sérieusement il manque les questions, claires et précises :
- Pourquoi LSASS.EXE fait autant d'accès disque R/W quand aucune application ne tourne (je sais, il reste l'arrière plan mais quand même) ?
- comment peut-on stopper ce mécanisme ? (assez bruyant pendant la lecture d'un film )
- ceci est apparu récement, disont depuis mai/juin 2008, pas remarqué avant.
- sur le net, je vois les mêmes symptomes, en 2007 et avant, je suppose donc que le passage du SP3 n'a rien à voir.
Merci d'avance !
_Dine & Clau_
Kyle Katarn écrivit dans news::
"_Dine & Clau_" wrote in news:48af3ac0$0$2870 $:
sérieusement il manque les questions, claires et précises :
Ben oui.
- comment peut-on stopper ce mécanisme ? (assez bruyant pendant la lecture d'un film )
En vérifiant s'il ne s'agit pas d'un virus backdoor avec site ftp ouvert à chaque démarrage de la machine.
- ceci est apparu récement, disont depuis mai/juin 2008, pas remarqué avant.
Si virus, il est apparu depuis mai 2004.
LSASS est un service windows qui s'occupe du winlogon. (vérification des utilisateurs).
Depuis 2004, une faille de ce service est exploité par un virus (blaster, sasser ...)
La panthère noire raconte que : --------------------[Copie de http://www.d2i.ch/pn/az/l.html]------------------------ ON
lsass: virus ou pas? Un troyen connu sous le nom d'Optrix pro sème la panique en faisant tourner dans le système un processus nommé isass.exe. Ce trouble-fête s'affiche avec un i majuscule afin qu'on le prenne pour le vrai processus XP nommé lsass.exe, avec un L minuscule!. LSASS correspond au service Gestionnaire de comptes de sécurité qui stocke les informations de sécurité pour les comptes d'utilisateurs locaux. Il gère les mécanismes de sécurité et d'authentification des utilisateurs. Sans lui, le jeton d'accès autorisant l'entrée en session de l'utilisateur ne peut pas être créé. Ce processus est donc fondamental et ne peut pas être arrêté. Mais alors.. comment savoir si le processus affiché dans le gestionnaire de tâches est l'indésirable ou le service d'XP? C'est relativement simple: Etant donné que LSASS.EXE est un processus indispensable au système (Local Security Authority Subsystem Service), c'est la présence d'une deuxième entrée Isass.exe qui prouvera à coup sûr que le système est contaminé par Optrix Pro. Infection ou erreurs avec Isass? En présence des deux processus, il faut débarrasser le système de Optrix Pro. voir procédure sur le site trendmicro.com ou faire une recherche sur la Toile sur les mots Optrix Pro Backdoor. En présence d'un seul processus lsass.exe avec erreurs ou redémarrages intempestifs dont la cause est LSASS.EXE, il est possible que le système ait été infecté par le virus Sasser. Voir procédure d'éradication et de protection sur le site Secuser et faire installer les correctifs de sécurité à partir de Windows Update.
-----------[Copie de http://www.d2i.ch/pn/az/l.html]-------- OFF
Autres sources aux fins de vérification de ta babasse : http://www.commentcamarche.net/processus/lsass-exe.php3 "Le service Lsass original possède une faille de sécurité, exploitée notamment par le virus Sasser,qu'il est impératif de corriger !"
Lis convenablement http://www.commentcamarche.net/virus/sasser.php3 afin de voir si dans la BdR il existe ça : ----------------------------- HKLMSoftwareMicrosoftWindowsCurrentVersionRunavserve = avserve ------------------------------
Dans l'affirmative, tu es infecté.
je suppose donc que le passage du SP3 n'a rien à voir.
NON ! Mais µsoft ne va pas intégrer un antivirus dans son OS de base, et il ne corrige pas philantropiquement ses failles dans les babasses infectées !
Attention ! il faut traiter chaque babasse du réseau local. A plus. __ cB C&C ------------------- On est un peu HS mais y en a ici qui ne font que ça (les antivirus par le HS ;+))
Kyle Katarn <nop@nop.fr> écrivit dans
news:Xns9B0350052486kylekatarn@212.27.60.38:
"_Dine & Clau_" <claude.claudine@gmail.com> wrote in
news:48af3ac0$0$2870 $ba620e4c@news.skynet.be:
sérieusement il manque les questions, claires et précises :
Ben oui.
- comment peut-on stopper ce mécanisme ? (assez bruyant pendant
la lecture d'un film )
En vérifiant s'il ne s'agit pas d'un virus backdoor avec site ftp
ouvert à chaque démarrage de la machine.
- ceci est apparu récement, disont depuis mai/juin 2008, pas
remarqué avant.
Si virus, il est apparu depuis mai 2004.
LSASS est un service windows qui s'occupe du winlogon. (vérification
des utilisateurs).
Depuis 2004, une faille de ce service est exploité par un virus
(blaster, sasser ...)
La panthère noire raconte que :
--------------------[Copie de http://www.d2i.ch/pn/az/l.html]------------------------ ON
lsass: virus ou pas?
Un troyen connu sous le nom d'Optrix pro sème la panique en faisant tourner dans le système un
processus nommé isass.exe. Ce trouble-fête s'affiche avec un i majuscule afin qu'on le prenne pour le
vrai processus XP nommé lsass.exe, avec un L minuscule!.
LSASS correspond au service Gestionnaire de comptes de sécurité qui stocke les informations de
sécurité pour les comptes d'utilisateurs locaux. Il gère les mécanismes de sécurité et d'authentification
des utilisateurs. Sans lui, le jeton d'accès autorisant l'entrée en session de l'utilisateur ne peut pas être
créé. Ce processus est donc fondamental et ne peut pas être arrêté.
Mais alors.. comment savoir si le processus affiché dans le gestionnaire de tâches est l'indésirable ou le
service d'XP? C'est relativement simple:
Etant donné que LSASS.EXE est un processus indispensable au système (Local Security
Authority Subsystem Service), c'est la présence d'une deuxième entrée Isass.exe qui
prouvera à coup sûr que le système est contaminé par Optrix Pro.
Infection ou erreurs avec Isass?
En présence des deux processus, il faut débarrasser le système de Optrix Pro. voir procédure sur le
site trendmicro.com ou faire une recherche sur la Toile sur les mots Optrix Pro Backdoor.
En présence d'un seul processus lsass.exe avec erreurs ou redémarrages intempestifs dont la cause
est LSASS.EXE, il est possible que le système ait été infecté par le virus Sasser. Voir
procédure d'éradication et de protection sur le site Secuser et faire installer les correctifs de
sécurité à partir de Windows Update.
-----------[Copie de http://www.d2i.ch/pn/az/l.html]-------- OFF
Autres sources aux fins de vérification de ta babasse :
http://www.commentcamarche.net/processus/lsass-exe.php3
"Le service Lsass original possède une faille de sécurité, exploitée
notamment par le virus Sasser,qu'il est impératif de corriger !"
Lis convenablement http://www.commentcamarche.net/virus/sasser.php3
afin de voir si dans la BdR il existe ça :
-----------------------------
HKLMSoftwareMicrosoftWindowsCurrentVersionRunavserve = avserve
------------------------------
Dans l'affirmative, tu es infecté.
je suppose donc que le passage du SP3 n'a rien à voir.
NON ! Mais µsoft ne va pas intégrer un antivirus dans son OS de base,
et il ne corrige pas philantropiquement ses failles dans les babasses
infectées !
Attention ! il faut traiter chaque babasse du réseau local.
A plus.
__
cB
C&C
-------------------
On est un peu HS mais y en a ici qui ne font que ça (les antivirus
par le HS ;+))
sérieusement il manque les questions, claires et précises :
Ben oui.
- comment peut-on stopper ce mécanisme ? (assez bruyant pendant la lecture d'un film )
En vérifiant s'il ne s'agit pas d'un virus backdoor avec site ftp ouvert à chaque démarrage de la machine.
- ceci est apparu récement, disont depuis mai/juin 2008, pas remarqué avant.
Si virus, il est apparu depuis mai 2004.
LSASS est un service windows qui s'occupe du winlogon. (vérification des utilisateurs).
Depuis 2004, une faille de ce service est exploité par un virus (blaster, sasser ...)
La panthère noire raconte que : --------------------[Copie de http://www.d2i.ch/pn/az/l.html]------------------------ ON
lsass: virus ou pas? Un troyen connu sous le nom d'Optrix pro sème la panique en faisant tourner dans le système un processus nommé isass.exe. Ce trouble-fête s'affiche avec un i majuscule afin qu'on le prenne pour le vrai processus XP nommé lsass.exe, avec un L minuscule!. LSASS correspond au service Gestionnaire de comptes de sécurité qui stocke les informations de sécurité pour les comptes d'utilisateurs locaux. Il gère les mécanismes de sécurité et d'authentification des utilisateurs. Sans lui, le jeton d'accès autorisant l'entrée en session de l'utilisateur ne peut pas être créé. Ce processus est donc fondamental et ne peut pas être arrêté. Mais alors.. comment savoir si le processus affiché dans le gestionnaire de tâches est l'indésirable ou le service d'XP? C'est relativement simple: Etant donné que LSASS.EXE est un processus indispensable au système (Local Security Authority Subsystem Service), c'est la présence d'une deuxième entrée Isass.exe qui prouvera à coup sûr que le système est contaminé par Optrix Pro. Infection ou erreurs avec Isass? En présence des deux processus, il faut débarrasser le système de Optrix Pro. voir procédure sur le site trendmicro.com ou faire une recherche sur la Toile sur les mots Optrix Pro Backdoor. En présence d'un seul processus lsass.exe avec erreurs ou redémarrages intempestifs dont la cause est LSASS.EXE, il est possible que le système ait été infecté par le virus Sasser. Voir procédure d'éradication et de protection sur le site Secuser et faire installer les correctifs de sécurité à partir de Windows Update.
-----------[Copie de http://www.d2i.ch/pn/az/l.html]-------- OFF
Autres sources aux fins de vérification de ta babasse : http://www.commentcamarche.net/processus/lsass-exe.php3 "Le service Lsass original possède une faille de sécurité, exploitée notamment par le virus Sasser,qu'il est impératif de corriger !"
Lis convenablement http://www.commentcamarche.net/virus/sasser.php3 afin de voir si dans la BdR il existe ça : ----------------------------- HKLMSoftwareMicrosoftWindowsCurrentVersionRunavserve = avserve ------------------------------
Dans l'affirmative, tu es infecté.
je suppose donc que le passage du SP3 n'a rien à voir.
NON ! Mais µsoft ne va pas intégrer un antivirus dans son OS de base, et il ne corrige pas philantropiquement ses failles dans les babasses infectées !
Attention ! il faut traiter chaque babasse du réseau local. A plus. __ cB C&C ------------------- On est un peu HS mais y en a ici qui ne font que ça (les antivirus par le HS ;+))
Kyle Katarn
"_Dine & Clau_" wrote in news:48b12c70$0$2854$:
- comment peut-on stopper ce m‚canisme ? (assez bruyant pendant la lecture d'un film )
En v‚rifiant s'il ne s'agit pas d'un virus backdoor avec site ftp ouvert … chaque d‚marrage de la machine.
- ceci est apparu r‚cement, disont depuis mai/juin 2008, pas remarqu‚ avant.
j'ai fait pas mal de scan avec différents outils qui n'ont rien vu d'anormal, dont un AV sur CD de boot (avira).
je n'ai pas le pb du lsass, le module LSASS n'a pas de connexion ftp, udp ou tcp
perso, je pense plus à paramètrage ou un service qui est résponsable de cett activité disque.
LSASS est un service windows qui s'occupe du winlogon. (v‚rification des utilisateurs).
Depuis 2004, une faille de ce service est exploit‚ par un virus (blaster, sasser ...)
oui mais cette faille a été corrigée et ma machine est à jour (SP3)
et il ne corrige pas philantropiquement ses failles dans les babasses infect‚es !
je ne comprend pas cette phrase : infectée ou non, un patch va bien corriger une faille.
il ne faut pas confondre faille et "exploit" (un virus, le + souvent, utilise une faille pour infecter).
"_Dine & Clau_" <claude.claudine@gmail.com> wrote in
news:48b12c70$0$2854$ba620e4c@news.skynet.be:
- comment peut-on stopper ce m‚canisme ? (assez bruyant pendant
la lecture d'un film )
En v‚rifiant s'il ne s'agit pas d'un virus backdoor avec site ftp
ouvert … chaque d‚marrage de la machine.
- ceci est apparu r‚cement, disont depuis mai/juin 2008, pas
remarqu‚ avant.
j'ai fait pas mal de scan avec différents outils qui n'ont rien vu
d'anormal, dont un AV sur CD de boot (avira).
je n'ai pas le pb du lsass, le module LSASS n'a pas de connexion
ftp, udp ou tcp
perso, je pense plus à paramètrage ou un service qui est résponsable de
cett activité disque.
LSASS est un service windows qui s'occupe du winlogon. (v‚rification
des utilisateurs).
Depuis 2004, une faille de ce service est exploit‚ par un virus
(blaster, sasser ...)
oui mais cette faille a été corrigée et ma machine est à jour (SP3)
et il ne corrige pas philantropiquement ses failles dans les babasses
infect‚es !
je ne comprend pas cette phrase : infectée ou non, un patch va bien
corriger une faille.
il ne faut pas confondre faille et "exploit" (un virus, le + souvent,
utilise une faille pour infecter).
