LSASS consomme énormément de bande passante.

[cedrick]

Bonjour à tous
Je suis nouveau sur ce forum qui m'a grandement aidé à plusieurs reprises.
Veuillez m'excuser si je ne poste pas ce sujet au bon endroit.

Je vous explique mon problème:
J'ai actuellement un serveur Exchange qui a été bloqué par mon hébergeur car il générait trop de trafic.
Après différentes analyses, je m'aperçois que le fichier LSASS.exe consomme énormément de bande passante.
J'ai installé Malwarebytes Anti-Malware (MBAM) qui bloque plusieurs cheval de troie en protection en temps réel mais lorsque j'effectue une analyse, il me trouve rien :(
J'ai lancé une analyse adware qui me trouve sans cesse des trojans et autres dans le dossier Temp de Windows.
Pour continuer dans les analyses, j'ai installé MSE qui me trouve aussi des trojans sur ma partition où est stockée ma database.

Je ne sais plus où chercher, si une âme charitable pourrait me venir en aide, ça serait avec grand plaisir.

Merci à tous par avance.

[Malekal_morte]

Salut,

Il me semble que ce sont les symptômes d'un réseau infecté par un ver informatique.
Ce serveur est à jour pour les correctifs Windows ?

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Attendre la fin du scan, un message indique que l'analyse est terminée.
Télécharge et lance le scan FRST,

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut.
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).

[cedrick]

Bonjour

Merci de votre aide.
Voici les liens des 3 fichiers demandés:
https://pjjoint.malekal.com/files.php?i ... 10p12n14f8
https://pjjoint.malekal.com/files.php?i ... 5h5c8m5m10
https://pjjoint.malekal.com/files.php?i ... f11j7q14x8

Cordialement

[cedrick]

Bonjour

J'ai oublié de vous préciser que le serveur est à jour au niveau des MAJ Windows.
Merci pour le temps que vous m'accordez

[Malekal_morte]

Pas l'air infecté.
Du moins je ne vois pas de malware qui tourne.

Ca continue au niveau du trafic ?
Tu peux regarder les connexions établies soit avec Process Explorer, soit TCPViewer.

[Malekal_morte]

Bizarre toutes ces requêtes vers 103.96.3.149.
Tu dois pouvoir la bloquer sur le pare-feu de Windows.
Après comme je t'ai dit, je ne vois rien d'anormal.

Essaye un scan Kaspersky removal tool.

[cedrick]

Je viens de faire un scan Kaspersky, aucune menace trouvée.
J'ai bloquée l'IP sur le pare-feu Windows mais j'ai de nouveau plusieurs requêtes sur une autre IP.
Malwarebytes vient de bloquer une nouvelle fois un cheval de troie.
Au niveau débit, je suis toujours à 45Mbits/s en upload.

Merci de ton aide en tout cas car là je désespère...

[Malekal_morte]

Malwarebytes trouve quoi dans quoi ?
Tu dois pouvoir régler le pare-feu de Widnows pour n'autoriser LSASS qu'à envoyer des trames sur le réseau.
Faut autoriser que le bloc d'IP de ton LAN.
Ca évitera qu'il envoie des requêtes vers internet, normalement, ce n'est pas nécessaire.

[cedrick]

Salut Malekal
Merci de l'intérêt que tu portes à mon problème.
Malwarebytes bloque un cheval de troie qui essaie de passer par le port 389 par le fichier LSASS.exe.
D'après mes recherches, je subis une attaque CLDAP.

[Malekal_morte]

Mais ce port est accessible directement par internet ?

[cedrick]

Et oui malheureusement!!!
Je viens de le bloquer sur le Pare-Feu Windows.
Je verrais bien ce que ça va engendrer comme problème par la suite.
En tout cas pour le moment, mon upload est redescendu à 50Kbits/s
Merci de ton aide.