Fichier douteux " lsass.exe " ==> pro [Résolu]

Salut Afideg,

Il faut faire attention a ne pas confondre un processus legitime et une "copie" faite pour tromper l ennemi (l infection)

lsass.exe
lsass exe

---> Processus légitime.

Par contre, si tu le tape ici:
http://www.castlecops.com/StartupList.html

---> Néfaste !

La seule difference est que l infection apparait en 04 ! Pour le processus légitime , il apparait toujours dans les processus.
D'ailleurs, sur Castle cop, ils indiquent ceci:

Note: (lsass.exe) The legitimate Windows Process should not be seen in Msconfig or as a Startup item.

A+

Régis59,

Encore une fois merci,

Mais avoue que rien n'est évident;

Regarde ce que j'avais lu de CastleCops :

lsass X lsass.exe Added by the RATSU.B VIRUS!
Note - this is not the legitimate " Lsass.exe " system file should normally NOT figure in Msconfig/Startup!

Si je lis bien CastleCops prétendrait que le vrai Process doit s'écrire " <souligne>Lsass.exe "</souligne>

" L " et pas " I " ?????????

Ce n'est pas facile;
Merci
Al

Salut Al;

Par rapport a ce que tu me dis juste au dessu, pas besoin de chercher plus loin que cela:

lsass X lsass.exe

La partie en gras:
C'est ce qui se trouve entre [] en 04.

Si tu le retrouves en 04, il est donc X ( = malware). L'exe lié au [] est celui que j ai souligné !

Pour synthétisé, jamais tu ne dois trouver de lsass.exe ailleur que dans les processus actifs et surtout l'ecriture doit etre rigoureusement celle ci dessu.

a+

Bonsoir,

J'ai suivi avec intérêt ce topic, car il y a une mention lsass.exe dans 'infecté par virtumonde' sous cette forme :

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system\lsass.exe

L'inscription est méchante, mais le fix de sasser n'a rien donné.

@+

Salut Lyonnais,

Bien sur qu elle est mechant puisqu elle ne se situe pas dans le systeme32.

C:\WINDOWS\system\lsass.exe

Vu la forme de l infection, je pense qu'il y a des 04 qui s y referent...

a+

De rien ;-)

A+ et bonne nuit a vous 2 ;-p

Desole de revenir la dessus, mais je n'ai pas bien compris l'histoire du "O4" .. kesako ?

J'ai verifie ce matin les process qui tournaient sur mon pC et lsass.exe y etait ... en lisant ce topic, tout est clair sauf ce ... fameux "O4" ???

Qqn peut il m'aider ?
Merci

Pepito

Bonjour,

04 fait référence aux lignes des log HijackThis.

Si tu veux voir plus pour ton cas :

Télécharge HijackThis ici:
http://www.01net.com/...

Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Démo : (Merci a Balltrap34 pour cette réalisation)
http://perso.orange.fr/rginformatique/section%20virus/Hijenr.gif

Lance le puis:
clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum

Démo : (Merci a Balltrap34 pour cette réalisation)

http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

@+

Re,

-Pour le processus légitime lsass.exe , il apparait toujours dans les processus.
-D'ailleurs, sur Castle cop, ils indiquent ceci:
« The legitimate Windows Process should not be seen in Msconfig or as a Startup item.»

-Autrement-dit, si tu le retrouves en 04 ( comme ceci: [lsass] en 04 ), il est donc X ( = malware).
-Pour synthétiser, jamais tu ne dois trouver de lsass.exe ailleurs que dans les processus actifs; et surtout l'écriture doit être rigoureusement celle-ci lsass.exe.

-Par exemple ici: F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system\lsass.exe
-Dans ce cas, même si lsass.exe est bien écrit, tu remarques qu'il n'est pas à sa place ( il doit être en \system32\ )

ATTENTION: l ( comme dans "elle" ), et non pas L ou 1 ( = 1 un ) ==> il faut la chance et de bons yeux au bon moment !


CONSEIL : Fais ce que demande Lyonnais92, S'il te plaît. Merci


Al.

Salut,
J'ai suivi votre discussion mais ne comprend pas très bien !
J'ai fait un scan avec hijackthis comme conseillé et je ne vois rien d'anormal.
Pourtant quand je démarre une session en administrateur sur winxp, j'ai un message : lsa shell (export version) lsass.exe doit fermer [...] Ne pas envoyer.
Et ce message apparait 50 fois d'affiler ! En plus j'ai un soft qui veux plus se lancer !
Quand je fais montrer les détails de l'erreur lsa shell, il m'indique comme fichier "où l'erreur à lieu" le même que dans le rapport d'erreur de mon programme qui ne se lance plus !
(le programme est CodeSoft 6 même si je ne pense pas que c'est important !)

Pouvez vous me donnez des conseils... Dans quel sens chercher !!?
Merci d'avance pour vos réponses !

Logfile of HijackThis v1.99.1
Scan saved at 17:25:21, on 28/05/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Canon\VDC\AuVdc.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Symantec AntiVirus\SavRoam.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\Explorer.EXE
C:\program files\filenet\idm\fnsysmgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINDOWS\System32\CTFMON.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\hijackthis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [0FileNET System Manager] c:\program files\filenet\idm\fnsysmgr.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ltc-lab.com
O17 - HKLM\Software\..\Telephony: DomainName = ltc-lab.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{1A96B046-A070-4D70-BC4D-5F9817FE739A}: NameServer = 130.130.9.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ltc-lab.com
O17 - HKLM\System\CS1\Services\Tcpip\..\{1A96B046-A070-4D70-BC4D-5F9817FE739A}: NameServer = 130.130.9.1
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ltc-lab.com
O17 - HKLM\System\CS2\Services\Tcpip\..\{1A96B046-A070-4D70-BC4D-5F9817FE739A}: NameServer = 130.130.9.1
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Canon NetSpot Suite Service - CANON INC. - C:\Program Files\Canon\VDC\AuVdc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Salut, j'ai un probleme de lenteur au demarage de mon ordinateur, il affiche les messages suivants: WINDOWS ne trouve pas " Windows\system\lsass.exe " et WINDOWS ne trouve pas " hpzjrd01.dll ", merci pour votre aide.

Bonjour,

Clique sur ce lien
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
pour télécharger le fichier d'installation d'HijackThis.

Enregistre HJTInstall.exe sur ton bureau.

Double-clique sur HJTInstall.exe pour lancer le programme

Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis

Accepte la license en cliquant sur le bouton "I Accept"

Ferme Hijackthis en cliquant sur la croix rouge en haut à droite de la fenêtre.

Ensuite, fais ceci :

Télécharge DSS (Deckard's System Scanner de Deckard) sur ton Bureau à partir de ce lien :

http://www.techsupportforum.com/sectools/Deckard/dss.exe

Choisis "enregistrer" et "Bureau" comme emplacement.

Ferme toutes les applications en cours (très important, sinon l'ordi peut planter).

Double-clique sur dss.exe pour lancer l'outil.

S'il ne trouve pas HijackThis, clique sur Oui.

Clique sur OK à chaque fois que cela sera demandé.

L'analyse finie, un fichier texte s'affichera. Poste son contenu dans ta réponse.

Le rapport se trouve ici : C:\Deckard\System Scanner\main.txt.

merci de ton soutien, je le fait amintenant.

Salut Lyonnais

Allo ? potale ? « je le fait amintenant ».
==> quand le fais-tu ?

Al.