Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2279 connectés 

  FORUM HardWare.fr
  Windows & Software
  Win NT/2K/XP

  virus ou pas virus??

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

virus ou pas virus??

n°1888902
seb1
Posté le 14-01-2005 à 17:30:30  profilanswer
 

slt a tous,voilà,j'ai vu ça dans mon firewall c:\windows\system32\Isass.exe ,je me suis dis que ca ressemble a un virus,je cherche et je trouve que c'est sasser dans un service windows,j'ai le sp1 avec les patchs de securité et j'ai passé stinger et d'autres,pour eux rien,alors j'en pense quoi?il est important ce fichier LSA SHELL?
voilà,j'ai l'impression que c'est bon mais je voudrais etre sur du truc,si vous avez des idées,merci d'avance!

mood
Publicité
Posté le 14-01-2005 à 17:30:30  profilanswer
 

n°1888928
Loom the G​loom
Even coders get the blues...
Posté le 14-01-2005 à 18:00:48  profilanswer
 

Isass ou Lsass ?


---------------
Music|Market|Feed|Loom|DVD
n°1888955
seb1
Posté le 14-01-2005 à 18:35:36  profilanswer
 

Issas

n°1889023
Loom the G​loom
Even coders get the blues...
Posté le 14-01-2005 à 19:39:01  profilanswer
 

ouais enfin si tu me dis pas deux fois la même je vais pas pouvoir t'aider.
 
Lsass n'est pas un virus.


---------------
Music|Market|Feed|Loom|DVD
n°1889172
seb1
Posté le 14-01-2005 à 22:09:41  profilanswer
 

sasser se cache justement ds ce processus,d'ou ma question,comment être sûr?

n°1889297
Loom the G​loom
Even coders get the blues...
Posté le 15-01-2005 à 01:36:40  profilanswer
 

Non sasser ne se cache pas dans ce processus.


---------------
Music|Market|Feed|Loom|DVD
n°1889493
seb1
Posté le 15-01-2005 à 12:29:20  profilanswer
 

bein a ma connaissance,Isass.exe devient isass.exe,et kan tu veux terminer le processus on te dis que non parceque c'est un service systeme qui ne peux etre desactivé,et ca c'est pas bon signe,bref,le mien c'est Isass.exe et c'est pas sasser!!

n°1889497
seb1
Posté le 15-01-2005 à 12:31:48  profilanswer
 

bein a ma connaissance,Isass.exe devient isass.exe,et kan tu veux terminer le processus on te dis que non parceque c'est un service systeme qui ne peux etre desactivé,et ca c'est pas bon signe,bref,le mien c'est Isass.exe et c'est pas sasser!!

n°1889499
minipouss
un mini mini
Posté le 15-01-2005 à 12:36:39  profilanswer
 

non le processus sytème c'est Lsass (avec un L et pas un i) ;)
 
et je pense (ça m'arrive) que Sasser se sert (dur à dire ça :D ) de ce service pour foutre en l'air windows. Rien de plus.
 
Donc dis nous une fois pour toute si c'est un "L" (minuscule en "l" ) ou un "I" (minuscule en "i" ) :)
 
edit : et supprime un de tes deux messages ;)


Message édité par minipouss le 15-01-2005 à 12:36:59

---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
n°1889514
seb1
Posté le 15-01-2005 à 12:48:27  profilanswer
 

c'est un I majuscule mais j'ai lu ds des forums que sasser c'est I minuscule alors?

mood
Publicité
Posté le 15-01-2005 à 12:48:27  profilanswer
 

n°1889516
seb1
Posté le 15-01-2005 à 12:50:38  profilanswer
 

je sais que le processus c'est LSA shell,kan je clik dessus ds mon firewall(kerio) il me dis Isass.exe et non pas Lsass.exe,d'autres part je n'ai pas de prob de boot,et j'ai passé tous les antivirus de la planete!!

n°1889518
seb1
Posté le 15-01-2005 à 12:52:10  profilanswer
 

mais j ai un doute kan meme,ds le firewall je dois voir koi? Isass.exe ou Lsass.exe?

n°1889544
Loom the G​loom
Even coders get the blues...
Posté le 15-01-2005 à 13:11:17  profilanswer
 

déja, il me semble que la casse on s'en fout dans les noms de processus (donc majuscule ou minuscule c kif kif, mais je peux me tromper).
Donc si tu as un fichier qui s'appelle Isass.exe (avec un i comme isidore) c'est que tu as un virus.|


---------------
Music|Market|Feed|Loom|DVD
n°1889552
seb1
Posté le 15-01-2005 à 13:14:23  profilanswer
 

eh bien justement,kan tu te renseignes,les avis sont differents,on me dit que Isass.exe et isass.exe c'est pas pareil,c'est pour ca que je me prends la tete!! d'autre part je n'ai pas les inconvenients de sasser...

n°1889553
seb1
Posté le 15-01-2005 à 13:14:40  profilanswer
 

mais j'ai un doute

n°1889558
seb1
Posté le 15-01-2005 à 13:19:05  profilanswer
 

le chemin du fichier est celui ci: c:\windows\system32\Isass.exe  bon,il faut que je vois ca ou c:\windows\sysrem32\Lsass.exe ??  y'a quelqu'un qui sait?!

n°1889573
Loom the G​loom
Even coders get the blues...
Posté le 15-01-2005 à 13:27:22  profilanswer
 

donc tu as un virus (qui n'est pas forcément sasser)


---------------
Music|Market|Feed|Loom|DVD
n°1889575
Loom the G​loom
Even coders get the blues...
Posté le 15-01-2005 à 13:27:59  profilanswer
 

seb1 a écrit :

eh bien justement,kan tu te renseignes,les avis sont differents,on me dit que Isass.exe et isass.exe c'est pas pareil,c'est pour ca que je me prends la tete!! d'autre part je n'ai pas les inconvenients de sasser...


 
de toute façon que ce soit un i majuscule ou minuscule, c'est pareil, ce n'est pas un processus système


---------------
Music|Market|Feed|Loom|DVD
n°1889694
minipouss
un mini mini
Posté le 15-01-2005 à 14:20:26  profilanswer
 

Sasser c'est un "L" minuscule ou majuscule car le processus c'est LSA Shell comme tu l'as dit dans ton premier message ;)
 
bon alors tu récupères Hijack This version 1.99, tu le mets dans un répertoire bien à lui pour pouvoir faire un backup le cas échéant. et tu fais scan+log. Ensuite tu copies/colles le contenu du log ici pour voir ce qui merde sur ton pc :)


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
n°1890157
seb1
Posté le 15-01-2005 à 22:53:12  profilanswer
 

desolé,j'arrive un peu tard,bon,j'ai la liste,j'ai vu backweb mais c'est un truc de webcam,pas mechant je crois dans ce cas
 
Logfile of HijackThis v1.99.0
Scan saved at 22:48:31, on 15/01/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\system32\CTSVCCDA.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\TPPALDR.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\PESTPA~1\PPControl.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Creative\ShareDLL\CtNotify.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Winamp\winampa.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\Creative\ShareDLL\MediaDet.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\TGTSoft\StyleXP\StyleXP.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\DOCUME~1\seb\LOCALS~1\Temp\Rar$EX00.547\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\TPPALDR.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6 [...] vSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 5629515578
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: Adobe LM Service - Unknown - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSVCCDA.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: StyleXPService - Unknown - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
 

n°1890161
dame-blanc​he
Posté le 15-01-2005 à 23:08:29  profilanswer
 

salut
tu peux commencer ton analyse toi meme
avec ce lien  
 
tres simple
http://www.hijackthis.de/index.php

n°1890171
seb1
Posté le 15-01-2005 à 23:16:58  profilanswer
 

merci,j'en vient et a part un localhost potentiellement dangereux,bein y'a rien on dirait,merci du tuyau pour l'analyse

n°1890173
seb1
Posté le 15-01-2005 à 23:18:26  profilanswer
 

mais bon quand je fais netstat- an ,je vois que le port 445 est en ecoute en tcp,c'est normal?

n°1890197
i'm philou
Posté le 16-01-2005 à 00:08:13  profilanswer
 

seb1 a écrit :

mais bon quand je fais netstat- an ,je vois que le port 445 est en ecoute en tcp,c'est normal?


oui

n°1890291
minipouss
un mini mini
Posté le 16-01-2005 à 09:59:52  profilanswer
 

le log est clean et c'est bien lsass avec un "L" que tu as donc pas de problème ;)


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Win NT/2K/XP

  virus ou pas virus??

 

Sujets relatifs
Problème pour joindre un pc à un domaine (virus ?)anti virus
un anti virus gratuitnew virus : blocage automatique des comptes dans active directory !!
Problème Windows ? Virus ? Trojan ?un peu d'aide pour un ou plusieurs virus!
??? SDK0mCORE.exe ??? est-ce un virus ?Probleme de virus
pb connexion ADSL: connexion ok/aucun échange, VIRUS?virus trojan
Plus de sujets relatifs à : virus ou pas virus??


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR