Flux rss
Ils ont besoin de votre aide
Rechercher : dans
Par : Mots clés Nom d'utilisateur
Messages sans réponse

Lsass Exploit (Sasser ?)

ekra, le lundi 24 octobre 2005 à 15:53:58 
 Signaler ce message aux modérateurs

Bonjour,

Mon père ayant connecté le PC sans protection, je me retrouve avec une message de Avast qui me dit "Attaque LSASS EXPLOIT blablabla:445/tcp"
J'ai fais toutes les mises à jour Windows, J'ai un firewall (kerio) + antivirus (Avast) + spybot + spywareblaster.

Le message apparait toutes les minutes en moyenne, que dois-je faire?

[EDIT] ET maintenant "DCOM exploit" attaque[/EDIT]

Merci ! Signaturé moi :)

Meilleures réponses pour « Lsass Exploit (Sasser ?) »
Posez votre question Répondre

1

foobar47, le lundi 24 octobre 2005 à 16:08:21

Tu peux cocher "Ne plus afficher ce message la prochaine fois" quand la fenetre apparait...
a++ 

la modestie cesse quand on commence à en parler

   
Répondre à foobar47

2

ekra, le lundi 24 octobre 2005 à 16:14:34
  • +1

Bonjour

Ok merci, si je n'arrive pas à corriger cela, je ferai ca... Signaturé moi :)

   
Répondre à ekra

3

foobar47, le lundi 24 octobre 2005 à 16:17:55

En fait, il te previent qu'il y a une tentative, mais rien de grave...
Si tu regardes bien l'adresse ip qui essaye d "attaquer", je suppose que c'est la tienne... entre autre ? non ? 

la modestie cesse quand on commence à en parler

   
Répondre à foobar47

4

ekra, le lundi 24 octobre 2005 à 17:41:53
  • +1

Oui ca doit etre ca,

Mais du coup, ca veut dire qu'il y a un prog qui est installé sur mon PC et qui provoqie ca, non ? Signaturé moi :)

   
Répondre à ekra

5

foobar47, le jeudi 27 octobre 2005 à 09:50:19
  • +1

Si vraiment ça te gène, ferme le port 445... ;-) 

la modestie cesse quand on commence à en parler

   
Répondre à foobar47

6

jean38, le jeudi 27 octobre 2005 à 10:22:47

Salut,

tu peux faire cela car je pense qu'il conviendrait avant de fermer les ports, de supprimer ton infection (si sasser est le mal ce que je pense).


telecharge hijackthis:
http://www.merijn.org/files/hijackthis.zip
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis

Démo : (merci a balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm

lance le puis:
clic sur "do a system scan and save logfile" et pas autre chose
fais un copier coller du log entier ici.

a+

   
Répondre à jean38

7

foobar47, le jeudi 27 octobre 2005 à 10:26:21

Salut,

je ne pense pas, (j'éspère :D) que ce soit dû à Sasser, mais plus à Avast qui interprete des communications sur le port 445 comme étant l'origine de Sasser...

@ suivre !!

++ 

la modestie cesse quand on commence à en parler

   
Répondre à foobar47

8

jean38, le jeudi 27 octobre 2005 à 10:33:38
  • +1

Oki qu'est qui peut créer ces comm sur le port 445?

culture perso merci

   
Répondre à jean38

9

ekra, le jeudi 27 octobre 2005 à 11:23:00

Bonjour, jean38
Et merci à tous de votre intervention.

LOG HIJACKTHIS :
Logfile of HijackThis v1.99.1
Scan saved at 11:21:53, on 27/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\program files\steam\steam.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\WASTE\WASTE.exe
C:\Documents and Settings\Maison\Bureau\Protection\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130158253203
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0FD2E0F-4B9F-4D20-9D8E-A2DE078A8836}: NameServer = 212.27.32.176,212.27.32.177
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Je vous remercie

Signaturé moi :)

   
Répondre à ekra

10

jean38, le jeudi 27 octobre 2005 à 11:49:53
  • +1

NO PB ton log est clair donc suis les manip de notre ami foobar.

A+

Jean

   
Répondre à jean38

11

foobar47, le jeudi 27 octobre 2005 à 11:59:45

Bon, tant mieux alors ! :)

SMB est associé au port 445 qui est lié à la fonction Netbios à travers le protocole IP, tout comme les ports 137, 138 et 139...

On peut désactiver l'écoute sur le port 445 en bidouillant la base de registre :
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\­Parameters]
"SmbDeviceEnabled"=dword:00000000

Cela étant, il me semble que le SP2 d'XP ferme le port 445 par défaut...

++ 

la modestie cesse quand on commence à en parler

   
Répondre à foobar47

12

jean38, le jeudi 27 octobre 2005 à 12:41:18
  • +1

Merci de tes explications très cher, A+

Jean

   
Répondre à jean38

13

foobar47, le jeudi 27 octobre 2005 à 12:45:19

Mais je t'en prie !

a++ 

la modestie cesse quand on commence à en parler

   
Répondre à foobar47

14

 ekra, le jeudi 27 octobre 2005 à 12:48:15

Merci a vous tous ! Signaturé moi :)

   
Répondre à ekra
Posez votre question Répondre
DCOM Exploit et LSASS Exploit (Résolu) Bonjour à tous, Mon antivirus Avast Home Edition me détecte souvent des attaques de type "LSASS exploit (SCP) attaque IP ..." et un autre de type "DCOM Exploit attaque IP ..." Merci d'avance de me dire comment virer ca ;-) Antivirus Avast Firewall... www.commentcamarche.net/forum/affich-1346144-dcom-exploit-et-lsass-exploit
Attaque MS04-011 LSASS EXPLOIT (trend micro) Bonjour à tous j'ai comme antivirus Trend Micro PC cillin, je reçois sans arret des alertes avec comme message " attaque MS04-011 LSASS EXPLOIT" lorque je suis connecté. Ce message peut apparaitre 3,4,5 par minute. je ne sais pas quoi faire pour... www.commentcamarche.net/forum/affich-1321402-attaque-ms04-011-lsass-exploit-trend-micro
Intrusion.win.LSASS.exploit Bonjour. Depuis quelques temps, mon Kaspersky m'affiche, à chaque foi que je me connecte a internet, une alerte avec tjrs le même msg d’erreur " l’attaque de réseau Intrusion.win.LSASS.exploit (ou quelques fois "Intrusion.win.LSASS.asn1-kill... www.commentcamarche.net/forum/affich-6213450-intrusion-win-lsass-exploit
Blaster et Sasser : Eviter le redémarrage intempestifLors d'une infection par les virus Blaster ou Sasser, l'ordinateur affiche le message d'erreur suivant : Generic host process for win32 services à rencontré un problème et doit fermer Ceci s'accompagne généralement du message suivant, puis du... www.commentcamarche.net/faq/sujet-186-blaster-et-sasser-eviter-le-redemarrage-intempestif
SpyBot : Corriger le faux positif DSO ExploitProblème Comment corriger cette fausse alerte ? Sources Problème Si vous possédez la version 1.3 du logiciel anti-spywares SpyBot-Search & Destroy, il se peut que ce dernier détecte à chaque scan une menace nommée DSO Exploit. Or, malgré... www.commentcamarche.net/faq/sujet-2531-spybot-corriger-le-faux-positif-dso-exploit
Résultats pour Lsass Exploit (Sasser ?)
[LSASS] Problème attaque lsass.exploitBonjour, depuis quelques jours, j'ai un problème sur mon réseau local. Kaspersky bloque régulièrement une attaque "Intrusion.Win.lsass.exploit" depuis une adresse en 192.168.0.XX : j'ai identifié la machine responsable, mais ni l'outil Symantec, ni... www.commentcamarche.net/forum/affich-2273357-lsass-probleme-attaque-lsass-exploit
Exploit.itss.aBonjour, sur un pc recent, je suis visiblement déjà infecté. J'ai installé bitdefender total sécurity 2009. Celui-ci me dit: exploit.itss.a fichier infecté: c:\windows\softwaredistribution\datastore\logs\tmp.edb=>exploit impossible de le désinfecter... www.commentcamarche.net/forum/affich-11811822-exploit-itss-a
Virus lsass.exe ! (Résolu)Bonjour! Bon voilà je me permets de vous solliciter car j'ai une amie qui vient de choper un ver je pense. Pour ceux qui se souviennent du fameux verblaster, ben cette fois c'est la même. Voici le problème: A chaque connexion internet, a ubout d'un... www.commentcamarche.net/forum/affich-708503-virus-lsass-exe
Résultats pour Lsass Exploit (Sasser ?)
Le ver SasserPrésentation du virus Sasser Apparu en mai 2004, le virus Sasser (connu également sous les noms W32/Sasser.worm, W32.Sasser.Worm, Worm.Win32.Sasser.a, Worm.Win32.Sasser.b ou Win32.Sasser) est un virus exploitant une faille du service LSASS (Local... www.commentcamarche.net/contents/virus/sasser.php3
Lsass - Lsass.exe - LSA shellLsass - Lsass.exe Le processus Lsass.exe (LSASS signifiant Local Security Authority Subsystem Service) est un processus système natif de Windows 2000/XP gérant les mécanismes de sécurité locale et d'authentification des utilisateurs via le... www.commentcamarche.net/contents/processus/lsass-exe.php3
Les exploitsLes exploits Un « exploit » est un programme informatique mettant en oeuvre l'« exploitation » d'une vulnérabilité publiée ou non. Chaque exploit est spécifique à une version d'une application car il permet d'en exploiter les failles. Il existe... www.commentcamarche.net/contents/attaques/exploits.php3
Résultats pour Lsass Exploit (Sasser ?)