petite bete "isass.exe" mais quesque c'est? - Forum Logiciel - Software

tagman127 · 11/12/2004, 16h09

SAlut,
voila je viens d'intaller un windows Xp pro et quand je démarre la machine (Hp pavillon portable) un petit message d'erreur a la "blaster" du genre "votre ordinateur redémarrera dans une minute" sauf que le fichier ou programme ( car .exe ) qui est nommé s'appele 'isass.exe" logé dans le system 32 de notre ami windoz...
quelqu'un connais cette petite bete méchante et frustrante??
personnelement je l'ai bloqué avec un firewall (je crois que c'est lui qui la fait) mais quelqu'un peut m'expliquer a quoi il sert ou ce qu'il fait??? merci

Alex

camaron · 11/12/2004, 16h24

Je me souviens d'un message diffusé largement qui disait de détruire ce fichier en fait il s'agissait d'une messa ge "virus" car le fichier était utilisé par Windwow et qu'il avait fallu retrouver.

Konrad · 11/12/2004, 16h37

Il doit s'agir non pas de Blaster, mais de Sasser, un worm qui exploite une faille Windows à travers un service WindowsNT (2000 et XP), c'est le "lsass" (Local Security Authentication Server).

La solution : faire les mises à jour sur WindowsUpdate :

http://v5.windowsupdate.microsoft.com/fr

et ensuite supprimer tous les fichiers et entrées de registre créés par le ver (voir ci-dessous).

Lorsque Sasser s'exécute, il agit ainsi :

Lorsque W32.Spybot.Worm s'exécute, il agit ainsi :

1) Il se copie dans le répertoire "System" de Windows

2) Il peut être configuré pour créer et partager un dossier sur le réseau de partage de fichiers KaZaA, en ajoutant la valeur de registre suivante :

"dir0"="012345:<chemin configurable>"

à la clé de registre :

HKEY_CURRENT_USER\SOFTWARE\KAZ AA\LocalContent

3) Il se copie sur le chemin configuré avec des noms de fichiers destinés à tromper d'autres utilisateurs et les conduire à télécharger et exécuter le ver.

4) Il peut être configuré pour réaliser des attaques de type déni de service (Denial of Service, DoS) sur des serveurs définis.

5) Il peut être configuré pour terminer les processus de produits de sécurité (antivirus, pare-feu...).

6) Il se connecte à des serveurs IRC définis et rejoint un canal pour recevoir des commandes.

7) Une de ces commandes consiste à se copier dans de nombreux dossiers Démarrage de Windows codés en dur. Par exemple :
Documents and Settings\All Users\Menu Start\Programma's\Opstarten
WINDOWS\All Users\Start Menu\Programs\StartUp
WINNT\Profiles\All Users\Start Menu\Programs\Startup
WINDOWS\Start Menu\Programs\Startup
Documenti e Impostazioni\All Users\Start Menu\Programs\Startup
Dokumente und Einstellungen\All Users\Start
Menu\Programs\Startup
Documents and Settings\All Users\Start Menu\Programs\Startup

8) Il ajoute une valeur de registre variable à une ou plusieurs des clés de registre suivantes :

HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \Run
HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \
RunOnce
HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \
RunServices
HKEY_CURRENT_USER\Software\Mic rosoft\Windows\CurrentVersion\ Run

Par exemple :

"Microsoft Update" = "wuamgrd.exe"

8) Il peut enregistrer les frappes de clavier dans un fichier dans le dossier System.

9) Il peut envoyer des informations personnelles, comme par exemple le système d'exploitation, l'adresse IP, le nom d'utilisateur, etc., au serveur IRC.

10) Il peut ouvrir un port de porte dérobée.

**JPL** · 11/12/2004, 16h43

Question fondamentale : t'es-tu connecté à Internet sans pare-feu alors que Windows n'avait pas été remis à jour. Si c'est le cas ce peut être Sasser. Regarde si tu as un fichier AVSERVE.EXE, AVSERVE2.EXE ou SKYNETAVE.EXE dans Windows.
Charge un antivirus (voir antivirus gratuits dans www.uptotech.com). Lance-le avec un Windows démarré en mode sans échec, et après nettoyage, fais les mises à jour avec Windows update.
Pour éviter temporairement le redémarrage intempestif, va dans exécuter et tape shutdown -a dès que la fenêtre de redémarrage apparaît.

tagman127 · 12/12/2004, 01h10

SAlut
merci de toute vos réponses.
effectivement le message apparaissai uniquement quant le parefeu (sygate en locurence) n'etait pas terminé de charger. une fois chargé... silence radio. sinon ploufff reboot. j'ai fait une anaylise norton en sans echec (2 virrus) et une autre en mode normal (O virrus) aucune nouvelle de "isass.exe" ou sasser.
du moment qu'il ne se déclare pas dois-je le supprimé? je n'utilise pas de logiciel de partage tel que kazaa, emule, bi torrent ou autre. d'ou provient- il?

merci
Alex

tagman127 · 12/12/2004, 01h17

Message pour Jpl j'ai fait une recherche avec les noms que tu mavais donné, aucun résultat.ni AVSERVE.EXE,ni AVSERVE2.EXE ou SKYNETAVE.EXE. que DAL (je me permet) donc? considerons nous qu'il se trouve toujours a bord?

MErci et bonne nuit... ou bon reveil

**JPL** · 12/12/2004, 01h23

Ce sont des fichiers typiques de diverses versions de Sasser. S'ils n'y sont pas et que l'analyse par un antivirus est négative, on peut considérer qu'il n'y a pas d'infection. De toutes façons si le pare-feu signalait que isass.exe veut sortir, tu refuses.

Konrad · 12/12/2004, 02h01

Tagman : ton Windows est-il à jour ? Peut-être as-tu évité une infection cette fois-ci, mais il faut maintenir ton OS à jour quand même

tagman127 · 12/12/2004, 09h56

Re salut (nous sommes dans la meme journée)
isass est toujours la. en alumant ma machine ce matin il a rebooté une fois. le parefeu n'avais pas encore démaré et n'etait pas présent dans la barre d'icones (bas droite). je suis donc toujours infecté. :'(
:'(
je vais alors me retourner vers les updates offertes par windowz.

merci a tous.

tagman127 · 13/12/2004, 07h48

salut.
les updates ny ont rien fait ...
la petite fenetre de redemarrage revien une fois sur trois au démarrage du windows.
que faire ??

Konrad · 13/12/2004, 13h53

Déconnecte-toi d'internet, et vérifie si tu as accès au Gestionnaire des tâches (Ctrl-Alt-Suppr), à l'utilitaire de démarrage (Exécuter -> msconfig) et au registre (Exécuter -> regedit). Si aucun des trois n'accepte de se lancer il est fort probable qu'il s'agisse de Sasser.

Démarre alors en mode sans échec (appuie sur F8 avant que Windows ne se lance), exécute msconfig et vire tous les programmes indésirables du démarrage ; fais un scan antivirus et redémarre, ton PC devrait être désinfecté.

PS: les mises à jour Windows sont peut-être une "corvée", mais elles sont nécessaires à la sécurité du système et doivent être faites régulièrement

**JPL** · 13/12/2004, 14h15

Il y a quelque chose que je ne comprends pas : tous les antivirus éliminent Sasser ou Blaster s'ils sont à jour (à condition d'avoir démarré Windows en mode sans échec). Avant de scanner le disque avec l'antivirus, il faut aussi désactiver la restauration du système (et la remettre en service lorsque tout est propre)..
Tu peux aussi essayer avec le petit utilitaire Stinger de McAfee qui déloge la plupart des vers/virus courants. Il peut être téléchargé ici :
http://www.uptotech.com/sedetendre/l...ogiciel280.php

tagman127 · 17/12/2004, 19h34

Merci pour le Stinger
mais le probleme reste malheureusement le meme...
savez vous comment paramétré l'ordres du démarage des programmes dont les icones sont en bas a droite??
Mzrci

**JPL** · 17/12/2004, 19h43

Tu veux dire qu'après avoir fait tout ce qu'on t'a conseillé,tu as toujours la fenêtre de redémarrage au bout de 1 minute ?
Pour l'ordre, je pense que ce n'est pas possible parce que certains programmes sont lancés dans une clé Run et d'autres sont dans le répertoire Démarrage.

tagman127 · 20/12/2004, 09h51

Salut
bin j'ai fait les mise a jours, les analyse virrus en ss echec, en mode normal, executer stinger, mis a jour mon anti virrus....
je crois que j'ai du tout faire ?

alex

Konrad · 20/12/2004, 15h33

Exécute "msconfig", et dis-nous ce qu'il y a dans le menu "Démarrage", on te dira ce qu'il faut enlever.