense (c'est le cas pour 99% des utilisateurs chez eux), sinon, tu le saurais ;-)
===============================


=======Katty=======
Les virus infectent des fichiers qui sont déjà sur ton ordi. Ce qui implique :
- que les fichiers peuvent parfois être 'réparés'.
- Que le fichier virus lui même (THE fichier original), lui, est le virus... Pas moyen de le réparer : il faut le supprimer...

Je ne connais pas super bien Norton, néanmoins je pense que c'est le sens des mots que tu nous rapportes.
Tu peux donc supprimer ce fichier manuellement, ou parametrer ton antivirus pour qu'il fasse des opérations de suppression plutôt que de réparation, par exemple.
===============================

===== Difficultés à faire les mises à jour ? ====
Suggestion : démarrez Internet Explorer.
Dans le menu Outils, Cliquez sur 'Windows Update'.
Laissez vous guider et surtout, revenez systématiquement vérifier que toutes les mises à jour ont été installé après chaque installation.
================================

========A TOUS========
Un conseil en passant à toutes celles et ceux qui ont des problèmes de ce genre : INSTALLEZ UN FIREWALL !!!

Un virus comme Sasser / Blaster (etc...) lance une attaque. L'attaque provoque le redémarrage du PC (plantage / compte à rebours autorité NT blah blah blah). Mais cette attaque a été initiée depuis un AUTRE PC sur le réseau. Ca ne signifie pas nécessairement que le virus est sur votre ordinateur ! Cela peut signifier __aussi__ que le virus a lancé une attaque contre votre ordinateur.

Si, une fois le firewall installé, vous n'avez plus ce problème, c'est probablement parce que le virus n'est pas sur votre ordinateur... Votre ordinateur a seulement subi la charge d'une attaque réseau.

AUTREMENT DIT : Installez un firewall (pare-feu).

======================

Lemonin, peux tu m'indiquer :
- Quel windows sur ta bécane
- Le message EXACT de l'erreur


Cordialement,
Tristesobre.
Bonjour Tristesobre,
Mois aussi j'ai le même pb (Msn messenger ne marche plus...)
Peut-tu m'aider?

Je suis sous Windows XP
Et le message est :

Arret du système
le prcessus système 'C:\WINDOWS\system32\lsass.exe'
s'est terminé de manière inattendue avec le code d'état
-1073741819. Le système va maintenat s'éteindre et redemarrer.

______________________________________________________

Et quand je ve redemarrer l'ordi, il n'y a pas l'icone pour l'éteindre
on ne peut que fermer la session
> frank
Bonjour Franck,
j'ai aussi le meme message d'erreur d'Isaas.exe.
as tu trouvé une solution?
merci de ta reponse.
> frank
Bonour
J'ai eu récemment ce problème
Il s'agissait d'un avatar de l'erreur de connection 720
Voir mes réponses en cherchant "erreur 720"
lsass.exe est un fichier système à ne pas supprimer

salut pour le bloquer tu mee zone alarme et tu telecharge la mise a jour de xp
'lut,

j'ai aussi un probleme avec lsass mais il ne s'agit pas de "Sasser", mais de "download.trojan". Norton Antivirus n'arrive pas a reparer et une des solutions du site Symantec est d'effacer le fichier infecté.
Et c'est la que j'ai un doute, je suis sous win98, lsass.exe n'apparait-il pas uniquement a partir de win2000? Du coup, mon lsass.exe (25 ko dans repertoire "C:\Windows") pourrait-il etre le virus lui meme?

merci
Messages postés
2
Date d'inscription
lundi 3 mai 2004
Statut
Membre
Dernière intervention
3 mai 2004

alors en fait j'ai installe tous les KB, mais comment savoir si mon ordinateur est encore infecté ? ...et si il l'est comment faire pour supprimer ce sasser A7B?
Personnelement c tres bizarre chez moi...
G les memes erreurs. G pas de _up des mon processus ni de avserve.exe. Ni de win.log ds c: Commebcp je peux pas utiliser msn.
ET KAn j'utilise fixsasser ou ke je fias une analyse antivirus il ne me trouve rien .... bizarre non?
Quelqu'un sait ce ke c?
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
320
salut
a tu skynetave.exe s oui sasser version D
je c tjrs pas ce ke g les meme symptones ke sasser ms g rien ki me le detect ....
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
320
salut
pour supprimer ces fichiers il faut le faire en mode sans echec

Bonjour
Une précision: il ne faut pas confondre lsass.exe et Isass.exe. Avec la police de caractères Arial, les deux caractères se confondent.
assayer tous zone alarm pro c du beton
Messages postés
21123
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 290
salut

Crée ton propre poste

a+
J'ai le même problème!

Mais je n'ai tjs pas trouvé de solution! =(
je ne put rien télécharger pour supprimer isass.exe puisque je ne peut pas acceder aux mises à jours

s'il vous plait aidez moi

Merci d'avance
slt
pour areter le processus de descompte tape dans demarer/ executer shutdown-a et ok le systeme sera en pose et tu porras allez sur internet
a+
Désolé Tristesobre, mais étant sous Windows 98, je pense pas que ce soit Sasser, et de toute façon Norton me le detecte sous Download.trojan.
Le probleme est que Norton n'arrive pas à me réparer lsass.exe et me conseille de le remplacer par une copie saine, mais je ne sais pas ou la récupérer. J'ai un ghost de Windows 98, mais je ne trouve pas de fichier lsass.exe dedans d'où ma question sur l'existence de lsass.exe sous win98.