Symptômes SASSER mais pas de fichiers connus !

[slick]

Bonjour,


La machine de mon amie est manifestement infectée par ce qui semble être le Worm SASSER. Toutefois, malgré toutes mes tentatives de désinfection, rien à faire... redémarrages intempestifs, LSASS à planté, AUTORITE/NT SYSTEM va redémarrer et j'en passe: continuent de plus belle !

J'ai actuellement tout tenté concernant ce qui semblait être le virus SASSER, et plus tôt BLASTER. Mais rien n'y fait... d'ailleurs, concernant SASSER je n'ai trouvé nul part la présence des fichiers incriminé tels: avserv*.exe, skynetave.exe, msiwin84.exe, wmiprvsw.exe, hkey.exe ou bien encore un quelconque *_up.exe ! Aucun signalement non plus dans la base de registre, encore moins donc, dans les processus !

La machine est devenue inutilisable tant les redémarrages sont brutaux !
Malgré mon firewall, un message apparaît: Le programme C:\WINNT\SYSTEM32\SERVICES.EXE veut joindre le réseau, voulez-vous autoriser oui/non. Lorsque je réponds oui, j'ai un message qui annonce un plantage, et lorsque je réponds non, je ne peux pas me connecter sur internet, et au bout de quelques secondes, mon système plante quand même ! :S


Si quelqu'un a une info, je suis toute ouïe !
Merci.

[jedyokatana]

Bonjour,
A partir d'une autre machine, tu télécharges le correctif de sécurité Microsoft (http://www.microsoft.com/france/securit ... sasser.asp) relatif à la failee LSASS, tu le copies sur la machine de ton amie, tu éxécutes ce patch et la faille sera comblée.
Bon courage

[slick]

Merci je vais essayer...

[slick]

Bon, j'ai eu quelques soucis... puisque malgré le update Microsoft, j'ai eu encore un redémarrage impromptu. Soit, il semblerait (je croise les doigts) que ce dernier était inérant à la réinstallation de Kaspersky pro, que j'ai effectuée juste après le correctif.

Tout semble mieux aller. Merci encore.
Toutefois, je signale que les fichiers sensés être les preuves de la présence de SASSER, n'étaient pas présents sur la machine... donc je conseille à tout le monde une TRES GRANDE MEFIANCE !
Sans doute s'agirait-il d'une variante "SASSER-E"


Quoi qu'il en soit, voici une plaie supplémentaire !

[cf]

J'ai eu le même problème sur le pc de mon père: mais je crois que la raison en est toute simple: tu n'étais pas infecté par Sasser...
En effet, je pense (mais je peux me tromper) qu'il y a deux phases distinctes dans une infection par Sasser:
1) Une machine infecté sort ton IP par hasard, et t'attaque via le port 445.
Cela peut suffir à te faire planter, redémarrer
2) Il se copie sur ton DD, et infecte ta machine

Donc, je pense que, pour une raison ou une autre (firewall ?), il n'est pas parvenu à l'étape 2, donc aucun antivirus ne risque de le trouver sur ta machine.
Par contre, ce qui m'étonne, c'est que le patch de Microsoft n'ait pas résolu le problème...
Mais bon, cela ne serait pas la première fois.
@+

[vanvan]

un conseil vas faire un tour dans la base de registre sur :

Hkey_ local machine --> software --> microsoft --> windows --> Current version --> Run

Puis tu vires toutes les clés qui servent à rien. Dans le cas de sasser il me semble que les clés à virer sont :
avserve.exe
skynetav.exe
et/ou *\up.exe
et/ou asrv2.exe
+ mvcoas.exe

Par contre, dans le cas où sur ta machine il y aurait 2 antivirus qui tournent en même temps le fait de faire le ménage dans Run permet de résoudre pas mal de soucis ( cela dans le cas où certaines manips de base ne fonctionnerait exemple suite à une désinstallation qui se passe mal. ).

[slick]

Bien merci pour toutes ces petites infos...

La machine de mon amie repose de nouveau sur de bonnes bases... !
Patch, antivir, firewall et j'en passe... mais rien en ce qui concerne les fichiers connexes à SASSER.
Peut-être autre chose donc. Mais pas juste une/des attaque(s). Bref, merci du coup de main. A charge de revanche.