=?iso-8859-1?Q?d=E9connexions_intempestives?=

message from nico33 on 1 Jun 2004
Bonjour,
Depuis quelques jours, mon PC se d=E9connecte au bout de=20
quelques minutes, avec un compte =E0 rebours de 60 secondes=20
et le message suivant s'affiche : "Cet arr=EAt a =E9t=E9 initi=E9=20
par AUTORITE NT\SYSTEM Le processus syst=E8me=20
C:\WINDOWS\system32\lsass.exe s'est termin=E9 de mani=E8re=20
inattendue avec le code d'=E9tat 128. Le syst=E8me va=20
maintenant s'=E9teindre et red=E9marrer." Je pr=E9cise que je=20
suis sous Windows XP. D'autre part, ni Ad-Aware, ni CW-
Shredder n'ont =E9limin=E9 ce bug. Merci =E0 celui ou =E0 celle=20
qui pourrait m'aider =E0 r=E9soudre ce probl=E8me.
 
JF replied to nico33 on 2 Jun 2004
Bonjour nico33 !

VIRUS SASSER
www.microsoft.com/france/securite/incident/sasser.asp
www.microsoft.com/france/securite/incident/sasser_correct.
asp
Sasser utilise une faille d'un système de Windows nommé
LSASS.
Comme pour Blaster cet été, il suffit d'être connecté
sur Internet sans la protection Pare-feu activée pour être
infecté.
Nota: Quand LSASS est écrit en minuscules, on peut croire
qu'il commence par la lettre "i" au lieu de "L".
Cette confusion est courante.

MESSAGE D"ALERTE
Ils sont divers, par exemple:
"Le processus système LSASS.EXE s'est terminé de manière
inattendue avec le code d'état -1073741819. Le système va
maintenant s'éteindre et redémarrer"

POUR QUE LE PC NE S'ARRÊTE PAS
Démarrer>Exécuter>shutdown -a

PARE-FEU
Cocher le pare-feu dans Propriétés de la connexion.

TUER LE PROCESSUS ***
Faire CTL+ALT+Supr et arrêter les processus:
avserve.exe
avserve2.exe
skynetave.exe
hkey.exe
msiwin84.exe
wmiprvsw.exe
et ceux dont le nom se termine par "_up.exe"
Les noms des processus changent en fonction des versions
de Sasser.
De nouvelles versions apparaissent tous les jours (voir
***)
TUER LE DÉMARRAGE DU PROCESSUS ***
Démarrer>Exécuter>msconfig
.. puis sous l'onglet Démarrage décocher ces processus.

PATCHER WINDOWS
Patch MS04-011 (835732) ==>
http://minilien.com/?u1mfnKkgkt
http://support.microsoft.com/?id=835732
La liste des patches déjà installés se trouve dans
Ajout/Suppression de programmes du Panneau de
Configuration.
Par la suite, faire un update complet.

*** Faire de même avec tout autre processus douteux.

ALLER PLUS LOIN
===============
http://assiste.free.fr/p/internet_essentiel/kit_securite.php
Quand on a détecté un virus, on a de fortes chances d'en
avoir d'autres==>

NETTOYEURS DE VIRUS
===================
http://assiste.free.fr/p/internet_attaquants/hotfix_virus.php
Ces outils légers peuvent être copiés sur une disquette.

Recommandations
 
~Jean-Marc~ [MVP] replied to nico33 on 1 Jun 2004
Salutations *nico33* !
Tu as un problème avec le ver "SASSER" :
http://msmvps.com/docxp/posts/5753.aspx

Solution :
1) Active le pare-feu de XP
2) Passe un coup de Stinger : http://vil.nai.com/vil/stinger/
3) Mets toi à jour sur www.windowsupdate.com
 

Archived message: =?iso-8859-1?Q?d=E9connexions_intempestives?= (Microsoft Win XP)
 
Note: To make this discussion more readable on the page the original messages have been edited to remove most of the references and quoting.