LSASS et activité disque dur intense

Le
Kyle Katarn
Bonjour,

j'ai un comportement étrange de mon XP MC.

Le process LSASS.EXE se met régulièrement à faire beaucoups d'accès disque,
en lecture et écriture, lorsqu'aucun application n'est lancée.

(de type c:$directory ou c:$log selon "PROCESS explorer")

l'indexation auto a été desactivé dès le 1° lancement du PC.

je n'ai pas activé le log d'évenement particulier.

j'ai le minimum de services de démarrés.
(enfin, dernièrement, j'ai stoppé le service "thème" et je n'ai pas
controlé l'effet sur mon "problème").

Sur le net, j'ai trouvé plusieurs cas identique, mais hélàs, sans jamais de
réponse. (à par c'est normal .)

ce qui est étrange, c'est qu'il y a beaucoups d'écritures (le volume lu ~
au volume écrit).

et ici ?

je suis sûr que le sujet a été évoqué mais existe-t-il une réponse ?

Merci d'avance.



--
katarn.over-blog.com
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
_Dine & Clau_
Le #16603772
Kyle Katarn news::

je suis sûr que le sujet a été évoqué mais existe-t-il une
réponse ?



Quelle est ta question, en fait ?
__
CB
C&C
Kyle Katarn
Le #16603861
"_Dine & Clau_" $:

Quelle est ta question, en fait ?



la phrase qui se termine par "?"

càd "et ici ?" ;-)

sérieusement il manque les questions, claires et précises :

- Pourquoi LSASS.EXE fait autant d'accès disque R/W quand aucune
application ne tourne (je sais, il reste l'arrière plan mais quand même) ?

- comment peut-on stopper ce mécanisme ? (assez bruyant pendant la lecture
d'un film )

- ceci est apparu récement, disont depuis mai/juin 2008, pas remarqué
avant.

- sur le net, je vois les mêmes symptomes, en 2007 et avant, je suppose
donc que le passage du SP3 n'a rien à voir.


Merci d'avance !
_Dine & Clau_
Le #16611471
Kyle Katarn news::

"_Dine & Clau_" news:48af3ac0$0$2870 $:



sérieusement il manque les questions, claires et précises :


Ben oui.

- comment peut-on stopper ce mécanisme ? (assez bruyant pendant
la lecture d'un film )


En vérifiant s'il ne s'agit pas d'un virus backdoor avec site ftp
ouvert à chaque démarrage de la machine.

- ceci est apparu récement, disont depuis mai/juin 2008, pas
remarqué avant.


Si virus, il est apparu depuis mai 2004.

LSASS est un service windows qui s'occupe du winlogon. (vérification
des utilisateurs).

Depuis 2004, une faille de ce service est exploité par un virus
(blaster, sasser ...)

La panthère noire raconte que :
--------------------[Copie de http://www.d2i.ch/pn/az/l.html]------------------------ ON

lsass: virus ou pas?
Un troyen connu sous le nom d'Optrix pro sème la panique en faisant tourner dans le système un
processus nommé isass.exe. Ce trouble-fête s'affiche avec un i majuscule afin qu'on le prenne pour le
vrai processus XP nommé lsass.exe, avec un L minuscule!.
LSASS correspond au service Gestionnaire de comptes de sécurité qui stocke les informations de
sécurité pour les comptes d'utilisateurs locaux. Il gère les mécanismes de sécurité et d'authentification
des utilisateurs. Sans lui, le jeton d'accès autorisant l'entrée en session de l'utilisateur ne peut pas être
créé. Ce processus est donc fondamental et ne peut pas être arrêté.
Mais alors.. comment savoir si le processus affiché dans le gestionnaire de tâches est l'indésirable ou le
service d'XP? C'est relativement simple:
Etant donné que LSASS.EXE est un processus indispensable au système (Local Security
Authority Subsystem Service), c'est la présence d'une deuxième entrée Isass.exe qui
prouvera à coup sûr que le système est contaminé par Optrix Pro.
Infection ou erreurs avec Isass?
En présence des deux processus, il faut débarrasser le système de Optrix Pro. voir procédure sur le
site trendmicro.com ou faire une recherche sur la Toile sur les mots Optrix Pro Backdoor.
En présence d'un seul processus lsass.exe avec erreurs ou redémarrages intempestifs dont la cause
est LSASS.EXE, il est possible que le système ait été infecté par le virus Sasser. Voir
procédure d'éradication et de protection sur le site Secuser et faire installer les correctifs de
sécurité à partir de Windows Update.

-----------[Copie de http://www.d2i.ch/pn/az/l.html]-------- OFF

Autres sources aux fins de vérification de ta babasse :
http://www.commentcamarche.net/processus/lsass-exe.php3
"Le service Lsass original possède une faille de sécurité, exploitée
notamment par le virus Sasser,qu'il est impératif de corriger !"

Lis convenablement http://www.commentcamarche.net/virus/sasser.php3
afin de voir si dans la BdR il existe ça :
-----------------------------
HKLMSoftwareMicrosoftWindowsCurrentVersionRunavserve = avserve
------------------------------

Dans l'affirmative, tu es infecté.

je suppose donc que le passage du SP3 n'a rien à voir.


NON ! Mais µsoft ne va pas intégrer un antivirus dans son OS de base,
et il ne corrige pas philantropiquement ses failles dans les babasses
infectées !

Attention ! il faut traiter chaque babasse du réseau local.
A plus.
__
cB
C&C
-------------------
On est un peu HS mais y en a ici qui ne font que ça (les antivirus
par le HS ;+))
Kyle Katarn
Le #16614141
"_Dine & Clau_" news:48b12c70$0$2854$:

- comment peut-on stopper ce m‚canisme ? (assez bruyant pendant
la lecture d'un film )


En v‚rifiant s'il ne s'agit pas d'un virus backdoor avec site ftp
ouvert … chaque d‚marrage de la machine.

- ceci est apparu r‚cement, disont depuis mai/juin 2008, pas
remarqu‚ avant.





j'ai fait pas mal de scan avec différents outils qui n'ont rien vu
d'anormal, dont un AV sur CD de boot (avira).

je n'ai pas le pb du lsass, le module LSASS n'a pas de connexion
ftp, udp ou tcp

perso, je pense plus à paramètrage ou un service qui est résponsable de
cett activité disque.


LSASS est un service windows qui s'occupe du winlogon. (v‚rification
des utilisateurs).

Depuis 2004, une faille de ce service est exploit‚ par un virus
(blaster, sasser ...)



oui mais cette faille a été corrigée et ma machine est à jour (SP3)



et il ne corrige pas philantropiquement ses failles dans les babasses
infect‚es !



je ne comprend pas cette phrase : infectée ou non, un patch va bien
corriger une faille.

il ne faut pas confondre faille et "exploit" (un virus, le + souvent,
utilise une faille pour infecter).
_Dine & Clau_
Le #16712471
Kyle Katarn news::


je ne comprend pas cette phrase : infectée ou non, un patch va
bien corriger une faille.



Oui, et on l'espère bien. Ma phrase veut bien dire que le sp3 bouche
la faille, mais si infection préalable, il n'éradique pas le virus
déjà entré.

A ta place, je prendrais un antivirus plus orienté vers la recherche
de Sasser et Blaster. Avira détecte plutôt les bho's.
__
CB
C&C
Publicité
Poster une réponse
Anonyme