isass .exe

[lucdemarseille]

salut à tous et merci de me lire

voilà j'ai trouvé un processus "isass.exe" et en le recherchant sur google il se pourrait que ce soit un worm qu'en pensez-vous?

j'ai fais un scan-online avec secuser il ne m'a rien trouver

en attente de vos réponses merci

[sebdraluorg]

Salut,

 

Est tu sur que ce soit isass.exe et non lsass.exe ?

 

Si c'est lsass, et qu'il a bien "SYSTEM" pour nom d'utilisateur, et que tu n'en a que un nomme ainsi, tout va bien... (enfin pour ce processus)

 

Sinon, si ce n'est pas ca ou que tu as des problemes qui te font pense que tu pourrais etre infecte, tu peux poster un log HiJackThis apres avoir suivi la procedure suivante:

Avant de poster le rapport d'une analyse hijackthis, il y a quelques manoeuvre à éffectuer.

 

Si vous avez MSN Messenger Plus, désinstallez le avec cette utiltaire : FixMessenger

Son tuto : ici

 

1 : Telechargez Easy Cleaner

 

Installez le et mettez le à jour

 

2 : Telechargez : Ad-aware Se 1.06

 

Installez le et mettez le à jour en cliquant sur le bouton "Check for Update" puis Connect

 

3 : Téléchargez Spybot S&D 1.4

 

Installez le et mettez le à jour en cliquant sur recherche de mises à jour puis vaccination

 

4 : Téléchargez Ewido free

 

Installez le et mettez le à jour.

 

5) : Téléchargez A²Free, installer le puis mettez le à jour.

 

6 : Redémarrez en mode sans échec, faite attention vous n'avez pas accès à internet. Notez bien se qu'il faut faire ou faite un copier coller.

 

Pour redémarrer en mode sans échec :

 

Démarrez l'ordinateur, une fois le chargement du bios terminé, tapotez sur la touche F8 ou F5 jusqu'à l'affichage des options de démarrage, avec les touches de votre curseur (les flèches de votre clavier), selectionnez le mode sans échec et appuyer sur entrée.

 

Ne pas selectionner le mode sans échec avec prise en charge réseau.

 

7 : Lancez Easy Cleaner

 

Cliquez sur le bouton Inutiles et cochez les cases : Fichiers Internet Temporaires et Répertoires temporaires et Cookies du naviguateur

 

Cliquez sur Trouvez. Patientez, après cliquez sur le bouton Supprimer tout

 

N'utilisez pas la fonction doublon.

 

8 : Lancez Ad-aware Se 1.06

 

Cliquez sur Start et cochez Perform Smart system scan, cliquez sur Next et patientez, puis cochez toutes les cases que Ad-Aware vous aura trouvé et cliqué sur next.

 

9 : Lancez Spybot S&D 1.4

 

Cliquez sur Verifier tout et patientez un moment

 

Une fois que spybot a terminé son scan, selectionnez tout ce qu'il a trouvé et cliquez sur corriger les problèmes

 

10 : Lancez Ewido free

 

Cliquez sur scanner et choisissez scan complet du système

 

Supprimer tous se qu'il vous trouve

 

11 : Lancez A²Free

 

Cliquez sur Scanner votre ordinateur contre les infections par des Malwares, puis supprimez tous se qu'il vous trouve.

 

12 : Faites une analyse en ligne pour une parfaite élimination en voici quelque uns:

 

Panda Antivirus

trend micro

secuser

Bitdefender

 

13 : Téléchargez Hijackthis 1.99.1 installez le dans un répertoire dédier comme C:

 

Son tuto d'instalation: tuto

 

Postez votre rapport dans un topic que vous aurez créé avec des formules de politesse.

 

L'analyse des rapports par le site de hijackthis.de n'est pas fiables, donc poster votre rapport sur se site et attendez qu'il soit analysé.

 

Bon courrage

 

EDIT:

Salut Megataupe

 

++

Modifié le 2 décembre 2005 par sebdraluorg

[megataupe]

Bonjour Luc. Il s'agit bien d'un trojan à nettoyer :

 

isass.exe

 

What is it?

TROJ_ISAPASS.A - ISASS.EXE

 

What does it do?

It then transfers control of execution to the dropped file ISASS.EXE.

 

It deletes PWL files found on the system and performs key logging routines.

 

It runs on Windows 95, 98, NT, ME, 2000, and XP.

 

Also using:

 

* MSSVCHST.DLL

* MSHLPAPI.DLL

 

Applique la procédure de pré-nettoyage et envoie le rapport HijackThis.

 

edit : Bonjour Seb

Modifié le 2 décembre 2005 par megataupe

[lucdemarseille]

Salut,

 

Est tu sur que ce soit isass.exe et non lsass.exe ?

 

Si c'est lsass, et qu'il a bien "SYSTEM" pour nom d'utilisateur, et que tu n'en a que un nomme ainsi, tout va bien... (enfin pour ce processus)

 

Sinon, si ce n'est pas ca ou que tu as des problemes qui te font pense que tu pourrais etre infecte, tu peux poster un log HiJackThis apres avoir suivi la procedure suivante:

Bon courrage

 

EDIT:

Salut Megataupe

 

salut et merci pour l'aide tu as raison c'est lsass.exe j'ai suivi la procédure et voilà mon log

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 02:33:28, on 03/12/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = France Télécom Câble

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe

O4 - HKLM\..\Run: [nTrayFw] C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1120347042641

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe

O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe

O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)

O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Professionnel 2005\RpcDataSrv.exe

O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Professionnel 2005\RpcSandraSrv.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

 

voilà bonne lecture et encore merci

 

ps easycleaner n'a pas put nettoyer 2 fichiers

 

C:\documents and settings\luc\local setting\temporaire internet\content.IE5

C:\documents and settings\luc\local setting\temporaire internet\content.IE5\index.dat

[tirol]

Salut Lucdemarseille,

 

c'est pas toi qui parlait en morse y'a qque temps ?

boudiou, Seb, c'est Austerlitz qui fait réver à une telle artillerie ?

Ewido est juste nécessaire, et contrairement à ce qu'on lit ici, lucdeOM , garde le

tu pourras le remettre à jour mais manuellement.

Pour le reste, si tu n'as pas de pb laisse tomber!

juste bizarre tes lignes en 010, attends nos amis et leur lspfix

[Mark]

Salut Tirol, et bonjour à tous

 

Pour les entrées O10, faut les laisser :

http://castlecops.com/lsp-164.html

 

Qu'est-ce que c'est lucdeOM exactement ? Je ne le vois pas...

[lucdemarseille]

Salut Lucdemarseille,

 

c'est pas toi qui parlait en morse y'a qque temps ?

boudiou, Seb, c'est Austerlitz qui fait réver à une telle artillerie ?

Ewido est juste nécessaire, et contrairement à ce qu'on lit ici, lucdeOM , garde le

tu pourras le remettre à jour mais manuellement.

Pour le reste, si tu n'as pas de pb laisse tomber!

juste bizarre tes lignes en 010, attends nos amis et leur lspfix

 

salut oui c'etait moi pour le morse mais je n'ai aucun merite une petite recherche sur google et le morse devient trés facile

ok je vais attendre merci

.--- . / --. .- .-.. .-. . / -... . .- ..- -.-. --- ..- .--. / -.. . .--. ..- .. ... / --.- ..- . / .--- .----. .- .. / .-.. .----. --- .-. -.. .. / -- .- .. ... / .--- . / -- .- -.-. -.-. .-. --- -.-. .... . / .-.. --- .-..

 

Salut Tirol, et bonjour à tous

 

Pour les entrées O10, faut les laisser :

http://castlecops.com/lsp-164.html

 

Qu'est-ce que c'est lucdeOM exactement ? Je ne le vois pas...

 

salut Tirol

om (olympique de marseille, c'est l'équipe de football)

pour les lignes 010 je les laisse

merci

mais par contre depuis que j'ai fais toute ces procédures j'ai l'ordi qui est long pour démarrer

est-ce normal où y-a-t'il un truc à faire?

merci

 

Salut Tirol, et bonjour à tous

 

Pour les entrées O10, faut les laisser :

http://castlecops.com/lsp-164.html

 

Qu'est-ce que c'est lucdeOM exactement ? Je ne le vois pas...

 

salut que dois-je faire avec ceci

http://castlecops.com/lsp-164.html

merci

 

Salut Tirol, et bonjour à tous

 

Pour les entrées O10, faut les laisser :

http://castlecops.com/lsp-164.html

 

Qu'est-ce que c'est lucdeOM exactement ? Je ne le vois pas...

 

salut QCoo1

en fait je me suis mélanger les pinceaux

voilà

lucdeOM (luc de olympique de marseille,c'est l'équipe de football)

voilà merci