Arret suite à décompte 1mn (ressemble à Sasser...)

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Arret suite à décompte 1mn (ressemble à Sasser...)

Messagede Looloo » 08 Déc 2004, 18:14

Bonjour à tous,
Je vous livre ce qui arrive à ma machine depuis quelques jours.
Ca a un air de déjà vu, mais je ne sais pas trop par où commencer...

Une fenêtre windows de rapport d'erreur s'est ouverte, alors que j'étais connecté à Internet:

LSA Shell (export version) a rencontré un problème et doit être fermé
signature de l'erreur: Isass.exe version 5.1.2600.1106

Je décide comme d'habitude de ne pas envoyer de rapport d'erreur.
Mon parefeu Kerio ouvre alors une fenêtre me précisant que LSA Shell tente de lancer l'application Débogueur Postmortem Dr Watson (que je ne connais pas...).
Je refuse l'autorisation. Une petite fenêtre windows s'ouvre me prédisant l'arrêt de l'ordinateur dans une minute, et le décompte se fait.
Au bout de ce décompte, la machine s'arrète, et redémarre.
Ce processus se répète alors, plus ou moins toujours de la même manière, avec des variantes, mais quelle que soit ma réponse au parefeu, il y a toujours un moment où le fatidique décompte arrive.
La seule manière de pouvoir continuer à faire quelque chose est de garder ces 2 fenêtres (win+parefeu) ouvertes dans un coin.
Je dois préciser que lors d'un redémarrage, Spybot m'a dit qu'une application voulait faire un changement important du registre, que j'ai refusé bien sûr.

A la suite de cela, j'ai fait les mises à jour de mon antivirus, de spybot et de spywareblaster.
J'ai vérifié les règles de mon parefeu (dans la mesure de mes compétences), puis j'ai lancé avec ces outils plusieurs scan complets de ma machine qui n'ont rien donné: aucune infection détectée.

J'ai ensuite fait 2 scan d'antivirus en ligne sur le site de Trend Micro qui m'ont dit que ma machine était saine.
Comme ça ressemble pas mal aux symptomes du worm Sasser, j'ai téléchargé un correctif (FxSasser.exe) sur le site secuser.com, mais quand je l'execute rien ne se passe.

Quelqu'un voit-il de quoi ma machine est victime?
Par quoi commencer pour indentifier/corriger ce problème?

J'ai fait une recherche sur votre site, et j'ai parcouru le TRES impressionnant fil de discussion intitulé:

[OK] Réapparition de Sasser Est-ce possible ?
(d'ailleurs, chapeau à tous pour votre implication et ténacité!! je n'en revenais pas !)

Ce problème ressemble fort au mien, mais 7 pages de discussions ont été necessaire pour régler le problème de Florence, et j'avoue que je ne sais pas quelle mesure suivre de celles qui lui ont été préconisées...

Je m'en remet donc à vous...
Je pense bien avoir des mises à jour windows à faire, mais SP2 est-il maintenant OK, et suite à mon problème, par quoi commencer?

Merci à tous et d'avance....

:wink:
XPpro SP2, Mozilla Firefox 1.0.3, AVG 7 free, ZoneAlarmFree, SpyBot S&D 1.3, Spywareblaster 3.3,
La Manip est effectuée
Looloo
 
Messages: 18
Inscription: 11 Déc 2003, 00:02
Localisation: Lille, Nord, France...

Messagede Tesgaz » 08 Déc 2004, 18:22

Salut,

installes Zebprotect qui ferme le port 445 (port qui servait principalement à sasser)
http://telechargement.zebulon.fr/123-Zeb-Protect.html
profites-en pour fermer les autres ports sensibles avec et surtout le 135

a mon avis, ton parefeu doit être mal configuré, mais je ne connais pas les règle de configuration de kerio, ou il est possible que l'intru n'est pas était détecté,
un coup de hijackthis permettrait d'en savoir plus
Avatar de l’utilisateur
Tesgaz
 
Messages: 2133
Inscription: 23 Juil 2004, 12:49
Localisation: ici : ---------------------> X

Messagede Sebastien.B » 08 Déc 2004, 18:29

Slt,

S'il s'agit bien de Sasser ton firewall ne semble pas faire son boulot...
Active le firewall de Xp en attendant:
http://www.ac-nancy-metz.fr/services/mo ... re_feu.htm

Et installe ensuite ce patch si windows XP.

Ensuite poste nous un HijackThis pour voir.
Image
Avatar de l’utilisateur
Sebastien.B
 
Messages: 492
Inscription: 04 Avr 2004, 17:43
Localisation: Tours

Messagede Looloo » 08 Déc 2004, 18:49

Merci de vos réponses,
Je m'attèle à tous cela;
Suite tard dans la nuit.

Merci!
XPpro SP2, Mozilla Firefox 1.0.3, AVG 7 free, ZoneAlarmFree, SpyBot S&D 1.3, Spywareblaster 3.3,
La Manip est effectuée
Looloo
 
Messages: 18
Inscription: 11 Déc 2003, 00:02
Localisation: Lille, Nord, France...

Messagede Looloo » 11 Déc 2004, 17:24

Bonjour à tous,

Le temps m'a un peu manqué, mais voila: j'ai suivi les conseils préconisés:

installation patch Windows donné par SébastienB.
Install+run ZebProtect , fermeture de tous les ports (impossible cocher le 135)
Install Hijack This+ log collé ci après.

Après redémarrage, la fenêtre [LSA Shell (export version) à rencontré une erreur]
s'ouvre toujours, mais rien ne semble se passer quand je decide de ne pas renvoyer le rapport d'erreur.

J'ai pourtant l'impression que tout est très lent depuis l'apparition du problème (connection, alors que ADSL 8Mb, ouveture de fenêtre..)

J'attend de vos conseils, Merci! :wink:

Logfile of HijackThis v1.98.2
Scan saved at 17:11:29, on 11/12/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\SCURIT~1\ANTIVI~1\avgamsvr.exe
D:\SCURIT~1\ANTIVI~1\avgupsvc.exe
C:\WINDOWS\system32\AvidSDMService.exe
D:\Sécurité\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\TPPALDR.EXE
C:\WINDOWS\system32\dumprep.exe
D:\SCURIT~1\ANTIVI~1\avgcc.exe
C:\WINDOWS\System32\dwwin.exe
D:\Sécurité\Spybot - Search & Destroy\TeaTimer.exe
D:\Sécurité\Personal Firewall 4\kpf4gui.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
D:\Imprimante\Digital Imaging\bin\hpotdd01.exe
D:\Imprimante\Digital Imaging\bin\hposol08.exe
D:\utilitaires divers\Ooo\program\soffice.exe
D:\Sécurité\Personal Firewall 4\kpf4gui.exe
D:\Imprimante\Digital Imaging\bin\hpoevm08.exe
D:\Imprimante\Digital Imaging\Bin\hpoSTS08.exe
D:\Pour le Web\mozilla.exe
E:\TELECHARGEMENTS\logiciels\Outils contre-Attaque\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SCURIT~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - D:\UTILIT~1\STARDO~1\SDIEInt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\TPPALDR.EXE
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [AVG7_CC] D:\SCURIT~1\ANTIVI~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Sécurité\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: OpenOffice.org 1.1.2.lnk = D:\utilitaires divers\Ooo\program\quickstart.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\utilitaires divers\MSOffice\Office\OSA9.EXE
O4 - Global Startup: officejet 6100.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download with Star Downloader - D:\utilitaires divers\Star Downloader\sdie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &RelatedLinks - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
XPpro SP2, Mozilla Firefox 1.0.3, AVG 7 free, ZoneAlarmFree, SpyBot S&D 1.3, Spywareblaster 3.3,
La Manip est effectuée
Looloo
 
Messages: 18
Inscription: 11 Déc 2003, 00:02
Localisation: Lille, Nord, France...

Messagede le gromleux » 11 Déc 2004, 19:14

bonsoir Looloo,

tu peux trouver le résultat du scan automatique en ligne de ton log HJT ICI :

1- en mode sans échec (au démarrage de l’ordinateur. Appuyer sur la touche F5 ouF8), tu effaces tous les fichiers temporaires, le dossier Temp de Windows et le cache de ton navigateur ; tu désactives la restauration système (clic droit sur « poste de travail » >propriétés>restauration système : cocher « désactiver la restauration du système » puis clic sur « appliquer » )
2- vérifie que HJT est configuré pour faire des sauvegardes ( la case "Make backups before fixing items" dans "config" doit être cochée )
3- tu peux fixer sans problème ce qui est en rouge ("méchant")
4- regarde scrupuleusement ce qui est en orange : si tu connais et utilises, tu gardes ; si (y compris après une petite recherche sur Google *) tu ne vois pas du tout ce que c'est ou si tu découvres qu’il s’agit d’une nuisance ou que ce n’est pas nécessaire au démarrage, tu fixes (de toutes façons, la sauvegarde te permet de revenir en arrière); si tu hésites, ne fais rien (et recherche d'autres conseils) ;
par ailleurs, les lignes ( rouge/orange) se terminant par "no file" peuvent être aussi fixées
5- lis tranquillement ensuite les lignes signalées en vert, tu peux en virer quelques unes sans crainte *

>* en dehors de Google, pour tes recherches, tu peux t'aider de la liste des startups (programmes lancés au démarrage) d'après Pacman (Paul Collins) pour prendre des décisions. Voir ICI

6- toujours en mode sans échec, tu repasses un coup des utilitaires de sécurité que tu possèdes : antivirus, anti-troyens, CWShredder, Ad-aware, Spybot, ..... (les 3 cités sont gratuits )
7- tu redémarres en mode normal
8- tu refais un log HJT après tout cela
9- ne pas oublier de réactiver la restauration système une fois toutes les opérations terminées

@+
XP + Firefox 22.0 + Look'n'stop 2.07
Avatar de l’utilisateur
le gromleux
Modérateur
 
Messages: 2525
Inscription: 09 Mai 2004, 17:56
Localisation: Naoned

Messagede Looloo » 11 Déc 2004, 20:16

merci de ta réponse.
je vais faire tout cela ce week end.

Qu'est ce qui se passe exactement de différent quand je suis en mode sans echec?
Et faut il désactiver la restauration système quand j'installe des correctifs et mises à jour (ou alors c'est tout le contraire...)

merci.
XPpro SP2, Mozilla Firefox 1.0.3, AVG 7 free, ZoneAlarmFree, SpyBot S&D 1.3, Spywareblaster 3.3,
La Manip est effectuée
Looloo
 
Messages: 18
Inscription: 11 Déc 2003, 00:02
Localisation: Lille, Nord, France...

Messagede Looloo » 23 Déc 2004, 15:31

Bonjour à tous et spécialement au Gromleux qui avait déjà répondu à ce post.

Le temps m'a manqué pour fixer les problèmes découverts dans le log HJT précédent, et le lien correspondant que tu m'y avais laissé n'est plus actif.

Les vacances sont là, et le temsp libre aussi: serai-t-il possible d'activer le lien vers le résultat du scan posté précédement pour faire la manip nécessaire?

Merci d'avance!
XPpro SP2, Mozilla Firefox 1.0.3, AVG 7 free, ZoneAlarmFree, SpyBot S&D 1.3, Spywareblaster 3.3,
La Manip est effectuée
Looloo
 
Messages: 18
Inscription: 11 Déc 2003, 00:02
Localisation: Lille, Nord, France...

Messagede nickW » 23 Déc 2004, 16:00

Bonjour,

Un nouveau lien ICI

A utiliser dans les cinq jours :Mouaaarrrrffffffff:

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Florence Drory » 24 Déc 2004, 00:15

Bonsoir,

C'est Florence.
Par hasard je tombe sur ton message.Mon problème a été définitivement réglé quand j'ai fait la dernière manip sur le fichier endommagé et l'installation de celui que m'avait envoyé Vazkor.
Comme je n'y connais rien et que je me fie aveuglément à ce que l'on me conseille, je ne me permettrai aucun conseil (j'aurais trop peur de te planter).
Je te souhaite bonne chance et je suis sûre que nos amis finiront par te trouver la bonne solution.
Bonnes fêtes et très bonne année (malgré tout).
Florence
:D :o :Mouaaarrrrffffffff: :wink: :)
Florence Drory
 
Messages: 34
Inscription: 05 Mai 2004, 14:15
Localisation: région parisienne


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 13 invités