sasser

Le
nadine

mon ordinateur a t infect par sasser. Sur 4 fichiers
infects j'ai russi en nettoyer 3 mais un rsiste et
je n'arrive pas m'en dbarrasser ni le supprimer
c'est C:windowsavserve2.exe. quelqu'un pourrait
m'aider? merci beaucoup
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
bruno
Le #386891
Tu as un problème avec le ver "SASSER" :
http://msmvps.com/docxp/posts/5753.aspx

Solution :
1) Active le pare-feu de XP
2) Passe un coup de Stinger :
http://vil.nai.com/vil/stinger/
3) Mets toi à jour sur www.windowsupdate.com

consulter les msg dans les news un peu plus bas et tu
trouvera bon nombre de reponse apportees au pb sasser

voici une autre reponse :

Sasser utilise une vulnérabilité appellée "dépassement de
tampon"
(buffer overrun) dans "Local Security Authority Subsystem
Service", et
infectera les machines qui :

* Fonctionnent sous XP ou W2K
* N'ont pas passé le patch
* Sont connectées à internet sans pare-feu

Une fois infecté, le PC scanne des adresses IP au hasard
sur le port
445, ouvre une backdoor sur le port 9996 et charge le ver
lui-même par
connexion FTP sur le port 5554.

La désinfection semble assez simple :

D'abord éviter que le PC ne s'arrête:
[Windows]+[R], taper shutdown -a et click sur OK
Ensuite activer le pare-feu de XP:
Connexions réseau - click droit sur la connexion Internet -
Avancé -
cocher "Proteger mon ordinateur et le réseau..."
Tuer le processus "avserve.exe"
Tuer tout autre processus se terminant par _up.exe
Effacer ce programme du répertoire Windows
Retirer avserve du registre :
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
"avserve.exe" = "%WinDir%avserve.exe"

Télécharger le removal (Stinger) et le passer:
http://vil.nai.com/vil/stinger/
Ensuite, scanner le PC en ligne chez:
http://www.secuser.com/antivirus/
Aller sur le site de WindowsUpdate pour mettre à jour les
updates
critiques.
******************

bonne chance

bruno

j ai fais un copier colle des reponses trouvee un peu plus
bas .. merci a ceux qui les ont redige



-----Message d'origine-----

mon ordinateur a été infecté par sasser. Sur 4 fichiers
infectés j'ai réussi à en nettoyer 3 mais un résiste et
je n'arrive pas à m'en débarrasser ni à le supprimer
c'est C:windowsavserve2.exe. quelqu'un pourrait
m'aider? merci beaucoup
.



Laurent Jumet
Le #386882
Hello !

"nadine"

n> mon ordinateur a été infecté par sasser. Sur 4 fichiers
n> infectés j'ai réussi à en nettoyer 3 mais un résiste et
n> je n'arrive pas à m'en débarrasser ni à le supprimer
n> c'est C:windowsavserve2.exe. quelqu'un pourrait
n> m'aider? merci beaucoup

Il faut sans doute tuer le processus d'abord.


Laurent Jumet - Point de Chat, Liège, BELGIUM
KeyID: 0xCFAF704C
[Restore address to laurent.jumet for e-mail reply.]
JF
Le #386852
VIRUS SASSER
www.secuser.com/alertes/2004/sasser.htm
Ver peu dangereux mais gênant.
Utilise une faille d'un système de Windows nommé LSASS.
Il suffit d'être connecté sur Internet sans Pare-feu.
Nota: Quand LSASS est écrit en minuscules, on peut croire
qu'il commence par la lettre "i" au lieu de "L".
Cette confusion est courante.

MESSAGE D"ALERTE
"Le processus système LSASS.EXE s'est terminé de manière
inattendue avec le code d'état -1073741819. Le système va
maintenant s'éteindre et redémarrer"

POUR QUE LE PC NE S'ARRÊTE PAS
Démarrer>Exécuter>shutdown -a

PARE-FEU
Cocher le pare-feu dans Propriétés de la connexion.

TUER LE PROCESSUS ***
CTL+ALT+Supr et arrêter le processus avserve.exe ou avserve2.exe

TUER LE DÉMARRAGE DU PROCESSUS ***
Démarrer>Exécuter>msconfig ... puis sous l'onglet Démarrage décocher le
processus avserve.

PATCHER WINDOWS
Patch MS04-011 (835732).
http://msmvps.com/docxp/posts/5753.aspx
www.microsoft.com/security/incident/sasser.asp
La liste des patches installés se trouve dans
Ajout/Suppression de programmes du Panneau de Configuration.
Par la suite, un update complet est conseillé.

*** Faire de même avec tout autre processus douteux,
par exemple hkey.exe msiwin84.exe wmiprvsw.exe ou
ceux dont le nom se termine par "_up.exe"



ALLER PLUS LOIN
============== Quand on a détecté un virus, on a de fortes chances d'en avoir d'autres==>

NETTOYEURS DE VIRUS
================== Ces outils légers peuvent être copiés sur une disquette.

Recommandations
---------------
- Désactiver la restauration du système:
Cocher "Désactiver la restauration du système"
dans Propriétés du Poste de travail. Les points de restauration sont effacés
ainsi que les virus qu'ils pourraient conserver.
Cette désactivation permet à l'outil d'être efficace
même dans le système de restauration.
- Désactiver l'anti-virus:
Si un anti-virus est utilisé, désactiver la détection automatique. Penser au
mode "sans échec" (démarrer en appuyant sur F8).
NOTA: ne pas oublier de réactiver par la suite. Recréer un point de
restauration.

STINGER
http://vil.nai.com/vil/stinger
Recherche et élimine les 40 derniers virus les plus actifs dont Sasser.

AVAST VIRUS CLEANER
free virus & worm removal tool
Nettoie 20 virus et leurs 260 variantes
www.asw.cz/i_idt_171.html

On peut faire un scan complet en ligne:
http://www.secuser.com/outils/antivirus.htm
http://www.pandasoftware.com/activescan

ANTI-VIRUS GRATUITS
================== Installer un anti-virus gratuit:
www.free-av.com
http://www.avast.com/i_idt_1016.html
NOTA: Ne pas installer plus d'un anti-virus.

SPYWARES
======= Si on a des virus, alors on certainement des spywares.
Utiliser SPYBOT==>
http://www.safer-networking.org/index.php?lang=fr
Il y a d'autres, tout aussi gratuits.
Utiliser Google et son onglet Groupes pour savoir quels sont les plus appréciés.

PLUS D'INFOS SUR LES PROBLÈMES DE SÉCURITÉ
========================================= http://jm.leglas.free.fr/informatique/initiation/survie/chapitre_06.htm
http://perso.wanadoo.fr/doc.jm/CA_Marche_Pas.htm
www.d2i.ch/pn/telechargement/index.html#secu
www.zebulon.fr/articles/protectionPC_1.php
http://sebsauvage.net/safehex.html
http://assiste.free.fr
http://assiste.free.fr/p/frameset/07.php
http://assiste.free.fr/p/internet_contre_mesures/hosts.php


--
Pour trouver des réponses :
1- http://perso.wanadoo.fr/doc.jm/liens.htm
2- http://groups.google.com
3- Outlook Express : faire [MAJ+F3], puis [F3]
4- Outlook Express : Suivez vos fils : [CTL+H]
- Salutations, JF



nadine a dit :
| mon ordinateur a été infecté par sasser. Sur 4 fichiers
| infectés j'ai réussi à en nettoyer 3 mais un résiste et
| je n'arrive pas à m'en débarrasser ni à le supprimer
| c'est C:windowsavserve2.exe. quelqu'un pourrait
| m'aider? merci beaucoup
Faelan
Le #386811
"Laurent Jumet" news:
Hello !

"nadine"

n> mon ordinateur a été infecté par sasser. Sur 4 fichiers
n> infectés j'ai réussi à en nettoyer 3 mais un résiste et
n> je n'arrive pas à m'en débarrasser ni à le supprimer
n> c'est C:windowsavserve2.exe. quelqu'un pourrait
n> m'aider? merci beaucoup

Il faut sans doute tuer le processus d'abord.


Exactement.

--

F.

Publicité
Poster une réponse
Anonyme