Sasser, lsass.exe et virus! part 2 (comme au cinéma)
1 réponse
rolling
Bonsoir!
Après une correction (justifiée) de *Jack* (en fait j'ai inversé
l'ordre des points à faire), je reposte cet article:
Je sais qu'il est extrêmement difficile de faire une recherche dans le
forum pour trouver une réponse au problème du nouveau virus "Sasser",
alors ici je donne les information pour se débarasser de cet invité non
désiré. Une lecture attentive pourra aider les "hôtes" involontaires:
*********************
Sasser utilise une vulnérabilité appellée "dépassement de tampon"
(buffer overrun) dans "Local Security Authority Subsystem Service", et
infectera les machines qui :
* Fonctionnent sous XP ou W2K
* N'ont pas passé le patch
* Sont connectées à internet sans pare-feu
Une fois infecté, le PC scanne des adresses IP au hasard sur le port
445, ouvre une backdoor sur le port 9996 et charge le ver lui-même par
connexion FTP sur le port 5554.
La désinfection semble assez simple :
D'abord éviter que le PC ne s'arrête:
[Windows]+[R], taper shutdown -a et click sur OK
Ensuite activer le pare-feu de XP:
Connexions réseau - click droit sur la connexion Internet - Avancé -
cocher "Proteger mon ordinateur et le réseau..."
Tuer le processus "avserve.exe"
Tuer tout autre processus se terminant par _up.exe
Effacer ce programme du répertoire Windows
Retirer avserve du registre :
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avserve.exe" = "%WinDir%\avserve.exe"
Télécharger le removal (Stinger) et le passer:
http://vil.nai.com/vil/stinger/
Ensuite, scanner le PC en ligne chez:
http://www.secuser.com/antivirus/
Aller sur le site de WindowsUpdate pour mettre à jour les updates
critiques.
******************
J'ai bon espoir que l'on ne verra pas après celà une demande concernant
ce problème toutes les 5 minutes!
Salutations!
--
@+ rolling
Pour la reponse par email, cliquer sur:
http://www.cerbermail.com/?dXLiR5J6jA
ou enlever "spam"
...keep rollin' babe...
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Faelan
"rolling" a écrit dans le message de news:
Bonsoir! Après une correction (justifiée) de *Jack* (en fait j'ai inversé l'ordre des points à faire), je reposte cet article:
Je sais qu'il est extrêmement difficile de faire une recherche dans le forum pour trouver une réponse au problème du nouveau virus "Sasser", alors ici je donne les information pour se débarasser de cet invité non désiré. Une lecture attentive pourra aider les "hôtes" involontaires:
********************* Sasser utilise une vulnérabilité appellée "dépassement de tampon" (buffer overrun) dans "Local Security Authority Subsystem Service", et infectera les machines qui :
* Fonctionnent sous XP ou W2K * N'ont pas passé le patch * Sont connectées à internet sans pare-feu
Une fois infecté, le PC scanne des adresses IP au hasard sur le port 445, ouvre une backdoor sur le port 9996 et charge le ver lui-même par connexion FTP sur le port 5554.
La désinfection semble assez simple :
D'abord éviter que le PC ne s'arrête: [Windows]+[R], taper shutdown -a et click sur OK Ensuite activer le pare-feu de XP: Connexions réseau - click droit sur la connexion Internet - Avancé - cocher "Proteger mon ordinateur et le réseau..." Tuer le processus "avserve.exe" Tuer tout autre processus se terminant par _up.exe Effacer ce programme du répertoire Windows Retirer avserve du registre : [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun] "avserve.exe" = "%WinDir%avserve.exe"
Télécharger le removal (Stinger) et le passer: http://vil.nai.com/vil/stinger/ Ensuite, scanner le PC en ligne chez: http://www.secuser.com/antivirus/ Aller sur le site de WindowsUpdate pour mettre à jour les updates critiques. ******************
J'ai bon espoir que l'on ne verra pas après celà une demande concernant ce problème toutes les 5 minutes!
Un tout petit élément supplémentaire. Il y a déjà une variante de Sasser très répandue. Tout est pareil par rapport à ton post, sauf que le processus concerné est avserve2.exe au lieu de avserve.exe.
--
F.
"rolling" <rollingspam@wp.pl> a écrit dans le message de
news:mesnews.181e7d45.d1c0a0f3.437.11553@wp.pl...
Bonsoir!
Après une correction (justifiée) de *Jack* (en fait j'ai inversé
l'ordre des points à faire), je reposte cet article:
Je sais qu'il est extrêmement difficile de faire une recherche dans le
forum pour trouver une réponse au problème du nouveau virus "Sasser",
alors ici je donne les information pour se débarasser de cet invité non
désiré. Une lecture attentive pourra aider les "hôtes" involontaires:
*********************
Sasser utilise une vulnérabilité appellée "dépassement de tampon"
(buffer overrun) dans "Local Security Authority Subsystem Service", et
infectera les machines qui :
* Fonctionnent sous XP ou W2K
* N'ont pas passé le patch
* Sont connectées à internet sans pare-feu
Une fois infecté, le PC scanne des adresses IP au hasard sur le port
445, ouvre une backdoor sur le port 9996 et charge le ver lui-même par
connexion FTP sur le port 5554.
La désinfection semble assez simple :
D'abord éviter que le PC ne s'arrête:
[Windows]+[R], taper shutdown -a et click sur OK
Ensuite activer le pare-feu de XP:
Connexions réseau - click droit sur la connexion Internet - Avancé -
cocher "Proteger mon ordinateur et le réseau..."
Tuer le processus "avserve.exe"
Tuer tout autre processus se terminant par _up.exe
Effacer ce programme du répertoire Windows
Retirer avserve du registre :
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
"avserve.exe" = "%WinDir%avserve.exe"
Télécharger le removal (Stinger) et le passer:
http://vil.nai.com/vil/stinger/
Ensuite, scanner le PC en ligne chez:
http://www.secuser.com/antivirus/
Aller sur le site de WindowsUpdate pour mettre à jour les updates
critiques.
******************
J'ai bon espoir que l'on ne verra pas après celà une demande concernant
ce problème toutes les 5 minutes!
Un tout petit élément supplémentaire. Il y a déjà une variante de Sasser
très répandue. Tout est pareil par rapport à ton post, sauf que le processus
concerné est avserve2.exe au lieu de avserve.exe.
Bonsoir! Après une correction (justifiée) de *Jack* (en fait j'ai inversé l'ordre des points à faire), je reposte cet article:
Je sais qu'il est extrêmement difficile de faire une recherche dans le forum pour trouver une réponse au problème du nouveau virus "Sasser", alors ici je donne les information pour se débarasser de cet invité non désiré. Une lecture attentive pourra aider les "hôtes" involontaires:
********************* Sasser utilise une vulnérabilité appellée "dépassement de tampon" (buffer overrun) dans "Local Security Authority Subsystem Service", et infectera les machines qui :
* Fonctionnent sous XP ou W2K * N'ont pas passé le patch * Sont connectées à internet sans pare-feu
Une fois infecté, le PC scanne des adresses IP au hasard sur le port 445, ouvre une backdoor sur le port 9996 et charge le ver lui-même par connexion FTP sur le port 5554.
La désinfection semble assez simple :
D'abord éviter que le PC ne s'arrête: [Windows]+[R], taper shutdown -a et click sur OK Ensuite activer le pare-feu de XP: Connexions réseau - click droit sur la connexion Internet - Avancé - cocher "Proteger mon ordinateur et le réseau..." Tuer le processus "avserve.exe" Tuer tout autre processus se terminant par _up.exe Effacer ce programme du répertoire Windows Retirer avserve du registre : [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun] "avserve.exe" = "%WinDir%avserve.exe"
Télécharger le removal (Stinger) et le passer: http://vil.nai.com/vil/stinger/ Ensuite, scanner le PC en ligne chez: http://www.secuser.com/antivirus/ Aller sur le site de WindowsUpdate pour mettre à jour les updates critiques. ******************
J'ai bon espoir que l'on ne verra pas après celà une demande concernant ce problème toutes les 5 minutes!
Un tout petit élément supplémentaire. Il y a déjà une variante de Sasser très répandue. Tout est pareil par rapport à ton post, sauf que le processus concerné est avserve2.exe au lieu de avserve.exe.
