Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1084 connectés 

 

 

 Mot :   Pseudo :  
 
 Page :   1  2  3  4  5  6  7  8  9  10  11  12  13
Auteur Sujet :

[hotfix] Vers et virus : Sasser et Gaobot ! Reboot à cause de LSASS ?

n°1551017
moard
En colère.
Posté le 03-05-2004 à 07:51:43  profilanswer
 

Reprise du message précédent :
 :sweat:

mood
Publicité
Posté le 03-05-2004 à 07:51:43  profilanswer
 

n°1551026
samlion
Posté le 03-05-2004 à 08:13:03  profilanswer
 

Allez voici un gars de plus qui est mal barré....c'est MOI !!!
 
Mon PC tourne avec 2 DD avec Windows XP installé sur chaque disque.
J'utilise toujours le disque F: et ça a commencé à merder depuis 1 semaine environ avec mise à jour de Trend Micro impossible.
Je me suis pas trop inquiété et mal m'en a pris....ça s'est dégradé petit à petit jusqu'à samedi matin où gros bug avec redémarrage imposé avec même message que page 1 expliquée par requin.
Depuis quand je redémarre sur F:, j'arrive jusqu'à mon bureau où il n'y a plus d'icones et rien ne se passe...
Quand je démarre en mode sans échec, tout est normal.
 
J'ai démarré sur C:, j'ai fait mis à jour Trend Micro et AdAware + correctif windows: pas de problème: une cinquantaine de spyware et 2 virus qu'il me nettoie sans problème.
J'ai effectué les suppressions comme indiqué mais aucune trace de avserve.exe. J'ai uniquement trouvé et supprimé 24290_up.exe
 
J'aimerais savoir si je suis intervenu trop tard car malgré tous ces changements, je n'ai toujours rien quand je démarre sur le disque habituel alors qu'en mode sans échec c'est ok.
 
Alors formatage ou il reste une chance ??????????????

n°1551050
hibakusha
Life owned me
Posté le 03-05-2004 à 09:00:33  profilanswer
 

Pour ma part, je comprends pas quelque chose...
J'ai un processus Lsass.exe qui tourne, sinon je n'ai aucun symptome décrit au début.
J'ai un soft qui me permet de kill une application, même celle qui sont << bloquées >>, si je l'applique sur Lsass.exe, c'est seulement à ce moment que le reboot ce déclanche.
http://www.rathgeb.org/temp/sasser_a.gif
 
Après, j'ai fait une recherche google et je trouve ça sur ce site

Citation :

Lsass.exe  
Il s'agit du serveur local d'authentification de sécurité, il génère le processus responsable de l'authentification des utilisateurs par le service Winlogon. Ce processus est permis par l'utilisation de
packages d'authentifications comme msgina.dll. Si l'authentification est réussie, Lsass génère le jeton d'accès de l'utilisateur qui est utilisé pour lancer le shell initial. D'autres processus que l'utilisateur peut lancer vont hériter de ce jeton.


 
Donc en clair, j'ai stressé et perdu mon dimanche après-midi entier pour rien ? Parce que;
- j'ai appliqué shutdown.exe juste après avoir fermer lsass.exe
- j'ai effacé tout ce que je trouvais dans le registre qui portait le nom "lsass".
- je ne pouvais plus éteindre mon pc, j'ai pensé que c'était shutdown.exe, je l'ai effacé.
- J'ai redemarré, mon pc restait bloqué au message qui apparait juste avant la fenêtre qui me permet de me logger avec un mot de passe (eh oui, j'avais effacé toutes les clefs en rapport avec lsass.exe dans le registre...)
- J'ai du réparer mon win2k avec le cd pour pouvoir me logger.
- Je ne sais pas pourquoi, ça a modifié mon installation d'Office que j'ai du réinstaller (impossible d'ouvrir un fichier *.doc!)
 
 :sweat: ...
 
Hibakusha


Message édité par hibakusha le 03-05-2004 à 09:09:19
n°1551087
phosphorus​68
Pseudo à n°
Posté le 03-05-2004 à 09:36:48  profilanswer
 

Hibakusha a écrit :

- Je ne sais pas pourquoi, ça a modifié mon installation d'Office que j'ai du réinstaller (impossible d'ouvrir un fichier *.doc!)
 
 :sweat: ...
 
Hibakusha


(Il fallait regarder pour 'lsass' sur Google AVANT de faire quoi que ce soit ;) M'enfin je crois que t'as remarqué maintenant ...)
 
Si tu as le moindre problème pour ouvrir des *.doc après remise en état du système et d'Office, n'hésite pas à me PM (edit: MP), j'ai une longue habitude avec Word et des étudiants stressés le jour d'un exam de perdre leur doc  [:ddr555]


Message édité par phosphorus68 le 03-05-2004 à 09:37:11
n°1551107
darkforce
Posté le 03-05-2004 à 09:54:30  profilanswer
 

y'a en marre de windows c'est pas possible un OS avec autants de failles je retourne sur unix

n°1551126
Profil sup​primé
Posté le 03-05-2004 à 10:12:38  answer
 

Hibakusha a écrit :

Pour ma part, je comprends pas quelque chose...
J'ai un processus Lsass.exe qui tourne, sinon je n'ai aucun symptome décrit au début.
J'ai un soft qui me permet de kill une application, même celle qui sont << bloquées >>, si je l'applique sur Lsass.exe, c'est seulement à ce moment que le reboot ce déclanche.
http://www.rathgeb.org/temp/sasser_a.gif
 
Après, j'ai fait une recherche google et je trouve ça sur ce site

Citation :

Lsass.exe  
Il s'agit du serveur local d'authentification de sécurité, il génère le processus responsable de l'authentification des utilisateurs par le service Winlogon. Ce processus est permis par l'utilisation de
packages d'authentifications comme msgina.dll. Si l'authentification est réussie, Lsass génère le jeton d'accès de l'utilisateur qui est utilisé pour lancer le shell initial. D'autres processus que l'utilisateur peut lancer vont hériter de ce jeton.


 
Donc en clair, j'ai stressé et perdu mon dimanche après-midi entier pour rien ? Parce que;
- j'ai appliqué shutdown.exe juste après avoir fermer lsass.exe
- j'ai effacé tout ce que je trouvais dans le registre qui portait le nom "lsass".
- je ne pouvais plus éteindre mon pc, j'ai pensé que c'était shutdown.exe, je l'ai effacé.
- J'ai redemarré, mon pc restait bloqué au message qui apparait juste avant la fenêtre qui me permet de me logger avec un mot de passe (eh oui, j'avais effacé toutes les clefs en rapport avec lsass.exe dans le registre...)
- J'ai du réparer mon win2k avec le cd pour pouvoir me logger.
- Je ne sais pas pourquoi, ça a modifié mon installation d'Office que j'ai du réinstaller (impossible d'ouvrir un fichier *.doc!)
 
 :sweat: ...
 
Hibakusha


 
 
 
lsass.exe est un process de windows,pas un virus !!!
le virus l attaque et le fait planter,tu peux ni effacer lsass ni l arreter ,sinon reboot [:aras qui rit]


Message édité par Profil supprimé le 03-05-2004 à 10:21:52
n°1551154
Profil sup​primé
Posté le 03-05-2004 à 10:25:08  answer
 

c est sur le port 445 que le ver attaque :??:  
j me suis mangé 150 tentatives en 20 minutes [:aras qui rit]

n°1551173
minipouss
un mini mini
Posté le 03-05-2004 à 10:37:30  profilanswer
 

oui c'est ce port là :D

n°1551183
blackdeath
Posté le 03-05-2004 à 10:42:37  profilanswer
 

chui désolé mais là .. tape "firewall" sur google .. et t'auras tout ce que tu veux


---------------
Il n'y a que 10 types personnes dans le monde de l'info: ceux qui comprennent le binaire, et ceux qui ne le comprennent pas...
n°1551198
Lancelot**
All I do is kiteboarding
Posté le 03-05-2004 à 10:54:38  profilanswer
 

darkforce a écrit :

y'a en marre de windows c'est pas possible un OS avec autants de failles je retourne sur unix


 
c'est pas Windows le fautif mais plutôt ses utilisateurs qui ne font pas le moindre effort pour se protéger un minimum!!!  :o


Message édité par Lancelot** le 03-05-2004 à 10:55:55
mood
Publicité
Posté le 03-05-2004 à 10:54:38  profilanswer
 

n°1551199
Lancelot**
All I do is kiteboarding
Posté le 03-05-2004 à 10:55:23  profilanswer
 

Un simple firewall suffit à bloquer le virus...


Message édité par Lancelot** le 03-05-2004 à 10:57:02
n°1551200
Lancelot**
All I do is kiteboarding
Posté le 03-05-2004 à 10:55:37  profilanswer
 

oups

n°1551231
samlion
Posté le 03-05-2004 à 11:13:37  profilanswer
 

samlion a écrit :

Allez voici un gars de plus qui est mal barré....c'est MOI !!!
 
Mon PC tourne avec 2 DD avec Windows XP installé sur chaque disque.
J'utilise toujours le disque F: et ça a commencé à merder depuis 1 semaine environ avec mise à jour de Trend Micro impossible.
Je me suis pas trop inquiété et mal m'en a pris....ça s'est dégradé petit à petit jusqu'à samedi matin où gros bug avec redémarrage imposé avec même message que page 1 expliquée par requin.
Depuis quand je redémarre sur F:, j'arrive jusqu'à mon bureau où il n'y a plus d'icones et rien ne se passe...
Quand je démarre en mode sans échec, tout est normal.
 
J'ai démarré sur C:, j'ai fait mis à jour Trend Micro et AdAware + correctif windows: pas de problème: une cinquantaine de spyware et 2 virus qu'il me nettoie sans problème.
J'ai effectué les suppressions comme indiqué mais aucune trace de avserve.exe. J'ai uniquement trouvé et supprimé 24290_up.exe
 
J'aimerais savoir si je suis intervenu trop tard car malgré tous ces changements, je n'ai toujours rien quand je démarre sur le disque habituel alors qu'en mode sans échec c'est ok.
 
Alors formatage ou il reste une chance ??????????????


 
 
Personne pour me redonner un peu d'espoir ????

n°1551243
minipouss
un mini mini
Posté le 03-05-2004 à 11:20:28  profilanswer
 

tu as regardé la première page de ce sujet? Requin à mis à jour toutes les infos et les liens pour les outils de suppression du virus. Sasser écrit des trucs dans la base de registre donc faut virer ça aussi, pas que les processus qui tournent.

n°1551271
Phod
Glouloulou ?
Posté le 03-05-2004 à 11:36:57  profilanswer
 

... il semblerai que le patch bugouille sous certaines conditions avec Win2000 :/
=> http://www.k-otik.com/news/04302004.MS04-011.php


Message édité par Phod le 03-05-2004 à 11:37:12

---------------
Signatures aux choix Votez:  O - Le python c'est bon, mangez-en  O - L'abus de forum rend dependant, postez avec modération
n°1551278
primseven
.... LET'S GO EXPLORING!
Posté le 03-05-2004 à 11:40:35  profilanswer
 

UP

n°1551293
com21
Modérateur
real men don't click
Posté le 03-05-2004 à 11:57:19  profilanswer
 

Phod a écrit :

... il semblerai que le patch bugouille sous certaines conditions avec Win2000 :/
=> http://www.k-otik.com/news/04302004.MS04-011.php


 
 

Trois drivers ont été identifiés (Ipsecw2k.sys, Imcide.sys, Dlttape.sys), ils sont liés au client Nortel Networks VPN combiné à une configuration spécifique dans IPSec Policy Agent. D'autres combinaisons de drivers peuvent être la cause de ces ralentissements, la combinaison et l'implication de certains facteurs sont en cours d'identification.


 
En clair si on utilise pas le VPN on peut l'installer sans crainte, après ça dépend.


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
n°1551299
Phod
Glouloulou ?
Posté le 03-05-2004 à 12:02:05  profilanswer
 

c'est le 'apres ca depend' le probleme...
enfin pour l'instant ca va j'ai l'impression que personne ici n'a encore eu le probleme :)


---------------
Signatures aux choix Votez:  O - Le python c'est bon, mangez-en  O - L'abus de forum rend dependant, postez avec modération
n°1551301
Profil sup​primé
Posté le 03-05-2004 à 12:02:54  answer
 

Moi je suis derriere un firewall (IpCop) sous XP Pro et j'ai eu aucun problème, j'ai meme pas d'antivirus... j'ai foutu le patch et j'espere ne rien choppé, franchement foutez un ptit firewall, avant j'avais Outpost... Essayez le..

n°1551304
com21
Modérateur
real men don't click
Posté le 03-05-2004 à 12:05:26  profilanswer
 

autand foutre le patch quand il est sortit ;)


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
n°1551306
samlion
Posté le 03-05-2004 à 12:08:59  profilanswer
 

Mon problème réside principalement dans le fait que quand je reboot, je tombe sur mon bureau sans icônes, sans barre des tâches, sans "démarrer" ......   alors que tout ça fonctionne bien en mode sans échec....
 
Je ne sais pas, peut-être que ça n'a rien à voir avec les incidents de ce we et que je ne suis pas dans le bon post mais j'ai quand même des doutes..... (et j'en ai surtout marre de tout formater tous les 3 mois en empruntant un DD externe à un pote pour sauvegarder mes fichiers) ...
 
NB: c'est promis dès que ça marche, je colle un firewall

n°1551307
Profil sup​primé
Posté le 03-05-2004 à 12:10:05  answer
 

les firewall logiciels ca roxx ,ca arrete meme les troyens [:aras qui rit]

n°1551313
Profil sup​primé
Posté le 03-05-2004 à 12:12:20  answer
 

samlion a écrit :

Mon problème réside principalement dans le fait que quand je reboot, je tombe sur mon bureau sans icônes, sans barre des tâches, sans "démarrer" ......   alors que tout ça fonctionne bien en mode sans échec....
 
Je ne sais pas, peut-être que ça n'a rien à voir avec les incidents de ce we et que je ne suis pas dans le bon post mais j'ai quand même des doutes..... (et j'en ai surtout marre de tout formater tous les 3 mois en empruntant un DD externe à un pote pour sauvegarder mes fichiers) ...
 
NB: c'est promis dès que ça marche, je colle un firewall


 
moi je formate tous les mois et je m en plains pas [:spamafote]
 
j aime bien les systemes propres :love:  
 
tu devrais faire tes sauvegardes sur Cd , on est jamais a l abris d une panne de DD ou d un virus [:dartalmer]

n°1551320
samlion
Posté le 03-05-2004 à 12:17:46  profilanswer
 

Oui mais des sauvegardes de 50 Go sur CD  :(  :(  
 
Le plus chiant c'est de réinstaller tous les programmes que bien sur j'ai sur des cd.

n°1551324
Profil sup​primé
Posté le 03-05-2004 à 12:21:38  answer
 

samlion a écrit :

Oui mais des sauvegardes de 50 Go sur CD  :(  :(  
 
Le plus chiant c'est de réinstaller tous les programmes que bien sur j'ai sur des cd.


 
moi j ai 2 partitions : C:systeme et D:stockage
 
sur la partition de stockage, j ai fait des images de tous les CDS qu il me faudrait utiliser a chaque reinstall (drivers,programmes ) , une fois que j ai installé windows, je monte ca sur lecteur virtuel et hop [:aras qui rit]  
 
y a aussi la solution norton ghost ou drive image, ca va plus vite, bcp plus vite,mais j ai pas :p
 
 
j me tate pour acheter un disque dur externe, pour eviter les virus [:aras qui rit]


Message édité par Profil supprimé le 03-05-2004 à 12:23:10
n°1551329
hibakusha
Life owned me
Posté le 03-05-2004 à 12:27:28  profilanswer
 

@Phosphorus68: tout es rentré dans l'ordre dès que j'ai que j'ai réinstallé Office
 
@Franck75:maintenant je l'ai compris. J'ai aussi compris qu'il faut chercher des infos sur le net avant de faire quelque chose, surtout à propos de virus... mais quelle galère hier !

n°1551330
Yoyo64
Y€$
Posté le 03-05-2004 à 12:27:46  profilanswer
 

AVG se met enfin à l'heure :
http://www.avgfrance.com/
 
et ...
http://www.grisoft.com/us/us_remtext.php?id=bagbugnet ( serveur down présentement )  :whistle:
http://www.avgbrasil.com.br/br_index.phtml?obj_id=331 ( Edit, le Bresil n'est pas encore levé )
 
 
Knoppix 3.4 powered :benetton:


Message édité par Yoyo64 le 03-05-2004 à 12:43:04

---------------
O'.  [ACH] surcapotte Dyane     Nouilles de Yan : CE vendredi 17 mai 2024 @ 19h
n°1551331
Profil sup​primé
Posté le 03-05-2004 à 12:29:37  answer
 

Quand tu t y connais un peu ,tu ne te fais meme pas avoir :D  
 
J comprends pas comment ils ont fait pour se faire avoir dans les grandes entreprises genre AFP, y a aucune securité sur leur reseau :??:  :??:

n°1551333
com21
Modérateur
real men don't click
Posté le 03-05-2004 à 12:34:42  profilanswer
 

franck75 a écrit :

Quand tu t y connais un peu ,tu ne te fais meme pas avoir :D  
 
J comprends pas comment ils ont fait pour se faire avoir dans les grandes entreprises genre AFP, y a aucune securité sur leur reseau :??:  :??:


 
l'attaque vient de l'intérieur :
 
Explication : Les entreprises blindent l'extérieur, avec firewall, proxy, antivirus sur le serveur mail etcc etcc
 
Les commerciaux ont souvent des pc portables, qu'ils utilisent chez des clients, chez eux...  environnement non protégé !
 
Et lundi, vers 10h, ils arrivent à la boite, branche le portable sur le réseau et VLAN :D
 
 
 


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
n°1551334
com21
Modérateur
real men don't click
Posté le 03-05-2004 à 12:35:29  profilanswer
 

franck75 a écrit :

moi je formate tous les mois et je m en plains pas [:spamafote]
 
j aime bien les systemes propres :love:  
 
tu devrais faire tes sauvegardes sur Cd , on est jamais a l abris d une panne de DD ou d un virus [:dartalmer]


 
ne salis pas ton systeme  et il va durer + que 1 mois ;)


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
n°1551341
Profil sup​primé
Posté le 03-05-2004 à 12:38:38  answer
 

com21 a écrit :

l'attaque vient de l'intérieur :
 
Explication : Les entreprises blindent l'extérieur, avec firewall, proxy, antivirus sur le serveur mail etcc etcc
 
Les commerciaux ont souvent des pc portables, qu'ils utilisent chez des clients, chez eux...  environnement non protégé !
 
Et lundi, vers 10h, ils arrivent à la boite, branche le portable sur le réseau et VLAN :D


 
Ok  [:aras qui rit]  
Ca craint [:dartalmer]  
 
le patch etait dispo avant ou apres l apparition du virus?
Pour blaster le patch etait dispo 2semaines avant,le gars a du s inspirer de ca pour ecrire son virus :whistle:

n°1551344
pharmajo
Posté le 03-05-2004 à 12:39:49  profilanswer
 

[:drap]

n°1551353
neo_
Posté le 03-05-2004 à 12:45:06  profilanswer
 

J'ai Win2000 et j'hésite à mettre le patch :(. Je veux pas que ca bug :/


Message édité par neo_ le 03-05-2004 à 12:46:17

---------------
"Je pense qu'avec des 'si' on mettrai une bouteille de butagaz dans le cul de tous les manchots" © LaMite
n°1551359
Profil sup​primé
Posté le 03-05-2004 à 12:46:31  answer
 

avec un bon firewall et le port 445 fermé , tu ne crains rien

n°1551364
neo_
Posté le 03-05-2004 à 12:47:45  profilanswer
 

Je vais essayer Outpost


---------------
"Je pense qu'avec des 'si' on mettrai une bouteille de butagaz dans le cul de tous les manchots" © LaMite
n°1551378
Requin
Posté le 03-05-2004 à 12:54:33  profilanswer
 

neo_ a écrit :

J'ai Win2000 et j'hésite à mettre le patch :(. Je veux pas que ca bug :/


 
Il te créé un répertoire sous c:\winnt\ (resp. c:\windows) ainsi qu'une entrée dans ajout / suppression de programmes... dans le pire des cas tu peux le déinstaller.
 
Si tu veux être plus sûr de toi, sous 2000 tu lances l'utilitaire de sauvegarde fourni avec le système et tu enregistres à quelque part le "system state" (état du système). Sous XP tu peux tout à fait créer un point de restauration manuellement.

n°1551398
jofission
Posté le 03-05-2004 à 13:04:46  profilanswer
 

[:toyot]


---------------
The NeXt Vortex => www.nextvortex.net
n°1551406
samlion
Posté le 03-05-2004 à 13:11:04  profilanswer
 

samlion a écrit :

Mon problème réside principalement dans le fait que quand je reboot, je tombe sur mon bureau sans icônes, sans barre des tâches, sans "démarrer" ......   alors que tout ça fonctionne bien en mode sans échec....
 
Je ne sais pas, peut-être que ça n'a rien à voir avec les incidents de ce we et que je ne suis pas dans le bon post mais j'ai quand même des doutes..... (et j'en ai surtout marre de tout formater tous les 3 mois en empruntant un DD externe à un pote pour sauvegarder mes fichiers) ...
 
NB: c'est promis dès que ça marche, je colle un firewall


 
Personne n'a l'air d'avoir de solution....ça pue le reformatage ce soir .... nonnnnnnnnnnnnnn  :sweat:

n°1551415
Profil sup​primé
Posté le 03-05-2004 à 13:13:47  answer
 

reparation d install , peut etre :D

n°1551452
remiworld
Mouahaha
Posté le 03-05-2004 à 13:33:46  profilanswer
 

Citation :

- Grisoft AVG : pas d'infos...


--> pas d'accord, suffit de faire la mise à jour c tout  :
 

Citation :

Added detection of new variants of I-Worm/Netsky, I-Worm/Sasser.  
- May 02, 2004 -


 

n°1551459
El Pollo D​iablo
REACHED THE END OF CAKE
Posté le 03-05-2004 à 13:38:09  profilanswer
 

C'est "marrant" quand meme de voir la grosse couverture de ce virus par les media grand public francais, blaster avait fait beaucoup plus de degats et s'etait rependu plus vite (et etait en plus arrivé dans une période a l'actu bien moins remplie), mais il etait loin d'avoir fait autant parlé de lui, comme quoi si vous voulez faire parler de vous ca aide si vous touchez la 1ere agence de presse française  :D  
 
En tout cas grosse couverture ca ne veut pas dire couverture de qualité, les conneries que certains sortent ca fait peur  [:w3c compliant]

mood
Publicité
Posté le   profilanswer
 

 Page :   1  2  3  4  5  6  7  8  9  10  11  12  13

Aller à :
Ajouter une réponse
 

Sujets relatifs
probleme de virus (blast ?) et autresNorton anti virus
Personnalisations des dossiers perdu a chaque rebootvirus W32.IRCBot.Gen
Mon Wndows 2000 se fait mitrailler de virus....cherche soft pour compresser une image vers un poids donné
Alerte virus >>>> HELP demandée d'urgenceImpossible d'envoyer un mail depuis myIE vers Thunderbird
Reboot uniquement avec des jeuxpage d'acceuil wanadoo virus inside?
Plus de sujets relatifs à : [hotfix] Vers et virus : Sasser et Gaobot ! Reboot à cause de LSASS ?


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR