[antoine1965]

bonsoir

j'ai encore un problème avec une fenêtre qui s'ouvre
avec le message suivant :

lsasss.exe

Il n'y apas de disque dans le lecteur. Insérez un disque dans le lecteur \Device\Haeddisk2\DR2.

et cela 5 fois.

J'annule et ce message revient toutes les 30 secondes.

Alors, j'ai fais CTRL + Alt + Supp, j'arrête le processus lsasss.exe et ce message n'apparait plus.

Comment faire pour le supprimer définitivement?

Merci encore une fois. 

[Asiakira]

Bonjour ! Clique sur Démarrer/Exécuter et tape msconfig, un menu s'ouvre, clique sur l'onglet Démarrage. Regarde s'il y a un programme qui utilise "lsasss" et décoche-le. Si tu ne vois rien concernant ce programme dans cette fenêtre, aller dans la base de registre et supprime toutes les clefs contenant "lsasss".
_________________

"Bonjour Dame Tristesse et je te salue Mélancolie" 

[Geronimo]

Bonjour antoine1965

- lsasss.exe fait référence à w32/Sasser.E Worm on va faire un état des lieux de ton PC avant d'agir

Le rapport de ZHPDiag doit être posté en lien, il est parfois trop long pour tenir dans une réponse.
Le rapport de ZHPDiag posté directement dans une réponse ne sera pas pris en compte


Étape 1

Télécharge ZHPDiag ftp://zebulon.fr/ZHPDiag%201.24.18.exe (de Nicolas coolman)

- Double clique sur le fichier téléchargé, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher Créer une icône sur le bureau)

- Lance ZHPDiag en double cliquant sur le raccourci de ZHPDiag présent sur ton bureau

- Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

- Laisse l'outil travailler, il peut être assez long.


- Une fois le scan terminé, le rapport (ZHPDiag.txt) s'affichera sur le bureau.

- Sinon le rapport sera aussi sauvegardé dans ce dossier ==> C:\Program files\ZHPDiag


Étape 2


Pour poster le rapport en lien rends toi sur ce site : http://www.cijoint.fr/

* Clique sur Parcourir et va jusqu'au rapport que tu as sauvegardé .

* Clic gauche dessus clique ensuite sur ouvrir
* Clique ensuite sur Cliquer ici pour déposer le fichier
* Une fois l'upload fini un lien apparaît copie/colle le dans ta prochaine réponse


- Aide pour ZHPDiag http://stopovirus.xooit.fr/t85-Guide-ZHPDiag.htm#p706 

[antoine1965]

bonsoir à tous

j'ai téléchargé mais je ne peux le charger sur le site indiqué cijoint

puis je le mettre sur http://senduit.com/d53eee?

merci 

[Geronimo]

Bonjour antoine1965

- Tu peux le mettre sur senduit.com mais régle le délai de téléchargement à deux jours le rapport que tu as posté n'est plus accessible délai expiré 

[antoine1965]

bonjour

voici le lien :

http://senduit.com/92340b 

[Geronimo]

- Aucune trace de lsasss.exe par contre ton PC est pollué par d'autres indésirables.


Étape 1


- Télécharge OTM (de Old_Timer) http://oldtimer.geekstogo.com/OTM.exe Enregistre ce fichier sur le Bureau.

- Double-clique sur OTM.exe

- Copie le texte qui se trouve en citation (sans le mot citation) et, colle le dans le cadre de gauche de OTMoveIt nommé Paste Instructions for Items to be Moved (Cadre jaune)

[antoine1965]

Bonjour Geronimo

voici le rapport OTM :

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== REGISTRY ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\EBUNWVLUMV deleted successfully.
========== SERVICES/DRIVERS ==========
Service Bonjour Service stopped successfully!
Service Bonjour Service deleted successfully!
========== FILES ==========
c:\users\antoine\appdata\local\temp\Zjd.exe moved successfully.
LoadLibrary failed for c:\windows\system32\sshnas21.dll
c:\windows\system32\sshnas21.dll moved successfully.
C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job moved successfully.
C:\Windows\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: antoine
->Temp folder emptied: 2109700 bytes
->Temporary Internet Files folder emptied: 91100064 bytes
->Java cache emptied: 10680337 bytes
->FireFox cache emptied: 34554241 bytes
->Flash cache emptied: 42651 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 530680 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 3329506 bytes
%systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 136,00 mb


OTM by OldTimer - Version 3.1.12.2 log created on 06252010_184832

Files moved on Reboot...
C:\Users\antoine\AppData\Local\Temp\~DFA48D.tmp moved successfully.
C:\Users\antoine\AppData\Local\Temp\~DFA498.tmp moved successfully.
C:\Users\antoine\AppData\Local\Temp\~DFA4EB.tmp moved successfully.
C:\Users\antoine\AppData\Local\Temp\~DFA4F6.tmp moved successfully.
C:\Users\antoine\AppData\Local\Temp\~DFA529.tmp moved successfully.
C:\Users\antoine\AppData\Local\Temp\~DFA534.tmp moved successfully.
C:\Users\antoine\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\HFAV5F1Z\search[1].htm moved successfully.

Registry entries deleted on Reboot...


Voici le rapport de MALWARE :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4052

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904

25/06/2010 19:06:37
mbam-log-2010-06-25 (19-06-37).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 130268
Temps écoulé: 9 minute(s), 0 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

et voici le lien pour ZHPDiag :

http://senduit.com/63f613 

[Geronimo]

- Dans le dernier rapport il y a des traces d'une possible infection par un virus USB on va vérifier ce point.

• Télécharge UsbFix (de Chiquitine29) : http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
* Où bien ici http://chiquitine.changelog.fr/UsbFix.exe

• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptibles d'avoir été infectés sans les ouvrir

• Fais un clic droit sur UsbFix.exe présent sur ton bureau et choisis "Exécuter en tant qu'administrateur"

• Cliaue sur Recherche
• Laisse travailler l outil
• Ensuite poste le rapport UsbFix.txt qui apparaitra.

• Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque. ( C:\UsbFix.txt ) 

[antoine1965]

voici le rapport :

############################## | UsbFix 7.014 | [Recherche]

Utilisateur: antoine (Administrateur) # PC-DE-ANTOINE [Dell Inc. Dell XPS420]
Mis à jour le 24/06/10 par El Desaparecido / C_XX
Lancé à 21:34:12 | 25/06/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Core(TM)2 Quad CPU Q6600 @ 2.40GHz
CPU 2: Intel(R) Core(TM)2 Quad CPU Q6600 @ 2.40GHz
Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6002 32-Bit) # Service Pack 2
Internet Explorer 8.0.6001.18904

Pare-feu Windows: Activé
RAM -> 2045 Mo
C:\ (%systemdrive%) -> Disque fixe # 451 Go (23 Go libre(s) - 5%) [OS] # NTFS
D:\ -> Disque fixe # 15 Go (5 Go libre(s) - 34%) [RECOVERY] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM
K:\ -> CD-ROM
L:\ -> CD-ROM
M:\ -> Disque fixe # 186 Go (3 Go libre(s) - 2%) [Nouveau nom] # NTFS
N:\ -> Disque amovible # 4 Go (2 Go libre(s) - 57%) [] # FAT32

################## | Éléments infectieux |

Présent! E:\Autorun.inf

################## | Registre |

Présent! HKCU\Software\M5T8QL3YW3
Présent! HKCU\Software\V71IQL7HI7

################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{68da2a75-a81e-11dd-bb83-001c26dd7c7d}
Shell\AutoRun\Command = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL K:\lisez.moi.htm

HKCU\.\.\.\.\Explorer\MountPoints2\{83f28f93-e3dd-11dd-9298-806e6f6e6963}
Shell\AutoRun\Command = E:\Setup.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{ccf0a783-8028-11de-a003-001c26dd7c7d}
Shell\AutoRun\Command = L:\AutoRunPro.exe


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F | 

[Geronimo]

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectés sans les ouvrir

• Fais un clic droit sur UsbFix.exe présent sur ton bureau et choisis "Exécuter en tant qu'administrateur" .
• Cliauee sur Suppression
• Ton bureau disparaitra et le pc redémarrera .
• Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.
• Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .•

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt ) 

[antoine1965]

voici le rapport :

############################## | UsbFix 7.014 | [Suppression]

Utilisateur: antoine (Administrateur) # PC-DE-ANTOINE [Dell Inc. Dell XPS420]
Mis à jour le 24/06/10 par El Desaparecido / C_XX
Lancé à 23:04:56 | 25/06/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Core(TM)2 Quad CPU Q6600 @ 2.40GHz
CPU 2: Intel(R) Core(TM)2 Quad CPU Q6600 @ 2.40GHz
Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6002 32-Bit) # Service Pack 2
Internet Explorer 8.0.6001.18904

Pare-feu Windows: Activé
RAM -> 2045 Mo
C:\ (%systemdrive%) -> Disque fixe # 451 Go (21 Go libre(s) - 5%) [OS] # NTFS
D:\ -> Disque fixe # 15 Go (5 Go libre(s) - 34%) [RECOVERY] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM
K:\ -> CD-ROM
L:\ -> CD-ROM
M:\ -> Disque fixe # 186 Go (3 Go libre(s) - 2%) [Nouveau nom] # NTFS
N:\ -> Disque amovible # 4 Go (2 Go libre(s) - 57%) [] # FAT32

################## | Éléments infectieux |

Non supprimé ! E:\Autorun.inf

################## | Registre |

Supprimé! HKCU\Software\M5T8QL3YW3
Supprimé! HKCU\Software\V71IQL7HI7

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{68da2a75-a81e-11dd-bb83-001c26dd7c7d}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{83f28f93-e3dd-11dd-9298-806e6f6e6963}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{ccf0a783-8028-11de-a003-001c26dd7c7d}

################## | Listing |

[25/06/2010 - 23:10:50 | SHD ] C:\$Recycle.Bin
[26/04/2010 - 08:13:04 | A | 0] C:\AdobeDebug.txt
[02/05/2010 - 16:47:54 | D ] C:\Autodesk
[18/09/2006 - 23:43:36 | A | 24] C:\autoexec.bat
[13/12/2009 - 10:15:20 | SHD ] C:\Boot
[11/04/2009 - 08:36:36 | RASH | 333257] C:\bootmgr
[18/09/2006 - 23:43:37 | A | 10] C:\config.sys
[03/04/2008 - 21:09:49 | D ] C:\DELL
[22/03/2008 - 01:08:36 | RAH | 4740] C:\dell.sdr
[22/03/2008 - 00:52:41 | D ] C:\doctemp
[02/11/2006 - 15:02:03 | SHD ] C:\Documents and Settings
[22/03/2008 - 00:52:43 | D ] C:\Drivers
[25/06/2010 - 19:08:47 | ASH | 2145308672] C:\hiberfil.sys
[03/04/2008 - 23:39:04 | D ] C:\Intel
[05/04/2008 - 18:29:08 | RASH | 0] C:\IO.SYS
[06/03/2010 - 17:36:06 | D ] C:\Matrix Games
[13/06/2010 - 13:31:36 | A | 127] C:\mbam-error.txt
[05/04/2008 - 18:29:08 | RASH | 0] C:\MSDOS.SYS
[10/01/2009 - 10:56:33 | RHD ] C:\MSOCache
[14/03/2010 - 09:22:28 | D ] C:\NVIDIA
[25/06/2010 - 19:08:44 | ASH | 2459140096] C:\pagefile.sys
[09/02/2010 - 17:54:45 | D ] C:\Poker
[25/06/2010 - 22:14:15 | RD ] C:\Program Files
[23/06/2010 - 23:11:46 | D ] C:\ProgramData
[29/05/2010 - 17:16:12 | D ] C:\Programmes
[15/06/2010 - 18:46:28 | D ] C:\Programs
[16/06/2010 - 07:55:06 | SHD ] C:\System Volume Information
[17/06/2010 - 23:09:33 | A | 1465] C:\TCleaner.txt
[06/11/2008 - 08:26:52 | D ] C:\temp
[25/06/2010 - 23:10:50 | D ] C:\UsbFix
[25/06/2010 - 23:05:28 | A | 2892] C:\UsbFix.txt
[03/04/2008 - 20:54:54 | RD ] C:\Users
[24/06/2010 - 21:07:06 | D ] C:\Winamax
[25/06/2010 - 19:13:53 | D ] C:\Windows
[13/06/2010 - 13:26:38 | A | 758] C:\ZHPExportRegistry-13-06-2010-13-26-38.txt
[25/06/2010 - 18:48:32 | D ] C:\_OTM
[25/06/2010 - 23:10:50 | SHD ] D:\$RECYCLE.BIN
[01/06/2010 - 20:36:54 | A | 129] D:\Disque amovible (I) - Raccourci.lnk
[01/06/2010 - 20:36:54 | A | 129] D:\Lecteur CD - Raccourci (2).lnk
[20/05/2010 - 19:22:49 | A | 129] D:\Lecteur CD - Raccourci.lnk
[31/05/2010 - 13:37:58 | D ] D:\Program Files
[17/11/2006 - 18:06:22 | D ] D:\sources
[21/03/2008 - 17:11:51 | SHD ] D:\System Volume Information
[21/03/2008 - 17:24:35 | D ] D:\Tools
[31/05/2010 - 13:38:09 | RD ] D:\Users
[24/06/2010 - 13:49:04 | D ] D:\Windows
[16/10/2008 - 11:31:42 | R | 42] E:\Autorun.inf
[15/10/2008 - 22:06:58 | R | 831763872] E:\Setup.exe
[22/09/2008 - 14:44:52 | R | 10614] E:\ww1.ico
[25/06/2010 - 23:10:50 | SHD ] M:\$RECYCLE.BIN
[09/05/2010 - 16:41:20 | A | 111159872] M:\197.45_desktop_winxp_32bit_international_whql.exe
[06/01/2007 - 01:27:35 | D ] M:\56e4f48db34543900353ef29fdbda8
[10/07/2009 - 17:32:42 | A | 30143928] M:\avira_antivir_personal_fr.exe
[12/04/2008 - 07:33:36 | A | 3702216] M:\daemon-tools_daemon_tools_4.12.3_anglais_10729.exe
[06/04/2008 - 16:15:06 | A | 3723454] M:\IZArc_Setup.exe
[12/03/2010 - 08:23:33 | D ] M:\jeux
[10/09/2008 - 16:35:26 | D ] M:\la.magie.par.les.cartes.1
[26/06/2008 - 07:53:48 | RD ] M:\Mes images
[26/01/2008 - 21:41:01 | D ] M:\photo
[25/06/2010 - 21:34:56 | SHD ] M:\RECYCLER
[01/07/2006 - 16:44:48 | SHD ] M:\System Volume Information
[30/04/2008 - 18:05:16 | D ] M:\victoria
[20/04/2010 - 12:45:18 | A | 15034] N:\SDL-1.0-french-intro.tar.gz
[20/04/2010 - 12:45:24 | A | 24535] N:\SDL-1.0-french-intro.zip
[10/05/2010 - 07:55:20 | A | 40686108] N:\100.Meilleurs.Tours.Magie.pdf
[15/02/2009 - 17:16:44 | A | 27542729] N:\WW1_BigManual.pdf
[11/10/2008 - 11:53:32 | A | 6497298] N:\WW1_Manual.pdf
[07/05/2010 - 12:01:32 | A | 14739297] N:\WW1_BigManual_Additions.pdf
[08/06/2010 - 07:32:02 | D ] N:\ww1

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
M:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
N:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-ANTOINE.zip
http://chiquitine.changelog.fr/Sample/Upload.php
Merci de votre contribution.

################## | E.O.F | 

[Geronimo]

Bonjour antoine1965

- Le cas de l'infection USB étant réglé j'aimerais savoir si tu as désactivé dans MSconfig la case faisant référence à lsasss.exe proposé par Asiakira

- Ce qui étonnant si tu l'a fait c'est que je ne trouve aucune trace de ce fichier dans les rapports de ZHPDiag que tu as posté. 

[antoine1965]

bonjour Geronimo

pour répondre à ta question, non je ne l'ai pas fait mais je dois dire que maintenant je n'ai plus d'alerte ce qui me semble normal après les manips non? 

[Geronimo]

- Ce n'était pas lsasss.exe qui était en cause mais deux autres fichiers infectieux.

- JE vais te faire passer un scan zen ligne avec Kaspersky pour voir si tout est Ok

- Fais un scan en ligne ici http://www.kaspersky.com/kos/eng/partner/default/kavwebscan.html
-* Clique sur Accept
* Patiente le temps d'installation du Webscanner.
* Les bases de mises à jour vont s'installer, patiente un moment
* Clique sur Next.
* Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

* Le scan terminé, clique sur Report ==> Save report choisis Fichier texte .txtcomme format de fichier et enregistre sur le bureau


- Utilise ensuite cjoint.com http://cjoint.com/ pour poster en lien ton rapport

- Clique sur Parcourir pour aller chercher le rapport de kaspersky
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint

- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.