Un dérivé de Sasser sans-doute, mais très bien élevé en tous cas...
16 réponses
imanuel
Bonjour à tous,
Je viens de découvrir un bien étrange ver dans mon win2000 sp4, que j'ai
réussi en apparence à virer de mon ordi, jusqu'à preuve du contraire...
Tout a commencé quand je m'aperçus de l'absence dans la barre des tâches
des quelques petits programmes sensés protéger mon PC :
Un Antivirus et deux Pare-feu, l'un intégré à la C.Mère , l'autre
logiciel et qui me sert surtout à mieux visualiser mon traffic...
Un clic sur leurs icones n'entrainant aucune réaction, je me décide donc
à jeter un coup d'oeil dans l'exploreur, histoire de vérifier si ils
éxistent encore dans le "program files", et c'est là que je découvre une
supercherie étrangement sympathique pour ce genre d'intrus:
Les exes ne sont plus là, en apparence, car remplacés par des imitations
infonctionnelles qui pèsent à peine quelques kilos-octets tout en
portant le même nom que les exes originaux, mais, en vérité,
les exes sont toujours là....et oui, soigneusement rangés dans un petit
repertoire intitulé "bak", et INTACTS !!!
Et il m'a suffit d'effacer les trois fakes et de remonter à la racine
les trois exes correspondants pour que ceux-ci redémarrent au premier
coup de clic !
Un autre coup d'oeil sur les processus lancés au démarrage m'a permis de
repérer un autre exe bizarre situé dans le system32 et nommé
"lsasss.exe", ce qui m'a fait penser à une variante de Sasser, étant de
toute façon lié à l'infection puisque apparu dans le syteme à exactement
la même date et heure que les trois faux-exes mentionnés ci-dessus...
Un lancement en mode ligne de commande sans échec, CD winnt\system32
suivi de DEL lsasss.exe, puis redemarrage et depuis mon PC semble bien
fonctionner, mais j'aimerais bien avoir l'avis d'un spécialiste pour
savoir si ce rapide traitement est suffisant.
J'ai d'ailleurs appliqué depuis deux correctifs, trouvés sur le site de
microsoft, l'un pour sasser, l'autre pour blaster, et tester l'outil
d'éradication fourni par symantec, "fx_sasser", qui n'a rien trouvé du
tout, pas plus que mon AVP 4.5 pourtant régulièrement mis-à-jour n'avait
sonné, se laissant même déconnecter sans broncher.
Merci d'avance pour tous commentaires, avis, ou conseils.
ce qui m'intéresserait, c'est ta config actuelle concernant les divers programmes Antivirus/firewall, l'activation ou non du firewall du système d'exploitation, quels programmes utilisés sur le net, quel type de modem ADSL (routeur ou non) et sa config, etc... afin de comprendre comment tu as chopé ce bidule...
Personnellement, j'applique http://inforadio.free.fr/protect-virus.htm mais comme je suis toujours à la recherche de l'amélioration...
Merci, A+ Ludo.
Bonjour,
ce qui m'intéresserait, c'est ta config actuelle concernant les divers programmes
Antivirus/firewall, l'activation ou non du firewall du système d'exploitation, quels
programmes utilisés sur le net, quel type de modem ADSL (routeur ou non) et sa
config, etc... afin de comprendre comment tu as chopé ce bidule...
Personnellement, j'applique http://inforadio.free.fr/protect-virus.htm mais comme
je suis toujours à la recherche de l'amélioration...
ce qui m'intéresserait, c'est ta config actuelle concernant les divers programmes Antivirus/firewall, l'activation ou non du firewall du système d'exploitation, quels programmes utilisés sur le net, quel type de modem ADSL (routeur ou non) et sa config, etc... afin de comprendre comment tu as chopé ce bidule...
Personnellement, j'applique http://inforadio.free.fr/protect-virus.htm mais comme je suis toujours à la recherche de l'amélioration...
Merci, A+ Ludo.
imanuel
Bonjour,
ce qui m'intéresserait, c'est ta config actuelle concernant les divers programmes Antivirus/firewall, l'activation ou non du firewall du système d'exploitation, quels programmes utilisés sur le net, quel type de modem ADSL (routeur ou non) et sa config, etc... afin de comprendre comment tu as chopé ce bidule...
Personnellement, j'applique http://inforadio.free.fr/protect-virus.htm mais comme je suis toujours à la recherche de l'amélioration...
Il s'agit du parefeu NVidiaFirewall fourni avec ma C.M Asus A8N-E, paramétré en profil élevé, plus un vieil Atguard 3.2 qui me sert, comme je disais, pour surveiller un peu le traffic et les ports utilisés par une carte réseau intégrée à la C.M reliée à mon modem câble.
Quant à l'anti-virus, un "vieil" AVP 4.5, en attendant de me décider à acheter une version plus récente ne faisant pas trop "ramer" Win2000. J'en avais testé une autre, la 5.0 (ou 6.0) trouvé en version de demo, mais je trouvais qu'elle ralentissait trop mon pc. Mais bon, depuis je l'ai upgradé aussi si vous avez des suggestions, une version d'A.V.P pas trop chère qui ne pose pas de problème sous 2000, je suis à l'écoute...
Win2000 n'a pas, à ma connaissance, de pare-feu intégré. Pour ce qui est des logiciels, Thunderbird_1.5 pour ma boite email et les forums et CrazyBrownser2, installé sur IExplorer 6.1, pour surfer. Et puis aussi, j'allais oublier, Steam, ...pour me distraire !)
-- Imanuel
Bonjour,
ce qui m'intéresserait, c'est ta config actuelle concernant les divers programmes
Antivirus/firewall, l'activation ou non du firewall du système d'exploitation, quels
programmes utilisés sur le net, quel type de modem ADSL (routeur ou non) et sa
config, etc... afin de comprendre comment tu as chopé ce bidule...
Personnellement, j'applique http://inforadio.free.fr/protect-virus.htm mais comme
je suis toujours à la recherche de l'amélioration...
Il s'agit du parefeu NVidiaFirewall fourni avec ma C.M Asus A8N-E,
paramétré en profil élevé, plus un vieil Atguard 3.2 qui me sert, comme
je disais, pour surveiller un peu le traffic et les ports utilisés par
une carte réseau intégrée à la C.M reliée à mon modem câble.
Quant à l'anti-virus, un "vieil" AVP 4.5, en attendant de me décider à
acheter une version plus récente ne faisant pas trop "ramer" Win2000.
J'en avais testé une autre, la 5.0 (ou 6.0) trouvé en version de demo,
mais je trouvais qu'elle ralentissait trop mon pc.
Mais bon, depuis je l'ai upgradé aussi si vous avez des suggestions, une
version d'A.V.P pas trop chère qui ne pose pas de problème sous 2000, je
suis à l'écoute...
Win2000 n'a pas, à ma connaissance, de pare-feu intégré.
Pour ce qui est des logiciels, Thunderbird_1.5 pour ma boite email et
les forums et CrazyBrownser2, installé sur IExplorer 6.1, pour surfer.
Et puis aussi, j'allais oublier, Steam, ...pour me distraire !)
ce qui m'intéresserait, c'est ta config actuelle concernant les divers programmes Antivirus/firewall, l'activation ou non du firewall du système d'exploitation, quels programmes utilisés sur le net, quel type de modem ADSL (routeur ou non) et sa config, etc... afin de comprendre comment tu as chopé ce bidule...
Personnellement, j'applique http://inforadio.free.fr/protect-virus.htm mais comme je suis toujours à la recherche de l'amélioration...
Il s'agit du parefeu NVidiaFirewall fourni avec ma C.M Asus A8N-E, paramétré en profil élevé, plus un vieil Atguard 3.2 qui me sert, comme je disais, pour surveiller un peu le traffic et les ports utilisés par une carte réseau intégrée à la C.M reliée à mon modem câble.
Quant à l'anti-virus, un "vieil" AVP 4.5, en attendant de me décider à acheter une version plus récente ne faisant pas trop "ramer" Win2000. J'en avais testé une autre, la 5.0 (ou 6.0) trouvé en version de demo, mais je trouvais qu'elle ralentissait trop mon pc. Mais bon, depuis je l'ai upgradé aussi si vous avez des suggestions, une version d'A.V.P pas trop chère qui ne pose pas de problème sous 2000, je suis à l'écoute...
Win2000 n'a pas, à ma connaissance, de pare-feu intégré. Pour ce qui est des logiciels, Thunderbird_1.5 pour ma boite email et les forums et CrazyBrownser2, installé sur IExplorer 6.1, pour surfer. Et puis aussi, j'allais oublier, Steam, ...pour me distraire !)
-- Imanuel
imanuel
As-tu conservé le "Isasss.exe" ?
Non, éffacé en mode sans echec...
Si non, vérifier la base de registre et notament les clés suivantes : HKLMSoftwareMicrosoftWindowsCurrentVersionRun System32 lsasss.exe
Je viens de découvrir un bien étrange ver dans mon win2000 sp4, que j'ai réussi en apparence à virer de mon ordi, jusqu'à preuve du contraire...
Finalement, KAV est tombé sur un des faux exe que j'avais renommé mais oublié de suprimer et m'a annoncé qu'il était infecté par :
Trojan-Downloader.Win32.Agent.awf
Il l'a effacé sans difficulté.
-- Imanuel
Ludo_Le_Radio
Le Wed, 28 Feb 2007 09:33:22 +0100, imanuel a ecrit:
Personnellement, j'applique http://inforadio.free.fr/protect-virus.htm mais comme je suis toujours à la recherche de l'amélioration...
Il s'agit du parefeu NVidiaFirewall fourni avec ma C.M Asus A8N-E, paramétré en profil élevé, plus un vieil Atguard 3.2 qui me sert, comme je disais, pour surveiller un peu le trafic et les ports utilisés par une carte réseau intégrée à la C.M reliée à mon modem câble.
Quant à l'anti-virus, un "vieil" AVP 4.5, en attendant de me décider à acheter une version plus récente ne faisant pas trop "ramer" Win2000. J'en avais testé une autre, la 5.0 (ou 6.0) trouvé en version de demo, mais je trouvais qu'elle ralentissait trop mon pc. Mais bon, depuis je l'ai upgradé aussi si vous avez des suggestions, une version d'A.V.P pas trop chère qui ne pose pas de problème sous 2000, je suis à l'écoute...
Win2000 n'a pas, à ma connaissance, de pare-feu intégré. Pour ce qui est des logiciels, Thunderbird_1.5 pour ma boite email et les forums et CrazyBrownser2, installé sur IExplorer 6.1, pour surfer. Et puis aussi, j'allais oublier, Steam, ...pour me distraire !)
Crasybrowser, ce n'est pas le top au niveau sécurité... vu que ce n'est qu'une extension de IE. Essayez d'utiliser Firefox de Mozilla sans évidemment télécharger tous les plug-in... Pour les autres réponses, je donne ma méthode personnelle cf lien du début. Elle reste efficace sur deux config W2k entre autre. Si tu es un particulier, je ne vois pas trop l'intérêt de gaspiller de l'argent dans une version payante d'antivirus ou de firewall.
Sinon M. Garcia, toujours aussi constructif... Pensez plutôt à aider votre prochain activement au lieu de lancer de plats quolibets...
Ma page n'est sans doute pas parfaite, ou est perfectible du moins... mais elle a le mérite d'exister.
:op
Bonne journée aux gens sympas de ce forum, A+ Ludovic.
Le Wed, 28 Feb 2007 09:33:22 +0100, imanuel <imanuel@nopub_noos.fr> a ecrit:
Personnellement, j'applique http://inforadio.free.fr/protect-virus.htm mais comme
je suis toujours à la recherche de l'amélioration...
Il s'agit du parefeu NVidiaFirewall fourni avec ma C.M Asus A8N-E,
paramétré en profil élevé, plus un vieil Atguard 3.2 qui me sert, comme
je disais, pour surveiller un peu le trafic et les ports utilisés par
une carte réseau intégrée à la C.M reliée à mon modem câble.
Quant à l'anti-virus, un "vieil" AVP 4.5, en attendant de me décider à
acheter une version plus récente ne faisant pas trop "ramer" Win2000.
J'en avais testé une autre, la 5.0 (ou 6.0) trouvé en version de demo,
mais je trouvais qu'elle ralentissait trop mon pc.
Mais bon, depuis je l'ai upgradé aussi si vous avez des suggestions, une
version d'A.V.P pas trop chère qui ne pose pas de problème sous 2000, je
suis à l'écoute...
Win2000 n'a pas, à ma connaissance, de pare-feu intégré.
Pour ce qui est des logiciels, Thunderbird_1.5 pour ma boite email et
les forums et CrazyBrownser2, installé sur IExplorer 6.1, pour surfer.
Et puis aussi, j'allais oublier, Steam, ...pour me distraire !)
Crasybrowser, ce n'est pas le top au niveau sécurité... vu que ce
n'est qu'une extension de IE. Essayez d'utiliser Firefox de Mozilla
sans évidemment télécharger tous les plug-in...
Pour les autres réponses, je donne ma méthode personnelle cf
lien du début. Elle reste efficace sur deux config W2k entre autre.
Si tu es un particulier, je ne vois pas trop l'intérêt de gaspiller
de l'argent dans une version payante d'antivirus ou de firewall.
Sinon M. Garcia, toujours aussi constructif... Pensez plutôt
à aider votre prochain activement au lieu de lancer de
plats quolibets...
Ma page n'est sans doute pas parfaite, ou est perfectible
du moins... mais elle a le mérite d'exister.
:op
Bonne journée aux gens sympas de ce forum,
A+
Ludovic.
Le Wed, 28 Feb 2007 09:33:22 +0100, imanuel a ecrit:
Personnellement, j'applique http://inforadio.free.fr/protect-virus.htm mais comme je suis toujours à la recherche de l'amélioration...
Il s'agit du parefeu NVidiaFirewall fourni avec ma C.M Asus A8N-E, paramétré en profil élevé, plus un vieil Atguard 3.2 qui me sert, comme je disais, pour surveiller un peu le trafic et les ports utilisés par une carte réseau intégrée à la C.M reliée à mon modem câble.
Quant à l'anti-virus, un "vieil" AVP 4.5, en attendant de me décider à acheter une version plus récente ne faisant pas trop "ramer" Win2000. J'en avais testé une autre, la 5.0 (ou 6.0) trouvé en version de demo, mais je trouvais qu'elle ralentissait trop mon pc. Mais bon, depuis je l'ai upgradé aussi si vous avez des suggestions, une version d'A.V.P pas trop chère qui ne pose pas de problème sous 2000, je suis à l'écoute...
Win2000 n'a pas, à ma connaissance, de pare-feu intégré. Pour ce qui est des logiciels, Thunderbird_1.5 pour ma boite email et les forums et CrazyBrownser2, installé sur IExplorer 6.1, pour surfer. Et puis aussi, j'allais oublier, Steam, ...pour me distraire !)
Crasybrowser, ce n'est pas le top au niveau sécurité... vu que ce n'est qu'une extension de IE. Essayez d'utiliser Firefox de Mozilla sans évidemment télécharger tous les plug-in... Pour les autres réponses, je donne ma méthode personnelle cf lien du début. Elle reste efficace sur deux config W2k entre autre. Si tu es un particulier, je ne vois pas trop l'intérêt de gaspiller de l'argent dans une version payante d'antivirus ou de firewall.
Sinon M. Garcia, toujours aussi constructif... Pensez plutôt à aider votre prochain activement au lieu de lancer de plats quolibets...
Ma page n'est sans doute pas parfaite, ou est perfectible du moins... mais elle a le mérite d'exister.
:op
Bonne journée aux gens sympas de ce forum, A+ Ludovic.
imanuel
Crasybrowser, ce n'est pas le top au niveau sécurité... vu que ce n'est qu'une extension de IE. Essayez d'utiliser Firefox de Mozilla sans évidemment télécharger tous les plug-in...
Je vais suivre ce bon conseil et passez immédiatement à Firefox.
Pour les autres réponses, je donne ma méthode personnelle cf lien du début. Elle reste efficace sur deux config W2k entre autre. Si tu es un particulier, je ne vois pas trop l'intérêt de gaspiller de l'argent dans une version payante d'antivirus ou de firewall.
C'est ce que je viens juste de faire ! J'ai viré KAV 4.5 et installé AVG 7.5 Free Edition à la place.
Avant je venais de testé Antivir, mais pas moyen de l'updater, je ne sais quoi bloquait la mise à jour, le programme semblant plus préoccupé à émettre je ne sais quelles données vers le net que de scanner sérieusement l'intérieur de mon système...!)
Par contre, avec AVG aucun problème, et en quelques minutes tout était à jour.
Merci pour votre aide.
-- Imanuel
Crasybrowser, ce n'est pas le top au niveau sécurité... vu que ce
n'est qu'une extension de IE. Essayez d'utiliser Firefox de Mozilla
sans évidemment télécharger tous les plug-in...
Je vais suivre ce bon conseil et passez immédiatement à Firefox.
Pour les autres réponses, je donne ma méthode personnelle cf
lien du début. Elle reste efficace sur deux config W2k entre autre.
Si tu es un particulier, je ne vois pas trop l'intérêt de gaspiller
de l'argent dans une version payante d'antivirus ou de firewall.
C'est ce que je viens juste de faire !
J'ai viré KAV 4.5 et installé AVG 7.5 Free Edition à la place.
Avant je venais de testé Antivir, mais pas moyen de l'updater,
je ne sais quoi bloquait la mise à jour, le programme semblant plus
préoccupé à émettre je ne sais quelles données vers le net que de
scanner sérieusement l'intérieur de mon système...!)
Par contre, avec AVG aucun problème, et en quelques minutes tout était à
jour.
Crasybrowser, ce n'est pas le top au niveau sécurité... vu que ce n'est qu'une extension de IE. Essayez d'utiliser Firefox de Mozilla sans évidemment télécharger tous les plug-in...
Je vais suivre ce bon conseil et passez immédiatement à Firefox.
Pour les autres réponses, je donne ma méthode personnelle cf lien du début. Elle reste efficace sur deux config W2k entre autre. Si tu es un particulier, je ne vois pas trop l'intérêt de gaspiller de l'argent dans une version payante d'antivirus ou de firewall.
C'est ce que je viens juste de faire ! J'ai viré KAV 4.5 et installé AVG 7.5 Free Edition à la place.
Avant je venais de testé Antivir, mais pas moyen de l'updater, je ne sais quoi bloquait la mise à jour, le programme semblant plus préoccupé à émettre je ne sais quelles données vers le net que de scanner sérieusement l'intérieur de mon système...!)
Par contre, avec AVG aucun problème, et en quelques minutes tout était à jour.
Merci pour votre aide.
-- Imanuel
Roland Garcia
Sinon M. Garcia, toujours aussi constructif... Pensez plutôt à aider votre prochain activement au lieu de lancer de plats quolibets...
Ma page n'est sans doute pas parfaite, ou est perfectible du moins... mais elle a le mérite d'exister.
... contrairement à certains liens indiqués dans vos spams, pas à jour depuis des années.
fu2
-- Roland Garcia
Sinon M. Garcia, toujours aussi constructif... Pensez plutôt
à aider votre prochain activement au lieu de lancer de
plats quolibets...
Ma page n'est sans doute pas parfaite, ou est perfectible
du moins... mais elle a le mérite d'exister.
... contrairement à certains liens indiqués dans vos spams, pas à jour
depuis des années.
Le Wed, 28 Feb 2007 09:33:22 +0100, imanuel a ecrit:
Personnellement, j'applique Sinon M. Garcia, toujours aussi constructif... Pensez plutôt
à aider votre prochain activement au lieu de lancer de plats quolibets...
Ma page n'est sans doute pas parfaite, ou est perfectible du moins... mais elle a le mérite d'exister.
:op
Bonne journée aux gens sympas de ce forum, A+ Ludovic.
Heu Ludo, J'ai la profonde tristesse de te Plonker,
Je suis désolé pour ce silence "radio" mais tu me gonfles depuis tellement de temps...
Hasta never. -- CrAzYbOb
Reply to valid. It could be something, it might mean nothing.
Since I lost MD So, everything went wrong
Ludo_Le_Radio
Le Thu, 01 Mar 2007 08:10:13 +0100, imanuel a ecrit:
Crasybrowser, ce n'est pas le top au niveau sécurité... vu que ce n'est qu'une extension de IE. Essayez d'utiliser Firefox de Mozilla sans évidemment télécharger tous les plug-in...
Je vais suivre ce bon conseil et passez immédiatement à Firefox.
Pour les autres réponses, je donne ma méthode personnelle cf lien du début. Elle reste efficace sur deux config W2k entre autre. Si tu es un particulier, je ne vois pas trop l'intérêt de gaspiller de l'argent dans une version payante d'antivirus ou de firewall.
C'est ce que je viens juste de faire ! J'ai viré KAV 4.5 et installé AVG 7.5 Free Edition à la place.
Avant je venais de testé Antivir, mais pas moyen de l'updater, je ne sais quoi bloquait la mise à jour, le programme semblant plus préoccupé à émettre je ne sais quelles données vers le net que de scanner sérieusement l'intérieur de mon système...!)
Par contre, avec AVG aucun problème, et en quelques minutes tout était à jour.
Merci pour votre aide.
Au plaisir,
:o)
Le Thu, 01 Mar 2007 08:10:13 +0100, imanuel <imanuel@nopub_noos.fr> a ecrit:
Crasybrowser, ce n'est pas le top au niveau sécurité... vu que ce
n'est qu'une extension de IE. Essayez d'utiliser Firefox de Mozilla
sans évidemment télécharger tous les plug-in...
Je vais suivre ce bon conseil et passez immédiatement à Firefox.
Pour les autres réponses, je donne ma méthode personnelle cf
lien du début. Elle reste efficace sur deux config W2k entre autre.
Si tu es un particulier, je ne vois pas trop l'intérêt de gaspiller
de l'argent dans une version payante d'antivirus ou de firewall.
C'est ce que je viens juste de faire !
J'ai viré KAV 4.5 et installé AVG 7.5 Free Edition à la place.
Avant je venais de testé Antivir, mais pas moyen de l'updater,
je ne sais quoi bloquait la mise à jour, le programme semblant plus
préoccupé à émettre je ne sais quelles données vers le net que de
scanner sérieusement l'intérieur de mon système...!)
Par contre, avec AVG aucun problème, et en quelques minutes tout était à
jour.
Le Thu, 01 Mar 2007 08:10:13 +0100, imanuel a ecrit:
Crasybrowser, ce n'est pas le top au niveau sécurité... vu que ce n'est qu'une extension de IE. Essayez d'utiliser Firefox de Mozilla sans évidemment télécharger tous les plug-in...
Je vais suivre ce bon conseil et passez immédiatement à Firefox.
Pour les autres réponses, je donne ma méthode personnelle cf lien du début. Elle reste efficace sur deux config W2k entre autre. Si tu es un particulier, je ne vois pas trop l'intérêt de gaspiller de l'argent dans une version payante d'antivirus ou de firewall.
C'est ce que je viens juste de faire ! J'ai viré KAV 4.5 et installé AVG 7.5 Free Edition à la place.
Avant je venais de testé Antivir, mais pas moyen de l'updater, je ne sais quoi bloquait la mise à jour, le programme semblant plus préoccupé à émettre je ne sais quelles données vers le net que de scanner sérieusement l'intérieur de mon système...!)
Par contre, avec AVG aucun problème, et en quelques minutes tout était à jour.