Fichier lsss

[invitef2671992]

Bonjour,

J'ai un ami qui a une s... de virus qui a vraiment du mal à être éradiqué par les antivirus, on en a essayé 3!!

Sous Windows XP familial.

Le fichier infecté est dans windows/system32 et s'appelle lsass.exe, je sais que c'est un fichier système, j'ai le même dans mon pc.

Oui, mais quelqu'un peut me dire si le fait de l'effacer purement et simplement en mode sans échec affectera le fonctionnement de windows? Eventuellement même de me dire à quoi sert ce fichier, j'ai fait des recherches sans succès...

Merci d'avance

Francis
-----

[yoda1234]

Bonjour,
je te conseille de ne pas l'effacer et de commencer par faire ceci:
Si tu connais le fichier incriminé le soumettre a virus total (22AV's) autrement fais ce qui suit:
Désactiver ta restauration système
Vider ton cache
Effacer tes cookies
Effacer ton historique.Pour tout cela:Outils->options->Vie privée et tu trouveras les boutons concernés.
Mettre a jour et executer spybot.Si tu n'as spybot télécharge le ici.
Mettre a jour et éxécuter AD-Aware SE.Si tu n'as AD-Aware télécharge le ici.
Télécharger et executer CWShredder.
Mettre a jour et éxécuter ton antivirus.
Ne pas oublier de reactiver ta restauration système.
Si tu n'as pas d'antivirus fait un scan en ligne,tout en sachant que pour la plupart ils exigent Internet Explorer(activeX).
Mon préfèré:Kaspersky anti-virus.

[yoda1234]

bonjour
j'ai oublié de te demander quel prog detecte ton malware?
suite a des recherches voici ce que j'ai trouvé ici.

Task List
Name:Isass
PROGRAM &
MANUFACTURER:isass.exe
WHAT IT IS
AND WHAT YOU CAN DO:You have the Backdoor.Futro virus.

Note – do not confuse this with LSASS which will most times show as “lsass” in your Task List where the first letter is in fact a lowercase “L” rather than an “i”.

Donc si tu ne confond les lettres comme indiqué,ton ami est infecté par futro.Dans ce cas,je pense que les instructions que je t'ai données doivent suffires.

[yoda1234]

Eventuellement même de me dire à quoi sert ce fichier, j'ai fait des recherches sans succès...Francis

Re-bonjour
après un surf au hasard j'ai trouvé a quoi servait lsass.exe:
lsass.exe est la fonction qui gère l' authentification des utilisateurs.

[A voir en vidéo sur Futura]

[invitef2671992]

Je te te remercie pour tes infos précieuses...

Tu nous a vraiment aidé.

Francis

[JPL]

Le vrai lsass.exe, qui fait partie de Windows, se trouve dans System32 et fait 13 ko dans la dernière version de XP. Les seuls "virus" dont j'ai entendu parler à son sujet sont des fichiers ayant des noms approchant (à une lettre près comme lsasss.exe = ver Sasser), ou ayant le même nom mais mis dans un autre répertoire.

[invitef2671992]

Oui, eh bien on a trouvé la source DES virus, car il y en a plusieurs, et des bien méchants pas beaux!!!!

Mon ami s'est inscrit chez LeNeuf pour l'ADSL en France, et le CD qu'ils lui ont envoyé est bourré littéralement de ces bestioles!! Apès moult formatage du DD, aucun soucis, mais dès que le CD s'installe, c'est la bérézina!!

Donc pour tous ceux qui veulent installer Monsieur LeNeuf chez eux, vérifiez l'intégrité du CD d'install avant!!

Francis

[JPL]

Ce n'est pas tout à fait impossible mais très étonnant. Quel est l'antivirus qui a fait le diagnostic ?
Parce que je rappelle que lsass.exe n'est pas un virus, si on tient compte des informations que j'ai données.

[invitef2671992]

En fait 2 antivirus ont fait le diagnostic: Antivir Personal et AVG Pro...

Mais pour info, le fichier lsass.exe n'a, et de loin, pas été le seul à être infecté par les virus. Il est d'ailleurs presque impossible de les éradiquer car on a besoin d'une connexion internet pour ça... On attend un autre CD de Leneuf, on a eu la preuve que c'est bien lui qui a été infecté.

Francis

[yoda1234]

Bonjour
oui donnes nous des précisions:
Dans le titre tu nous parles de "lsss"et dans le post lui-mème tu nous parles de:

Le fichier infecté est dans windows/system32 et s'appelle lsass.exe,

Déja au départ, c'est flou.Dans le post n°3 je te dis de faire attention a la premiere lettre comme indiqué dans le nota:

Note – do not confuse this with LSASS which will most times show as “lsass” in your Task List where the first letter is in fact a lowercase “L” rather than an “i”.

Donc si ton processus commence par un L minuscule,qu'il est situé dans System32 et qu'il fait 13Ko comme te l'a indiqué JPL il est valide et non infectieux.
Il faudrait que les intervenants qui ont des problèmes prennent l'habitude de donner des details sur leurs configs et les symptomes de leur problème

• Leur système d'exploitation
• Leur parfeu ou firewall
• Leur antivirus ou AV
• S'ils ont d'autres protections qu'il le précise.
• Que se passe t'il sur leur machine.
• Quel programme de protection"hurle"et que dit il?

[JPL]

En fait 2 antivirus ont fait le diagnostic: Antivir Personal et AVG Pro...

Mais pour info, le fichier lsass.exe n'a, et de loin, pas été le seul à être infecté par les virus. Il est d'ailleurs presque impossible de les éradiquer car on a besoin d'une connexion internet pour ça... On attend un autre CD de Leneuf, on a eu la preuve que c'est bien lui qui a été infecté.

Quelques explications techniques. Un virus infecte d'autres fichiers en ajoutant son code à un fichier primitivement sain. Un ver est un programme nuisible qui s'introduit dans l'ordinateur et qui s'installe à côté des autres fichiers : il n'infecte jamais un programme sain parce que c'est lui-même un programme autonome.
Pourquoi cette précision : parce que cela fait bien longtemps que je n'ai pas entendu parler d'un vrai virus dans les infections dont on parle depuis quelques années. Les infections sont le fait de vers et leurs dérivés, ce qui change tout. Quand tu dis que le fichier lsass a été infecté, ou bien c'est faux, ou bien c'est un scoop dans le contexte actuel.
Quant à dire qu'il faut une connexion internet pour éradiquer un ver, là aussi c'est faux. Simplement il faut lancer Windows en mode sans échec, désactiver la restauration du système (pour XP et ME) puis faire un scan du disque avec l'antivirus. En effet on ne peut pas éradiquer un programme s'il est actif ; or l'intérêt du mode sans échec est qu'il lance un Windows minimum sans rien d'autre (et en particulier sans activer les programmes malveillants).