Bonjour à tous,  
 
Voilà, avant hier sur en jouant à Guild Wars, ds le canal de discussion général, j'ai vu un message s'afficher en anglais qui proposait de visiter une page internet.
 
Sur ce site, 3 programmes en libre téléchargement, suposés pouvoir fournir autant de pièces d'or que désirés, dupliquer les objets, et rendre invincible.  
Alléché ms méfiant, je n'ose pas télécharger.
 
Hier j'y retourne, et je teste. Rien en se passe, puis je redémarre. Depuis, me voilà coincé avec mon PC. Je ne peux plus lancer mes programmes autrement qu'en faisant un clic droit dessus et en faisant "éxécuter en tant que: utilisateur actuel".
 
Mon antivirus (Bitdefender) ne trouve rien, ms je pense avoir été victime d'un hijacker.
Spybot ne trouve rien, par contre Adaware trouve quelque chose, qu'il tente de mettre en quarantaine, ms qui appararemeent n'y parvient pas (la barre de progression se fige lorsqu'elle arrive au bout).  
Apparement la position du fichier en cause est: exefile\shell\open\command "" ("lsass.exe "%1" %*)
 
J'ai aussi lancé Hijackthis qui m'a sorti ce rapport (si ça peut vous aider à m'aider  ):
-----------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 01:42:18, on 22/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Softwin\BitDefender9\vsserv.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\progra~1\softwin\bitdef~1\bdnagent.exe
C:\Program Files\Softwin\BitDefender9\bdoesrv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\progra~1\softwin\bitdef~1\bdswitch.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\Matoneo\Bureau\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Matoneo] lsass.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\RunOnce: [Matoneo] lsass.exe /RunOnce
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
--------------------------------------------------------------
 
Pour tout vous dire, je sais pas du tout, comment me servir des information que Hijackthis m'a fourni...    
Tout ce que je sais c'est que ce fichier "lsass.exe" je le sens pas. Et bizarrement je l'ai remarqué presque aussitôt. Avec son p'tit frère "lsassD.exe" également. Tous les 2, me paraissent louches désormais (alors que je sais que ce sont des fichiers essentiels).
J'ai vu beaucoup de sujets qui lient "lsass.exe" au virus Sasser, ms ds mon cas je n'y crois pas trop; j'ai scanné mon disque dur à l'antivirus, et il n'a rien trouvé.
 
Au final, ce n'est pas TRES gênant, j'arrive à presque tout faire en rusant un peu, mais je n'aime pas l'idée d'avoir choppé un truc sur mon pc, sans savoir ce qu'il peut faire. Je suppose que c'est pr collecter des infos personnelles sur moi (les sites visités, voir mes mots de passe, etc...)
 
Je n'arrive pas à m'en sortir, et j'ai l'impression que la seule solution sera le formatage....
 
Alors si vous avez des solutions alternatives à me proposer, c'est le moment, et surtout ne tombez pas ds le panneau comme moi....
 
Un GRAND merci d'avance à tous les passionnés, qui savent sortir les novices comme moi, des situations les + tordues.

Bonjour,
 
Lance HijackThis, scan et coche:
 
O4 - HKLM\..\Run: [Matoneo] lsass.exe
 
O4 - HKLM\..\RunOnce: [Matoneo] lsass.exe /RunOnce  
 
Ferme toutes les fenêtres puis Fix checked.
 
Redémarre et dis ce qu'il en est.
 

tout ce qui contiene Matoneo semble louche.

J'y avais pas pensé, mais oui, forcément, tout ce qui contient le nom "Matoneo" est louche.
Ceci étant dit j'ai lancé Hijackthis, et je n'ai trouvé que:  
 
O4 - HKLM\..\Run: [Matoneo] lsass.exe  
 
Je l'ai donc coché, fermé ttes le fenêtre, puis fix checké.
J'ai redémarré, et ça n'a rien changé; j'ai toujours les mêmes symptomes.
 
J'ai donc relancé, un Hijackthis, et là, il n'y a plus de "lsass.exe" ds les parages. Dans le gestionnaire de tâches par contre oui, mais ça me semble normal ça.
Adaware, repère toujours un fichier louche, dont il n'arrive pas à se débarrasser.

Dans l'absolu, le processus lsass.exe n'a rien d'anormal, c'est un process de sécurité de windows : http://www.commentcamarche.net/pro [...] s-exe.php3
 
En revanche, il sert de porte à Sasser. Cela dit, Sasser ne bloque pas le lancement des exe si je ne m'abuse, il fait plutôt rebooter le PC en chaine, planter le fameux process lsass.exe et il créé du traffic réseau sur je sais plus quels ports (puisqu'il s'auto upload sur des bécanes non protégées). Bref, ton truc ressemble pas à Sasser, et dans l'ensemble, je pense pas que ça vienne de lsass.exe. Maintenant, d'où ça vient, je sais pas non plus

Oui, je sais que le processus lsass.exe n'a rien d'anormal, mais pourquoi était il lié à mon pseudo (que j'utilise sur messenger, et Guild Wars) dans Hijackthis?
Ok, donc c'est bien ce que je pensais, ce n'est pas lié à Sasser donc.
 
Et ce qui me turlupine aussi maintenant, c'est pourquoi adaware n'arrive pas à mettre en quarantaine ce qu'il trouve...

lance Hijackthis en mode sans echec ... evidement.

Bon ben j'ai trouvé une solution, merci de vous être inquiétés pr moi.... lol
 
J'ai relancé windows en mode sans échec (F8 au démarrage pr les novices) et j'ai relancé, Hijackthis, Spybot, et Adware.
Et là! Bizarrement, Spybot m'a trouvé une 20aine de fichiers à supprimer, et Adaware en a trouvé autant.
 
Je redémarre, et depuis tout fonctionne )
 
Le soucis provenait donc d'un programme espion, qui s'était fixé sur "lsass.exe", fichier qui lui est innofensif et même essentiel à votre PC.
 
 
Je vous remercie donc tous, tous vos conseils m'ont bien aidé, et ce qui a été l'élément "coup de grâce" était le dernier message de Z_cool; car en redémarrant en mode sans échec, les 2 logiciels anti espions ont bien fait leur taf.
 
Encore une fois MERCI !!  

"lsass.exe"  mise à jour  
 
http://www.microsoft.com/technet/s [...] 4-011.mspx
 
MS04-011 =>   2.1 version (10/8/2004)
 
@+