LSA : mon PC rame

[missjulia]

Bonsoir,

 

Suite à mon précédent post samedi soir (et merci pour votre aide notamment mégataupe et jack_burton) voilà où j'en suis : ordi biennetoyé, log hijackthis ci-dessous en témoigne mais malgré tout spybot détete encore LSA deux fois :

- hkey_users\S-1-5-18\system\currentcontrol\control lsa

- hkey_users\S-1-5-18\system\currentcontrol\control lsa

 

Une recherche Google m'a fait suspecter sasser à tort et fxsasser a confirmé que ce n'était pas ça.

 

J'ai suivi le conseil de mégataupe :

- Démarrer/Exécuter/Regedit

- HKEY_LOCAL_MACHINE/systeme/currentcontrolset/control/lsa

Puis à droite sur la ligne "restrictanonymous" (et non "restrictanonymoussam"), il ya un chiffre entre parenthèse:

Si ta machine affiche "accés refusé" c'est parce-que tu dois avoir 1 ou 2, IL FAUT AVOIR 0 POUR QUE CA MARCHE. Double-clique dessus et tu rentre 0.

Eteins ton pc (et pas redemarrer pour être sûr) et rallume le.

 

Rien à faire, le chiffre demeure maintenant inchangé à zéro (= pas de troyen?) mais Spybot détecte toujours lsa et mon pc rame au bout d'un moment quand il est connecté.

 

Que faire? Je suis désemparée !

 

 

Logfile of HijackThis v1.99.1

Scan saved at 21:42:22, on 05/09/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Softwin\BitDefender Professional Edition\bdswitch.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\WINDOWS\system32\cmd.exe

C:\Program Files\Club-Internet\Lanceur\lanceur.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\Program Files\Softwin\BitDefender Professional Edition\vsserv.exe

C:\Program Files\ABC\abc.exe

C:\PROGRA~1\MOZILLA.ORG\MOZILLA\MOZILLA.EXE

C:\Program Files\Softwin\BitDefender Professional Edition\bdmcon.exe

C:\Program Files\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [adiras] adiras.exe

O4 - HKLM\..\Run: [bDMCon] C:\progra~1\softwin\bitdef~1\bdmcon.exe

O4 - HKLM\..\Run: [bDNewsAgent] C:\progra~1\softwin\bitdef~1\bdnagent.exe

O4 - HKLM\..\Run: [bDSwitchAgent] C:\Program Files\Softwin\BitDefender Professional Edition\bdswitch.exe

O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe

O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{EC7AF6D4-F99E-472E-9C53-1E14897F642B}: NameServer = 194.117.200.10 194.117.200.15

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender Professional Edition\vsserv.exe

O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

[megataupe]

Bon, voilà ce que j'ai trouvé sur ce mystérieux LSA :

 

http://www.sophos.fr/virusinfo/analyses/w32rbotaac.html

 

je vais donc demandé à mes petits camarades de se pencher sur ce cas car, je ne vois rien sur ton log qui puisse le localiser.

 

En attendant, télécharge Ewido Security suite :

 

http://www.ewido.net/en/

 

Installe le et mets à jour, redémarre en mode sans échec et scanne ton ordinateur avec Ewido. Redémarre et poste le rapport d'Ewido.

[missjulia]

Merci Mégataupe.

 

Voilà ci-dessous mon log d'Ewido (qui a trouvé des trucs que les autres logiciels ne détectent pas..arrgh !)

 

Je vais explorer quand à moi la piste Mozilla (quand j'ai téléchargé Ewido, la fenêtre qui s'est ouverte ne m'a pas proposé "Program Files" comme dernier emplacement de téléchargement mais : mozilla.org/GRE/1.6-2004011308 dossier dans lequel je ne télécharge jamais rien bien entendu, d'autant plus que pour moi il n'existe pas)

 

 

ewido security suite - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 23:38:21, 05/09/2005

+ Somme de contrôle: AD687F70

 

+ Résultats du scan:

 

:mozilla.11:C:\Documents and Settings\Julie Nouvion\Application Data\Mozilla\Profiles\default\ayy1wl6j.slt\cookies.txt -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder

:mozilla.23:C:\Documents and Settings\Julie Nouvion\Application Data\Mozilla\Profiles\default\ayy1wl6j.slt\cookies.txt -> Spyware.Cookie.Estat : Nettoyer et sauvegarder

:mozilla.25:C:\Documents and Settings\Julie Nouvion\Application Data\Mozilla\Profiles\default\ayy1wl6j.slt\cookies.txt -> Spyware.Cookie.Atdmt : Nettoyer et sauvegarder

:mozilla.26:C:\Documents and Settings\Julie Nouvion\Application Data\Mozilla\Profiles\default\ayy1wl6j.slt\cookies.txt -> Spyware.Cookie.Bluestreak : Nettoyer et sauvegarder

C:\Program Files\backups\backup-20050902-093652-892.dll -> Spyware.NewDotNet : Nettoyer et sauvegarder

C:\WINDOWS\NDNuninstall6_30.exe -> Spyware.NewDotNet : Nettoyer et sauvegarder

C:\WINDOWS\system32\TFTP1020 -> Backdoor.Rbot : Nettoyer et sauvegarder

C:\WINDOWS\system32\TFTP184 -> Backdoor.Rbot : Nettoyer et sauvegarder

C:\WINDOWS\system32\winhlpp32.exe -> Backdoor.Agobot : Nettoyer et sauvegarder

 

 

::Fin du rapport

[megataupe]

Bonjour missjulia. Bon travail d'Ewido mais, je suis quand même surpris que Spybot et compagnie n'aient pas trouvé ces parasites :

 

C:\Program Files\backups\backup-20050902-093652-892.dll -> Spyware.NewDotNet : Nettoyer et sauvegarder

C:\WINDOWS\NDNuninstall6_30.exe -> Spyware.NewDotNet : Nettoyer et sauvegarder

C:\WINDOWS\system32\TFTP1020 -> Backdoor.Rbot : Nettoyer et sauvegarder

C:\WINDOWS\system32\TFTP184 -> Backdoor.Rbot : Nettoyer et sauvegarder

C:\WINDOWS\system32\winhlpp32.exe -> Backdoor.Agobot : Nettoyer et sauvegarder

 

Fais un scan en ligne chez Ravantivirus(mettre une fausse adresse email ou une adresse hotmail):

 

http://www.ravantivirus.com/scan/

 

jusqu'à ce que "ready to scan" apparaisse

 

cela doit se présenter comme ceci http://img272.echo.cx/img272/7830/rav0gh.jpg

Tu cliques ensuite sur "scan my pc" (étape 3 de l'image)

A la fin du scan, qui peut prendre un certain temps, tu copies et colles le rapport ici

 

(tutoriall emprunté à l'ami BipBip )

[missjulia]

ela doit se présenter comme ceci http://img272.echo.cx/img272/7830/rav0gh.jpg

Tu cliques ensuite sur "scan my pc" (étape 3 de l'image)

A la fin du scan, qui peut prendre un certain temps, tu copies et colles le rapport ici

 

 

fichier par fichier?!!!!

Modifié le 6 septembre 2005 par missjulia

[megataupe]

Non bien sur, si le rapport est très conséquent tu copies/colles juste le détail de ceux qui étaient infectés.

[missjulia]

Non bien sur, si le rapport est très conséquent tu copies/colles juste le détail de ceux qui étaient infectés.

566753[/snapback]

 

Non ! Ce que je veux dire, c'est que le scan s'effectue désormais fichier par fichier apparemment, on ne peut uploader un dossier sur leur réseau... je me vois pas scanner mon ordi fichier par fichier...