virus ou pas virus??

virus ou pas virus?? - Win NT/2K/XP - Windows & Software

Marsh Posté le 14-01-2005 à 17:30:30    

slt a tous,voilà,j'ai vu ça dans mon firewall c:\windows\system32\Isass.exe ,je me suis dis que ca ressemble a un virus,je cherche et je trouve que c'est sasser dans un service windows,j'ai le sp1 avec les patchs de securité et j'ai passé stinger et d'autres,pour eux rien,alors j'en pense quoi?il est important ce fichier LSA SHELL?
voilà,j'ai l'impression que c'est bon mais je voudrais etre sur du truc,si vous avez des idées,merci d'avance!

Reply

Marsh Posté le 14-01-2005 à 17:30:30   

Reply

Marsh Posté le 14-01-2005 à 18:00:48    

Isass ou Lsass ?


---------------
Music|Market|Feed|Loom|DVD
Reply

Marsh Posté le 14-01-2005 à 18:35:36    

Issas

Reply

Marsh Posté le 14-01-2005 à 19:39:01    

ouais enfin si tu me dis pas deux fois la même je vais pas pouvoir t'aider.
 
Lsass n'est pas un virus.


---------------
Music|Market|Feed|Loom|DVD
Reply

Marsh Posté le 14-01-2005 à 22:09:41    

sasser se cache justement ds ce processus,d'ou ma question,comment être sûr?

Reply

Marsh Posté le 15-01-2005 à 01:36:40    

Non sasser ne se cache pas dans ce processus.


---------------
Music|Market|Feed|Loom|DVD
Reply

Marsh Posté le 15-01-2005 à 12:29:20    

bein a ma connaissance,Isass.exe devient isass.exe,et kan tu veux terminer le processus on te dis que non parceque c'est un service systeme qui ne peux etre desactivé,et ca c'est pas bon signe,bref,le mien c'est Isass.exe et c'est pas sasser!!

Reply

Marsh Posté le 15-01-2005 à 12:31:48    

bein a ma connaissance,Isass.exe devient isass.exe,et kan tu veux terminer le processus on te dis que non parceque c'est un service systeme qui ne peux etre desactivé,et ca c'est pas bon signe,bref,le mien c'est Isass.exe et c'est pas sasser!!

Reply

Marsh Posté le 15-01-2005 à 12:36:39    

non le processus sytème c'est Lsass (avec un L et pas un i) ;)
 
et je pense (ça m'arrive) que Sasser se sert (dur à dire ça :D ) de ce service pour foutre en l'air windows. Rien de plus.
 
Donc dis nous une fois pour toute si c'est un "L" (minuscule en "l" ) ou un "I" (minuscule en "i" ) :)
 
edit : et supprime un de tes deux messages ;)


Message édité par minipouss le 15-01-2005 à 12:36:59

---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Reply

Marsh Posté le 15-01-2005 à 12:48:27    

c'est un I majuscule mais j'ai lu ds des forums que sasser c'est I minuscule alors?

Reply

Marsh Posté le 15-01-2005 à 12:48:27   

Reply

Marsh Posté le 15-01-2005 à 12:50:38    

je sais que le processus c'est LSA shell,kan je clik dessus ds mon firewall(kerio) il me dis Isass.exe et non pas Lsass.exe,d'autres part je n'ai pas de prob de boot,et j'ai passé tous les antivirus de la planete!!

Reply

Marsh Posté le 15-01-2005 à 12:52:10    

mais j ai un doute kan meme,ds le firewall je dois voir koi? Isass.exe ou Lsass.exe?

Reply

Marsh Posté le 15-01-2005 à 13:11:17    

déja, il me semble que la casse on s'en fout dans les noms de processus (donc majuscule ou minuscule c kif kif, mais je peux me tromper).
Donc si tu as un fichier qui s'appelle Isass.exe (avec un i comme isidore) c'est que tu as un virus.|


---------------
Music|Market|Feed|Loom|DVD
Reply

Marsh Posté le 15-01-2005 à 13:14:23    

eh bien justement,kan tu te renseignes,les avis sont differents,on me dit que Isass.exe et isass.exe c'est pas pareil,c'est pour ca que je me prends la tete!! d'autre part je n'ai pas les inconvenients de sasser...

Reply

Marsh Posté le 15-01-2005 à 13:14:40    

mais j'ai un doute

Reply

Marsh Posté le 15-01-2005 à 13:19:05    

le chemin du fichier est celui ci: c:\windows\system32\Isass.exe  bon,il faut que je vois ca ou c:\windows\sysrem32\Lsass.exe ??  y'a quelqu'un qui sait?!

Reply

Marsh Posté le 15-01-2005 à 13:27:22    

donc tu as un virus (qui n'est pas forcément sasser)


---------------
Music|Market|Feed|Loom|DVD
Reply

Marsh Posté le 15-01-2005 à 13:27:59    

seb1 a écrit :

eh bien justement,kan tu te renseignes,les avis sont differents,on me dit que Isass.exe et isass.exe c'est pas pareil,c'est pour ca que je me prends la tete!! d'autre part je n'ai pas les inconvenients de sasser...


 
de toute façon que ce soit un i majuscule ou minuscule, c'est pareil, ce n'est pas un processus système


---------------
Music|Market|Feed|Loom|DVD
Reply

Marsh Posté le 15-01-2005 à 14:20:26    

Sasser c'est un "L" minuscule ou majuscule car le processus c'est LSA Shell comme tu l'as dit dans ton premier message ;)
 
bon alors tu récupères Hijack This version 1.99, tu le mets dans un répertoire bien à lui pour pouvoir faire un backup le cas échéant. et tu fais scan+log. Ensuite tu copies/colles le contenu du log ici pour voir ce qui merde sur ton pc :)


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Reply

Marsh Posté le 15-01-2005 à 22:53:12    

desolé,j'arrive un peu tard,bon,j'ai la liste,j'ai vu backweb mais c'est un truc de webcam,pas mechant je crois dans ce cas
 
Logfile of HijackThis v1.99.0
Scan saved at 22:48:31, on 15/01/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\system32\CTSVCCDA.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\TPPALDR.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\PESTPA~1\PPControl.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Creative\ShareDLL\CtNotify.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Winamp\winampa.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\Creative\ShareDLL\MediaDet.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\TGTSoft\StyleXP\StyleXP.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\DOCUME~1\seb\LOCALS~1\Temp\Rar$EX00.547\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\TPPALDR.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6 [...] vSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 5629515578
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: Adobe LM Service - Unknown - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSVCCDA.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: StyleXPService - Unknown - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
 

Reply

Marsh Posté le 15-01-2005 à 23:08:29    

salut
tu peux commencer ton analyse toi meme
avec ce lien  
 
tres simple
http://www.hijackthis.de/index.php

Reply

Marsh Posté le 15-01-2005 à 23:16:58    

merci,j'en vient et a part un localhost potentiellement dangereux,bein y'a rien on dirait,merci du tuyau pour l'analyse

Reply

Marsh Posté le 15-01-2005 à 23:18:26    

mais bon quand je fais netstat- an ,je vois que le port 445 est en ecoute en tcp,c'est normal?

Reply

Marsh Posté le 16-01-2005 à 00:08:13    

seb1 a écrit :

mais bon quand je fais netstat- an ,je vois que le port 445 est en ecoute en tcp,c'est normal?


oui

Reply

Marsh Posté le 16-01-2005 à 09:59:52    

le log est clean et c'est bien lsass avec un "L" que tu as donc pas de problème ;)


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed