Posez votre question Format imprimable Liste des forums Aidez-les Statistiques Rechercher Charte Forum Virus-Sécurité

Lsass Exploit (Sasser ?)

Dernière réponse le 27 oct 2005 à 12:48:15 ekra, le 24 oct 2005 à 15:53:58

Signaler ce message aux modérateurs

Bonjour,

Mon père ayant connecté le PC sans protection, je me retrouve avec une message de Avast qui me dit "Attaque LSASS EXPLOIT blablabla:445/tcp"
J'ai fais toutes les mises à jour Windows, J'ai un firewall (kerio) + antivirus (Avast) + spybot + spywareblaster.

Le message apparait toutes les minutes en moyenne, que dois-je faire?

[EDIT] ET maintenant "DCOM exploit" attaque[/EDIT]

Merci ! Signaturé moi :)

Meilleures réponses pour « Lsass Exploit (Sasser ?) » dans :

[LSASS] Problème attaque lsass.exploit Voir

DCOM Exploit et LSASS Exploit (Résolu) Voir

Attaque MS04-011 LSASS EXPLOIT (trend micro) Voir

Blaster et Sasser : Eviter le redémarrage intempestif VoirLors d'une infection par les virus Blaster ou Sasser, l'ordinateur affiche le message d'erreur suivant : Generic host process for win32 services à rencontré un problème et doit fermer Ceci s'accompagne généralement du message suivant, puis du...

SpyBot : Corriger le faux positif DSO Exploit VoirProblème Comment corriger cette fausse alerte ? Sources Problème Si vous possédez la version 1.3 du logiciel anti-spywares SpyBot-Search & Destroy, il se peut que ce dernier détecte à chaque scan une menace nommée DSO Exploit. Or, malgré...

Intrusion.win.LSASS.exploit Voir

[Virus] : Dcom exploit + Internet defaillant? Voir

[lsass] avast me signale atack lsass from ... Voir

Le ver Sasser VoirPrésentation du ver Sasser Apparu en mai 2004, le ver Sasser (connu également sous les noms W32/Sasser.worm, W32.Sasser.Worm, Worm.Win32.Sasser.a, Worm.Win32.Sasser.b ou Win32.Sasser) est un ver exploitant une faille du service LSASS (Local Security...

Lsass - Lsass.exe - LSA shell VoirLsass - Lsass.exe Le processus Lsass.exe (LSASS signifiant Local Security Authority Subsystem Service) est un processus système natif de Windows 2000/XP gérant les mécanismes de sécurité locale et d'authentification des utilisateurs via le...

Avserve - avserve.exe Voiravserve - avserve.exe La présence du processus avserve.exe (avserve) trahit la présence du virus Sasser, un virus exploitant une faille du service LSASS (Local Security Authority Subsystem Service, correspondant à l'exécutable lsass.exe) de...

Posez votre question Répondre

foobar47, le 24 oct 2005 à 16:08:21

Tu peux cocher "Ne plus afficher ce message la prochaine fois" quand la fenetre apparait...
a++

la modestie cesse quand on commence à en parler

Répondre à foobar47

ekra, le 24 oct 2005 à 16:14:34

Bonjour

Ok merci, si je n'arrive pas à corriger cela, je ferai ca... Signaturé moi :)

Répondre à ekra

foobar47, le 24 oct 2005 à 16:17:55

En fait, il te previent qu'il y a une tentative, mais rien de grave...
Si tu regardes bien l'adresse ip qui essaye d "attaquer", je suppose que c'est la tienne... entre autre ? non ?

la modestie cesse quand on commence à en parler

Répondre à foobar47

ekra, le 24 oct 2005 à 17:41:53

Oui ca doit etre ca,

Mais du coup, ca veut dire qu'il y a un prog qui est installé sur mon PC et qui provoqie ca, non ? Signaturé moi :)

Répondre à ekra

foobar47, le 27 oct 2005 à 09:50:19

Si vraiment ça te gène, ferme le port 445... ;-)

la modestie cesse quand on commence à en parler

Répondre à foobar47

jean38, le 27 oct 2005 à 10:22:47

Salut,

tu peux faire cela car je pense qu'il conviendrait avant de fermer les ports, de supprimer ton infection (si sasser est le mal ce que je pense).

telecharge hijackthis:
http://www.merijn.org/files/hijackthis.zip
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis

Démo : (merci a balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm

lance le puis:
clic sur "do a system scan and save logfile" et pas autre chose
fais un copier coller du log entier ici.

a+

Répondre à jean38

foobar47, le 27 oct 2005 à 10:26:21

Salut,

je ne pense pas, (j'éspère :D) que ce soit dû à Sasser, mais plus à Avast qui interprete des communications sur le port 445 comme étant l'origine de Sasser...

@ suivre !!

++

la modestie cesse quand on commence à en parler

Répondre à foobar47

jean38, le 27 oct 2005 à 10:33:38

Oki qu'est qui peut créer ces comm sur le port 445?

culture perso merci

Répondre à jean38

ekra, le 27 oct 2005 à 11:23:00

Bonjour, jean38
Et merci à tous de votre intervention.

LOG HIJACKTHIS :
Logfile of HijackThis v1.99.1
Scan saved at 11:21:53, on 27/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\program files\steam\steam.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\WASTE\WASTE.exe
C:\Documents and Settings\Maison\Bureau\Protection\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130158253203
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0FD2E0F-4B9F-4D20-9D8E-A2DE078A8836}: NameServer = 212.27.32.176,212.27.32.177
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Je vous remercie

Signaturé moi :)

Répondre à ekra

jean38, le 27 oct 2005 à 11:49:53

NO PB ton log est clair donc suis les manip de notre ami foobar.

A+

Jean

Répondre à jean38

foobar47, le 27 oct 2005 à 11:59:45

Bon, tant mieux alors ! :)

SMB est associé au port 445 qui est lié à la fonction Netbios à travers le protocole IP, tout comme les ports 137, 138 et 139...

On peut désactiver l'écoute sur le port 445 en bidouillant la base de registre :
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
"SmbDeviceEnabled"=dword:00000000

Cela étant, il me semble que le SP2 d'XP ferme le port 445 par défaut...

++

la modestie cesse quand on commence à en parler

Répondre à foobar47

jean38, le 27 oct 2005 à 12:41:18

Merci de tes explications très cher, A+

Jean

Répondre à jean38

foobar47, le 27 oct 2005 à 12:45:19

Mais je t'en prie !

a++

la modestie cesse quand on commence à en parler

Répondre à foobar47

ekra, le 27 oct 2005 à 12:48:15

Merci a vous tous ! Signaturé moi :)

Répondre à ekra

Posez votre question Répondre