=20
mon ordinateur a =E9t=E9 infect=E9 par sasser. Sur 4 fichiers=20
infect=E9s j'ai r=E9ussi =E0 en nettoyer 3 mais un r=E9siste et=20
je n'arrive pas =E0 m'en d=E9barrasser ni =E0 le supprimer=20
c'est C:\windows\avserve2.exe. quelqu'un pourrait=20
m'aider? merci beaucoup
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
bruno
Tu as un problème avec le ver "SASSER" : http://msmvps.com/docxp/posts/5753.aspx
Solution : 1) Active le pare-feu de XP 2) Passe un coup de Stinger : http://vil.nai.com/vil/stinger/ 3) Mets toi à jour sur www.windowsupdate.com
consulter les msg dans les news un peu plus bas et tu trouvera bon nombre de reponse apportees au pb sasser
voici une autre reponse :
Sasser utilise une vulnérabilité appellée "dépassement de tampon" (buffer overrun) dans "Local Security Authority Subsystem Service", et infectera les machines qui :
* Fonctionnent sous XP ou W2K * N'ont pas passé le patch * Sont connectées à internet sans pare-feu
Une fois infecté, le PC scanne des adresses IP au hasard sur le port 445, ouvre une backdoor sur le port 9996 et charge le ver lui-même par connexion FTP sur le port 5554.
La désinfection semble assez simple :
D'abord éviter que le PC ne s'arrête: [Windows]+[R], taper shutdown -a et click sur OK Ensuite activer le pare-feu de XP: Connexions réseau - click droit sur la connexion Internet - Avancé - cocher "Proteger mon ordinateur et le réseau..." Tuer le processus "avserve.exe" Tuer tout autre processus se terminant par _up.exe Effacer ce programme du répertoire Windows Retirer avserve du registre : [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun] "avserve.exe" = "%WinDir%avserve.exe"
Télécharger le removal (Stinger) et le passer: http://vil.nai.com/vil/stinger/ Ensuite, scanner le PC en ligne chez: http://www.secuser.com/antivirus/ Aller sur le site de WindowsUpdate pour mettre à jour les updates critiques. ******************
bonne chance
bruno
j ai fais un copier colle des reponses trouvee un peu plus bas .. merci a ceux qui les ont redige
-----Message d'origine-----
mon ordinateur a été infecté par sasser. Sur 4 fichiers infectés j'ai réussi à en nettoyer 3 mais un résiste et je n'arrive pas à m'en débarrasser ni à le supprimer c'est C:windowsavserve2.exe. quelqu'un pourrait m'aider? merci beaucoup .
Tu as un problème avec le ver "SASSER" :
http://msmvps.com/docxp/posts/5753.aspx
Solution :
1) Active le pare-feu de XP
2) Passe un coup de Stinger :
http://vil.nai.com/vil/stinger/
3) Mets toi à jour sur www.windowsupdate.com
consulter les msg dans les news un peu plus bas et tu
trouvera bon nombre de reponse apportees au pb sasser
voici une autre reponse :
Sasser utilise une vulnérabilité appellée "dépassement de
tampon"
(buffer overrun) dans "Local Security Authority Subsystem
Service", et
infectera les machines qui :
* Fonctionnent sous XP ou W2K
* N'ont pas passé le patch
* Sont connectées à internet sans pare-feu
Une fois infecté, le PC scanne des adresses IP au hasard
sur le port
445, ouvre une backdoor sur le port 9996 et charge le ver
lui-même par
connexion FTP sur le port 5554.
La désinfection semble assez simple :
D'abord éviter que le PC ne s'arrête:
[Windows]+[R], taper shutdown -a et click sur OK
Ensuite activer le pare-feu de XP:
Connexions réseau - click droit sur la connexion Internet -
Avancé -
cocher "Proteger mon ordinateur et le réseau..."
Tuer le processus "avserve.exe"
Tuer tout autre processus se terminant par _up.exe
Effacer ce programme du répertoire Windows
Retirer avserve du registre :
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
"avserve.exe" = "%WinDir%avserve.exe"
Télécharger le removal (Stinger) et le passer:
http://vil.nai.com/vil/stinger/
Ensuite, scanner le PC en ligne chez:
http://www.secuser.com/antivirus/
Aller sur le site de WindowsUpdate pour mettre à jour les
updates
critiques.
******************
bonne chance
bruno
j ai fais un copier colle des reponses trouvee un peu plus
bas .. merci a ceux qui les ont redige
-----Message d'origine-----
mon ordinateur a été infecté par sasser. Sur 4 fichiers
infectés j'ai réussi à en nettoyer 3 mais un résiste et
je n'arrive pas à m'en débarrasser ni à le supprimer
c'est C:windowsavserve2.exe. quelqu'un pourrait
m'aider? merci beaucoup
.
Tu as un problème avec le ver "SASSER" : http://msmvps.com/docxp/posts/5753.aspx
Solution : 1) Active le pare-feu de XP 2) Passe un coup de Stinger : http://vil.nai.com/vil/stinger/ 3) Mets toi à jour sur www.windowsupdate.com
consulter les msg dans les news un peu plus bas et tu trouvera bon nombre de reponse apportees au pb sasser
voici une autre reponse :
Sasser utilise une vulnérabilité appellée "dépassement de tampon" (buffer overrun) dans "Local Security Authority Subsystem Service", et infectera les machines qui :
* Fonctionnent sous XP ou W2K * N'ont pas passé le patch * Sont connectées à internet sans pare-feu
Une fois infecté, le PC scanne des adresses IP au hasard sur le port 445, ouvre une backdoor sur le port 9996 et charge le ver lui-même par connexion FTP sur le port 5554.
La désinfection semble assez simple :
D'abord éviter que le PC ne s'arrête: [Windows]+[R], taper shutdown -a et click sur OK Ensuite activer le pare-feu de XP: Connexions réseau - click droit sur la connexion Internet - Avancé - cocher "Proteger mon ordinateur et le réseau..." Tuer le processus "avserve.exe" Tuer tout autre processus se terminant par _up.exe Effacer ce programme du répertoire Windows Retirer avserve du registre : [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun] "avserve.exe" = "%WinDir%avserve.exe"
Télécharger le removal (Stinger) et le passer: http://vil.nai.com/vil/stinger/ Ensuite, scanner le PC en ligne chez: http://www.secuser.com/antivirus/ Aller sur le site de WindowsUpdate pour mettre à jour les updates critiques. ******************
bonne chance
bruno
j ai fais un copier colle des reponses trouvee un peu plus bas .. merci a ceux qui les ont redige
-----Message d'origine-----
mon ordinateur a été infecté par sasser. Sur 4 fichiers infectés j'ai réussi à en nettoyer 3 mais un résiste et je n'arrive pas à m'en débarrasser ni à le supprimer c'est C:windowsavserve2.exe. quelqu'un pourrait m'aider? merci beaucoup .
Laurent Jumet
Hello !
"nadine" wrote:
n> mon ordinateur a été infecté par sasser. Sur 4 fichiers n> infectés j'ai réussi à en nettoyer 3 mais un résiste et n> je n'arrive pas à m'en débarrasser ni à le supprimer n> c'est C:windowsavserve2.exe. quelqu'un pourrait n> m'aider? merci beaucoup
Il faut sans doute tuer le processus d'abord.
Laurent Jumet - Point de Chat, Liège, BELGIUM KeyID: 0xCFAF704C [Restore address to laurent.jumet for e-mail reply.]
Hello !
"nadine" <famillepaucet@tele2.fr> wrote:
n> mon ordinateur a été infecté par sasser. Sur 4 fichiers
n> infectés j'ai réussi à en nettoyer 3 mais un résiste et
n> je n'arrive pas à m'en débarrasser ni à le supprimer
n> c'est C:windowsavserve2.exe. quelqu'un pourrait
n> m'aider? merci beaucoup
Il faut sans doute tuer le processus d'abord.
Laurent Jumet - Point de Chat, Liège, BELGIUM
KeyID: 0xCFAF704C
[Restore address to laurent.jumet for e-mail reply.]
n> mon ordinateur a été infecté par sasser. Sur 4 fichiers n> infectés j'ai réussi à en nettoyer 3 mais un résiste et n> je n'arrive pas à m'en débarrasser ni à le supprimer n> c'est C:windowsavserve2.exe. quelqu'un pourrait n> m'aider? merci beaucoup
Il faut sans doute tuer le processus d'abord.
Laurent Jumet - Point de Chat, Liège, BELGIUM KeyID: 0xCFAF704C [Restore address to laurent.jumet for e-mail reply.]
JF
VIRUS SASSER www.secuser.com/alertes/2004/sasser.htm Ver peu dangereux mais gênant. Utilise une faille d'un système de Windows nommé LSASS. Il suffit d'être connecté sur Internet sans Pare-feu. Nota: Quand LSASS est écrit en minuscules, on peut croire qu'il commence par la lettre "i" au lieu de "L". Cette confusion est courante.
MESSAGE D"ALERTE "Le processus système LSASS.EXE s'est terminé de manière inattendue avec le code d'état -1073741819. Le système va maintenant s'éteindre et redémarrer"
POUR QUE LE PC NE S'ARRÊTE PAS Démarrer>Exécuter>shutdown -a
PARE-FEU Cocher le pare-feu dans Propriétés de la connexion.
TUER LE PROCESSUS *** CTL+ALT+Supr et arrêter le processus avserve.exe ou avserve2.exe
TUER LE DÉMARRAGE DU PROCESSUS *** Démarrer>Exécuter>msconfig ... puis sous l'onglet Démarrage décocher le processus avserve.
PATCHER WINDOWS Patch MS04-011 (835732). http://msmvps.com/docxp/posts/5753.aspx www.microsoft.com/security/incident/sasser.asp La liste des patches installés se trouve dans Ajout/Suppression de programmes du Panneau de Configuration. Par la suite, un update complet est conseillé.
*** Faire de même avec tout autre processus douteux, par exemple hkey.exe msiwin84.exe wmiprvsw.exe ou ceux dont le nom se termine par "_up.exe"
ALLER PLUS LOIN ============== Quand on a détecté un virus, on a de fortes chances d'en avoir d'autres==>
NETTOYEURS DE VIRUS ================== Ces outils légers peuvent être copiés sur une disquette.
Recommandations --------------- - Désactiver la restauration du système: Cocher "Désactiver la restauration du système" dans Propriétés du Poste de travail. Les points de restauration sont effacés ainsi que les virus qu'ils pourraient conserver. Cette désactivation permet à l'outil d'être efficace même dans le système de restauration. - Désactiver l'anti-virus: Si un anti-virus est utilisé, désactiver la détection automatique. Penser au mode "sans échec" (démarrer en appuyant sur F8). NOTA: ne pas oublier de réactiver par la suite. Recréer un point de restauration.
STINGER http://vil.nai.com/vil/stinger Recherche et élimine les 40 derniers virus les plus actifs dont Sasser.
AVAST VIRUS CLEANER free virus & worm removal tool Nettoie 20 virus et leurs 260 variantes www.asw.cz/i_idt_171.html
On peut faire un scan complet en ligne: http://www.secuser.com/outils/antivirus.htm http://www.pandasoftware.com/activescan
ANTI-VIRUS GRATUITS ================== Installer un anti-virus gratuit: www.free-av.com http://www.avast.com/i_idt_1016.html NOTA: Ne pas installer plus d'un anti-virus.
SPYWARES ======= Si on a des virus, alors on certainement des spywares. Utiliser SPYBOT==> http://www.safer-networking.org/index.php?lang=fr Il y a d'autres, tout aussi gratuits. Utiliser Google et son onglet Groupes pour savoir quels sont les plus appréciés.
PLUS D'INFOS SUR LES PROBLÈMES DE SÉCURITÉ ========================================= http://jm.leglas.free.fr/informatique/initiation/survie/chapitre_06.htm http://perso.wanadoo.fr/doc.jm/CA_Marche_Pas.htm www.d2i.ch/pn/telechargement/index.html#secu www.zebulon.fr/articles/protectionPC_1.php http://sebsauvage.net/safehex.html http://assiste.free.fr http://assiste.free.fr/p/frameset/07.php http://assiste.free.fr/p/internet_contre_mesures/hosts.php
-- Pour trouver des réponses : 1- http://perso.wanadoo.fr/doc.jm/liens.htm 2- http://groups.google.com 3- Outlook Express : faire [MAJ+F3], puis [F3] 4- Outlook Express : Suivez vos fils : [CTL+H] - Salutations, JF
nadine a dit : | mon ordinateur a été infecté par sasser. Sur 4 fichiers | infectés j'ai réussi à en nettoyer 3 mais un résiste et | je n'arrive pas à m'en débarrasser ni à le supprimer | c'est C:windowsavserve2.exe. quelqu'un pourrait | m'aider? merci beaucoup
VIRUS SASSER
www.secuser.com/alertes/2004/sasser.htm
Ver peu dangereux mais gênant.
Utilise une faille d'un système de Windows nommé LSASS.
Il suffit d'être connecté sur Internet sans Pare-feu.
Nota: Quand LSASS est écrit en minuscules, on peut croire
qu'il commence par la lettre "i" au lieu de "L".
Cette confusion est courante.
MESSAGE D"ALERTE
"Le processus système LSASS.EXE s'est terminé de manière
inattendue avec le code d'état -1073741819. Le système va
maintenant s'éteindre et redémarrer"
POUR QUE LE PC NE S'ARRÊTE PAS
Démarrer>Exécuter>shutdown -a
PARE-FEU
Cocher le pare-feu dans Propriétés de la connexion.
TUER LE PROCESSUS ***
CTL+ALT+Supr et arrêter le processus avserve.exe ou avserve2.exe
TUER LE DÉMARRAGE DU PROCESSUS ***
Démarrer>Exécuter>msconfig ... puis sous l'onglet Démarrage décocher le
processus avserve.
PATCHER WINDOWS
Patch MS04-011 (835732).
http://msmvps.com/docxp/posts/5753.aspx
www.microsoft.com/security/incident/sasser.asp
La liste des patches installés se trouve dans
Ajout/Suppression de programmes du Panneau de Configuration.
Par la suite, un update complet est conseillé.
*** Faire de même avec tout autre processus douteux,
par exemple hkey.exe msiwin84.exe wmiprvsw.exe ou
ceux dont le nom se termine par "_up.exe"
ALLER PLUS LOIN
============== Quand on a détecté un virus, on a de fortes chances d'en avoir d'autres==>
NETTOYEURS DE VIRUS
================== Ces outils légers peuvent être copiés sur une disquette.
Recommandations
---------------
- Désactiver la restauration du système:
Cocher "Désactiver la restauration du système"
dans Propriétés du Poste de travail. Les points de restauration sont effacés
ainsi que les virus qu'ils pourraient conserver.
Cette désactivation permet à l'outil d'être efficace
même dans le système de restauration.
- Désactiver l'anti-virus:
Si un anti-virus est utilisé, désactiver la détection automatique. Penser au
mode "sans échec" (démarrer en appuyant sur F8).
NOTA: ne pas oublier de réactiver par la suite. Recréer un point de
restauration.
STINGER
http://vil.nai.com/vil/stinger
Recherche et élimine les 40 derniers virus les plus actifs dont Sasser.
AVAST VIRUS CLEANER
free virus & worm removal tool
Nettoie 20 virus et leurs 260 variantes
www.asw.cz/i_idt_171.html
On peut faire un scan complet en ligne:
http://www.secuser.com/outils/antivirus.htm
http://www.pandasoftware.com/activescan
ANTI-VIRUS GRATUITS
================== Installer un anti-virus gratuit:
www.free-av.com
http://www.avast.com/i_idt_1016.html
NOTA: Ne pas installer plus d'un anti-virus.
SPYWARES
======= Si on a des virus, alors on certainement des spywares.
Utiliser SPYBOT==>
http://www.safer-networking.org/index.php?lang=fr
Il y a d'autres, tout aussi gratuits.
Utiliser Google et son onglet Groupes pour savoir quels sont les plus appréciés.
PLUS D'INFOS SUR LES PROBLÈMES DE SÉCURITÉ
========================================= http://jm.leglas.free.fr/informatique/initiation/survie/chapitre_06.htm
http://perso.wanadoo.fr/doc.jm/CA_Marche_Pas.htm
www.d2i.ch/pn/telechargement/index.html#secu
www.zebulon.fr/articles/protectionPC_1.php
http://sebsauvage.net/safehex.html
http://assiste.free.fr
http://assiste.free.fr/p/frameset/07.php
http://assiste.free.fr/p/internet_contre_mesures/hosts.php
--
Pour trouver des réponses :
1- http://perso.wanadoo.fr/doc.jm/liens.htm
2- http://groups.google.com
3- Outlook Express : faire [MAJ+F3], puis [F3]
4- Outlook Express : Suivez vos fils : [CTL+H]
- Salutations, JF
nadine a dit :
| mon ordinateur a été infecté par sasser. Sur 4 fichiers
| infectés j'ai réussi à en nettoyer 3 mais un résiste et
| je n'arrive pas à m'en débarrasser ni à le supprimer
| c'est C:windowsavserve2.exe. quelqu'un pourrait
| m'aider? merci beaucoup
VIRUS SASSER www.secuser.com/alertes/2004/sasser.htm Ver peu dangereux mais gênant. Utilise une faille d'un système de Windows nommé LSASS. Il suffit d'être connecté sur Internet sans Pare-feu. Nota: Quand LSASS est écrit en minuscules, on peut croire qu'il commence par la lettre "i" au lieu de "L". Cette confusion est courante.
MESSAGE D"ALERTE "Le processus système LSASS.EXE s'est terminé de manière inattendue avec le code d'état -1073741819. Le système va maintenant s'éteindre et redémarrer"
POUR QUE LE PC NE S'ARRÊTE PAS Démarrer>Exécuter>shutdown -a
PARE-FEU Cocher le pare-feu dans Propriétés de la connexion.
TUER LE PROCESSUS *** CTL+ALT+Supr et arrêter le processus avserve.exe ou avserve2.exe
TUER LE DÉMARRAGE DU PROCESSUS *** Démarrer>Exécuter>msconfig ... puis sous l'onglet Démarrage décocher le processus avserve.
PATCHER WINDOWS Patch MS04-011 (835732). http://msmvps.com/docxp/posts/5753.aspx www.microsoft.com/security/incident/sasser.asp La liste des patches installés se trouve dans Ajout/Suppression de programmes du Panneau de Configuration. Par la suite, un update complet est conseillé.
*** Faire de même avec tout autre processus douteux, par exemple hkey.exe msiwin84.exe wmiprvsw.exe ou ceux dont le nom se termine par "_up.exe"
ALLER PLUS LOIN ============== Quand on a détecté un virus, on a de fortes chances d'en avoir d'autres==>
NETTOYEURS DE VIRUS ================== Ces outils légers peuvent être copiés sur une disquette.
Recommandations --------------- - Désactiver la restauration du système: Cocher "Désactiver la restauration du système" dans Propriétés du Poste de travail. Les points de restauration sont effacés ainsi que les virus qu'ils pourraient conserver. Cette désactivation permet à l'outil d'être efficace même dans le système de restauration. - Désactiver l'anti-virus: Si un anti-virus est utilisé, désactiver la détection automatique. Penser au mode "sans échec" (démarrer en appuyant sur F8). NOTA: ne pas oublier de réactiver par la suite. Recréer un point de restauration.
STINGER http://vil.nai.com/vil/stinger Recherche et élimine les 40 derniers virus les plus actifs dont Sasser.
AVAST VIRUS CLEANER free virus & worm removal tool Nettoie 20 virus et leurs 260 variantes www.asw.cz/i_idt_171.html
On peut faire un scan complet en ligne: http://www.secuser.com/outils/antivirus.htm http://www.pandasoftware.com/activescan
ANTI-VIRUS GRATUITS ================== Installer un anti-virus gratuit: www.free-av.com http://www.avast.com/i_idt_1016.html NOTA: Ne pas installer plus d'un anti-virus.
SPYWARES ======= Si on a des virus, alors on certainement des spywares. Utiliser SPYBOT==> http://www.safer-networking.org/index.php?lang=fr Il y a d'autres, tout aussi gratuits. Utiliser Google et son onglet Groupes pour savoir quels sont les plus appréciés.
PLUS D'INFOS SUR LES PROBLÈMES DE SÉCURITÉ ========================================= http://jm.leglas.free.fr/informatique/initiation/survie/chapitre_06.htm http://perso.wanadoo.fr/doc.jm/CA_Marche_Pas.htm www.d2i.ch/pn/telechargement/index.html#secu www.zebulon.fr/articles/protectionPC_1.php http://sebsauvage.net/safehex.html http://assiste.free.fr http://assiste.free.fr/p/frameset/07.php http://assiste.free.fr/p/internet_contre_mesures/hosts.php
-- Pour trouver des réponses : 1- http://perso.wanadoo.fr/doc.jm/liens.htm 2- http://groups.google.com 3- Outlook Express : faire [MAJ+F3], puis [F3] 4- Outlook Express : Suivez vos fils : [CTL+H] - Salutations, JF
nadine a dit : | mon ordinateur a été infecté par sasser. Sur 4 fichiers | infectés j'ai réussi à en nettoyer 3 mais un résiste et | je n'arrive pas à m'en débarrasser ni à le supprimer | c'est C:windowsavserve2.exe. quelqu'un pourrait | m'aider? merci beaucoup
Faelan
"Laurent Jumet" a écrit dans le message de news:
Hello !
"nadine" wrote:
n> mon ordinateur a été infecté par sasser. Sur 4 fichiers n> infectés j'ai réussi à en nettoyer 3 mais un résiste et n> je n'arrive pas à m'en débarrasser ni à le supprimer n> c'est C:windowsavserve2.exe. quelqu'un pourrait n> m'aider? merci beaucoup
Il faut sans doute tuer le processus d'abord.
Exactement.
--
F.
"Laurent Jumet" <1st_NAME.Lst_NAME@skynet.be> a écrit dans le message de
news:GED4096475F@1st_NAME.Lst_NAME.skynet.be...
Hello !
"nadine" <famillepaucet@tele2.fr> wrote:
n> mon ordinateur a été infecté par sasser. Sur 4 fichiers
n> infectés j'ai réussi à en nettoyer 3 mais un résiste et
n> je n'arrive pas à m'en débarrasser ni à le supprimer
n> c'est C:windowsavserve2.exe. quelqu'un pourrait
n> m'aider? merci beaucoup
n> mon ordinateur a été infecté par sasser. Sur 4 fichiers n> infectés j'ai réussi à en nettoyer 3 mais un résiste et n> je n'arrive pas à m'en débarrasser ni à le supprimer n> c'est C:windowsavserve2.exe. quelqu'un pourrait n> m'aider? merci beaucoup
