Bonjour,
 
Voici un descriptif du problème :
 
Dès que le pc est connecté a Internet, un message apparait à propos de lsass.exe stipulant qu'un administrateur a programmé un redémarrage du pc. 1mn après, le pc reboote.
 
J'entends déjà les plus 'malins' dire : bah, c'est Sasser, tout le monde sait ca ... le problème c'est que tous les 'anti sasser' que j'ai essayés n'ont eu aucun effet (même la version 4 du Sasser Removal Tool de Microsoft grâce auquel j'ai supprimé de nombreuses fois différentes variantes de ce virus).
 
Ma question est la suivante :
 
Connaissez vous, ou avez vous une idée de comment supprimer cette crasse manuellement ?
 
Merci d'avance

cmd.exe > shutdown -a

+1
 
+ scan on line avec www.secuser.com par exemple

 
 
 
comment peut-on se prendre Sasser plusieurs fois?

minipouss, je vois une vingtaine de pc's par jour ... alors tes commentaires ...
 
Mon PC par contre a été patché en temps et en heure.

Et y'a pas que Sasser qui pose ce pb... Paramétrer le firewall d'XP permet d'éviter ces pbs...

justement, est-ce que tu as des noms d'autres virus ?
 
Aucune trace de l'executable 'sasser' sur la machine, anti virus a jour trouve rien ... et je vais pas dire a mon client 'faites démarrer, exécuter et tapez 'shutdown -a' a chaque fois que vous voulez surfer ...

 
Et boucler son firewall ?

bah, ca empechera PAS sasser (ou autre) de lancer le shutdown .. Le firewall empeche l'infection .. pas le 'fonctionnement' du virus sur une machine infectée .. du moins, je vois pas comment.

 
Oui

j'avais oublié un 'pas' ..

Sérieux, tu sais comment ça fonctionne ?
 
Tu crois vraiment que c'est le fait d'avoir installé un truc qui fait rebooter le PC ?

http://www.secuser.com/alertes/2004/sasser.htm

D'après tout ce que j'ai lu, le reboot est généré par le crash de lsass.exe suite à l'infection dont on parle. Me dis pas que le fait d'activer le firewall ridicule d'XP empêche lsass.exe de se planter ...

 
Ben si. Chaque attaque lance le reboot. Et le fait de protéger le PC contre une attaque te donne le temps de le désinfecter.
 
Le pb c'est que si tu le désinfectes, sans le protéger, ben à chaque connexion tu te le prends dans la gueule.
 
(B-A BA de ce genre de virus)  
 
Et le firewall de XP est très bien pour çà.

OK, si tu le dis.
 
Je sors mon atout lol : le firewall XP a été activé ... et ca continue de se planter a chaque connex ...

Sans compter la présence du firewall BitDefender sur la machine ...

 
Il faut aussi désinfecter le machin... Et mettre à jour Windows...  
 
Enfin,  
 

 
Alors mes commentaires...

 
   
 
Allez,  

BitDefender est un Anti Virus, je sais, mon client a la version comprenant AUSSI un firewall. C'est pas moi qui lui ai installé, je préfère de loin kaspersky et un bon routeur.
 
Au lieu de rigoler ... essayez de m'aider. Si vous souhaitez vous foutre de la gueule du monde, allez sur un channel irc et défoulez vous ...

Tu as le PC sous les yeux là ?

dis donc t'aurais pas par hasard un processus qui prends 100% le l'UC ???

le reboot impose par NT autority survient parfois apres plantage de svchost.exe

Prems, pc pas sous les yeux.
merci
 
pas de cpu a 100% non

J'aime pas vraiment MSN, et je pense que toute info est digne d'être référencée ici.
 
(vire donc cet email MSN)

papy, c'est clairement lsass.exe qui est mis en cause

Tu vas chez Symantec :
 
http://securityresponse.symantec.c [...] nfodb.html
 
et dans le truc de recherche tu tapes Ms04-011, comme ça il te donnera toute la liste des virus utilisant cette faille.
 
 
Voila MON commentaire.
 
Et pour tout à l'heure tu n'avais qu'à préciser que ce n'était pas sur le même pc que tu avais fait ça.

merci minipouss bonne idée que tu as eu la. Exactement le genre de chose pour laquelle j'ai posté ici, contrairement à beaucoup de réponses recues jusqu'ici.

1. s'assurer par tous les moyens que le FW d'XP est activé
2. repasser une couche d'anti sasser etc.
3. vérifier les *up.exe dans system32.
4. retenter une connexion

http://vil.nai.com/vil/stinger/
 
ça mange pas de pain...

pas encore testé stinger, je l'ai téléchargé tout a l'heure, j'essayerai ca demain. Merci qd même

Bon, pour synthétiser :
 
1. PC reboote quand sur le oueb, ca on a tous compris.
2. PC patché etc .. infection nouvelle impossible
3. PC continue de rebooter a chaque connex internet
4. Aucune trace de sasser sur le pc (ni les _up.exe, ni koi que ce soit de 'visible' à priori dans le 'run' ou dans les services lancés au boot
5. L'ambiance pourrait être un peu plus 'cool' ici ...
6. minipouss m'a permis de découvrir 'bobax', un autre virus qui exploite la meme faille, probablement une piste ...
7. prems pense qu'en activant le firewall d'XP empêche une machine infectée par Sasser de rebooter lorsqu'on se connecte au web, ce dont je suis loin d'être convaincu et chose a propos de laquelle je veux bien des détails
lol j'avais oublié le 8. BitDefender est aussi un firewall ...
 
J'attend vos commentaires

y a aussi les dabber, Korgo et d'autres même des trojans je crois. Toute une famille quoi

Tout ca dit avec beaucoup d'humour et sans véhémance aucune.

ouais, mais ceux la ne sont pas connus pour planter lsass.exe et forcer le reboot (c'ki serait un peu con pour un trojan n'est-ce pas ...)
 

dfeja pour travailler tu peux faire en sorte qu'en cas d'erreur le rpc reboot le PC et non le PC complet.

Et dans la base de registre, il serait pas là ton virus?
Local_Machine/SOFTWARE/Microsoft/Windows/CurrentVersion/Run

 
c'est vrai

tu peux faire un coup de Hijack This et coller le résultat du log ici?