virus W32 sasser.A

Le
bonjour a tous en ce samedi ferie GRRRRRRRRRRRR!
voila hier au soir j etais tranquillement en train de
jouer a mon jeu favori en ligne quand soudain une fenetre
m indiquant un compte a rebours de 1 minute apparait.
avec le message suivant Arret du systeme
cet arret a ete initie pas AUTORITE NT/SYSTEM.
MESSAGE SIMILAIRE que celui du virus MSBLAST

sauf qu ici la faille concerne (d'apres secuser.com est
la faille LSASS)diffenrent de msblast qui se propage via
faille RPC/DCOM et WebDavII via different TCP.

J ai remarque que l UC etait a 100% continuellement et
que un nouvel .exe au demarrage a fait son apparition
AVSERVE.EXE.
L antivirus F-secure n a rien detecte le premier coup
mais lors du redemarrage il a detecte ce virus
(W32sasserA)

je me pose les questions suivantes!
Puis-je stopper le processus de ce AVSERVE.EXE?(MsConfig)
Est ce qu un correctif Win update corrigeras le probleme?
DOIS-JE carrement reformater mon disque dur?
et est ce que la manip shutdown -a change quelque chose??
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Fabien Voland
Le #387397
On Sat, 1 May 2004 05:44:02 -0700,

bonjour a tous en ce samedi ferie GRRRRRRRRRRRR!


Ciao :-)

J ai remarque que l UC etait a 100% continuellement et
que un nouvel .exe au demarrage a fait son apparition
AVSERVE.EXE.


Va dans le gestionnaire des tâches pour arrêter le processus de
avserve.exe.

je me pose les questions suivantes!
Puis-je stopper le processus de ce AVSERVE.EXE?(MsConfig)


Ou mieux, tu vas dans le base de registre (regedt32.exe) et tu vas
dans HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
pour effacer la clef de lancement de avserve.exe.

Est ce qu un correctif Win update corrigeras le probleme?


Tu n'as plus qu'à effacer le fichier avserve.exe qui se trouve dans le
repértoire Windows. A vérifier : si il y a une copie du fichier dans
le répertoire de restauration du système.

DOIS-JE carrement reformater mon disque dur...?


Non.

et est ce que la manip shutdown -a change quelque chose??


Non.

Fabien

Le #387395
-----Message d'origine-----
On Sat, 1 May 2004 05:44:02 -0700,

bonjour a tous en ce samedi ferie GRRRRRRRRRRRR!


Ciao :-)

J ai remarque que l UC etait a 100% continuellement et
que un nouvel .exe au demarrage a fait son apparition
AVSERVE.EXE.


Va dans le gestionnaire des tâches pour arrêter le
processus de

avserve.exe.

je me pose les questions suivantes!
Puis-je stopper le processus de ce AVSERVE.EXE?
(MsConfig)



Ou mieux, tu vas dans le base de registre (regedt32.exe)
et tu vas

dans
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersi

onRun
pour effacer la clef de lancement de avserve.exe.

Est ce qu un correctif Win update corrigeras le
probleme?



Tu n'as plus qu'à effacer le fichier avserve.exe qui se
trouve dans le

repértoire Windows. A vérifier : si il y a une copie du
fichier dans

le répertoire de restauration du système.

DOIS-JE carrement reformater mon disque dur...?


Non.

et est ce que la manip shutdown -a change quelque
chose??



Non.

Fabien
.
Milles merci fabien pour cette reponse claire est precise
Bonne fete du travail les gars!



Le #387391
-----Message d'origine-----
On Sat, 1 May 2004 05:44:02 -0700,

bonjour a tous en ce samedi ferie GRRRRRRRRRRRR!


Ciao :-)

J ai remarque que l UC etait a 100% continuellement et
que un nouvel .exe au demarrage a fait son apparition
AVSERVE.EXE.


Va dans le gestionnaire des tâches pour arrêter le
processus de

avserve.exe.

je me pose les questions suivantes!
Puis-je stopper le processus de ce AVSERVE.EXE?
(MsConfig)



Ou mieux, tu vas dans le base de registre (regedt32.exe)
et tu vas

dans
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersi

onRun
pour effacer la clef de lancement de avserve.exe.

Est ce qu un correctif Win update corrigeras le
probleme?



Tu n'as plus qu'à effacer le fichier avserve.exe qui se
trouve dans le

repértoire Windows. A vérifier : si il y a une copie du
fichier dans

le répertoire de restauration du système.

DOIS-JE carrement reformater mon disque dur...?


Non.

et est ce que la manip shutdown -a change quelque
chose??



Non.

Fabien
.
encore moi ta reponse m a beaucoup aider je suis aller
effacer dans regedt32.exe la clef de lancement de

avserve.exe(comme tu me l as si bien indiquer)

ensuit g trouver aucune trace de avserve.exe . j ai
lancer une recherche et ca n a rien donner.

et comment aller effacer un truc dans restauration du
systeme???

ET dis moi un fichier PF nommer 16821_UP.EXE-3 6216A8A s
est cree dans windowsprefecth a l heure du premier
reboot dois je le supprimer..??
merci pour vos reponses!


JacK [MVP]
Le #387390
sur les news:6e8f01c42f79$faf931c0$
signalait:
bonjour a tous en ce samedi ferie GRRRRRRRRRRRR!
voila hier au soir j etais tranquillement en train de
jouer a mon jeu favori en ligne quand soudain une fenetre
m indiquant un compte a rebours de 1 minute apparait.
avec le message suivant Arret du systeme..................
cet arret a ete initie pas AUTORITE NT/SYSTEM.
MESSAGE SIMILAIRE que celui du virus MSBLAST

sauf qu ici la faille concerne (d'apres secuser.com est
la faille LSASS)diffenrent de msblast qui se propage via
faille RPC/DCOM et WebDavII via different TCP.

J ai remarque que l UC etait a 100% continuellement et
que un nouvel .exe au demarrage a fait son apparition
AVSERVE.EXE.
L antivirus F-secure n a rien detecte le premier coup
mais lors du redemarrage il a detecte ce virus
(W32sasserA)

je me pose les questions suivantes!
Puis-je stopper le processus de ce AVSERVE.EXE?(MsConfig)
Est ce qu un correctif Win update corrigeras le probleme?
DOIS-JE carrement reformater mon disque dur...?
et est ce que la manip shutdown -a change quelque chose??


'lut,

Le correctif MS04-011 du 120404 corrige cette faille.
--
http://www.optimix.be.tf /MVP WindowsXP/ http://websecurite.org
http://www.msmvps.com/XPditif/
http://experts.microsoft.fr/longhorn4u/
*Helping you void your warranty since 2000*
---***ANTISPAM***---
Click on the link to anwer -Cliquez sur le lien pour répondre
http://www.cerbermail.com/?csaLJS6yvZ
@(*0*)@ JacK

Fabien Voland
Le #387388
On Sat, 1 May 2004 06:40:46 -0700,

encore moi ta reponse m a beaucoup aider je suis aller
effacer dans regedt32.exe la clef de lancement de
avserve.exe(comme tu me l as si bien indiquer)


ok.

ensuit g trouver aucune trace de avserve.exe . j ai
lancer une recherche et ca n a rien donner.


Peut-être qui l'est caché, essayes d'inclure les fichiers cachés dans
la recherche, il doit se trouver dans c:windows.

et comment aller effacer un truc dans restauration du
systeme???


Désactives avant la restauration du système, et ensuite tu pourras les
effacer si il y en a dans le répertoire.

ET dis moi un fichier PF nommer 16821_UP.EXE-3 6216A8A s
est cree dans windowsprefecth a l heure du premier
reboot dois je le supprimer..??


Tu peux l'ouvrir avec le bloc-notes pour voir si il y a une référence
à avserve.exe.

Ciao.

Fabien

slk
Le #387383
Salut,
W32 Sasser A ! W32 CA SERT A quoi ?
Blague à part, tu trouveras des informations chez Symantec:
http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.worm.html
Le #387377
-----Message d'origine-----
On Sat, 1 May 2004 06:40:46 -0700,

encore moi ta reponse m a beaucoup aider je suis aller
effacer dans regedt32.exe la clef de lancement de
avserve.exe(comme tu me l as si bien indiquer)


ok.

ensuit g trouver aucune trace de avserve.exe . j ai
lancer une recherche et ca n a rien donner.


Peut-être qui l'est caché, essayes d'inclure les
fichiers cachés dans

la recherche, il doit se trouver dans c:windows.

et comment aller effacer un truc dans restauration du
systeme???


Désactives avant la restauration du système, et ensuite
tu pourras les

effacer si il y en a dans le répertoire.

ET dis moi un fichier PF nommer 16821_UP.EXE-3 6216A8A
s


est cree dans windowsprefecth a l heure du premier
reboot dois je le supprimer..??


Tu peux l'ouvrir avec le bloc-notes pour voir si il y a
une référence

à avserve.exe.

Ciao.

Fabien
.
en effet ce fichier UP.EXE avait qq chose a voir avec
avserve.exe c jeter a la poubelle.


J ai relancer une recherche avec tout les fichiers caches
ca n a rien donner une fois encore
Etant donné que mon antivirus(F-secure) l a detecter il a
du le supprimer de c:windows qu en penses tu je ne le
trouve nulle part?????
enfin je l espere...
merci


Fabien Voland
Le #387360
On Sat, 1 May 2004 07:33:41 -0700,

en effet ce fichier UP.EXE avait qq chose a voir avec
avserve.exe c jeter a la poubelle.



Nickel.

J ai relancer une recherche avec tout les fichiers caches
ca n a rien donner une fois encore
Etant donné que mon antivirus(F-secure) l a detecter il a
du le supprimer de c:windows qu en penses tu je ne le
trouve nulle part?????


Tu peux regarder dans le log de l'anti-virus pour voir ce qu'il a
fait. Mais si tu ne le trouves nul part, l'anti-virus a dû s'en
charger.

Ciao.

Fabien


~Jean-Marc~ [MVP]
Le #387337
Salutations ** !

tu nous disais :
Puis-je stopper le processus de ce AVSERVE.EXE?(MsConfig)


Oui

Est ce qu un correctif Win update corrigeras le probleme?


MS04-11

DOIS-JE carrement reformater mon disque dur...?


Non

et est ce que la manip shutdown -a change quelque chose??


Elle stoppe un compte à rebours en cours.

Un peu de lecture sur Sasser :
http://msmvps.com/docxp/posts/5753.aspx

@+

--
~Jean-Marc~ MSAE & MVP Windows XP Fr
- http://perso.wanadoo.fr/doc.jm/ - http://msmvps.com/docxp/ -
Aide en DIRECT sur IRC : irc://irc.akro-net.org:6667 canal : #mschat
Aide en DIRECT sur Internet : http://communautes-ms.akro-net.org/

Le #387329
-----Message d'origine-----
On Sat, 1 May 2004 07:33:41 -0700,

en effet ce fichier UP.EXE avait qq chose a voir avec
avserve.exe c jeter a la poubelle.



Nickel.

J ai relancer une recherche avec tout les fichiers
caches


ca n a rien donner une fois encore
Etant donné que mon antivirus(F-secure) l a detecter il
a


du le supprimer de c:windows qu en penses tu je ne le
trouve nulle part?????


Tu peux regarder dans le log de l'anti-virus pour voir
ce qu'il a

fait. Mais si tu ne le trouves nul part, l'anti-virus a
dû s'en

charger.

Ciao.

Fabien
.
Fabien merci pour ton efficacite lol
et je savais que le savoir grandissait quand on le partage

(surtout avec des gars comme toi)



Publicité
Poster une réponse
Anonyme