Cheval de Troie Coriace lsass.exe , trdh.exe
Tonio
-
anthony5151 Messages postés 10927 Statut Contributeur sécurité -
anthony5151 Messages postés 10927 Statut Contributeur sécurité -
Bonjour, je suis sous Windows 7 64 Bits.
J'ai du télécharger un fichier pas frais. Malware Bytes détecte le cheval de troie / virus. Il s'appelle lsass.exe (pas sur si c'est un L minuscule ou un i majuscule)
MBAM détecte le fichier et le supprime, mais il réapparait au démarrage.
Dans les process il y a aussi un trdh.exe , je l'ai localisé dans un dossier caché.
Je n'arrive pas à supprimer ces fichiers manuellement.
Pour l'instant l'ordinateur est juste "ralenti". Mais j'ai peur que l'infection se propage. Que faire?
J'ai essayé de redémarrer en mode sans échec pour lancer MBAM, sans succès. J'ai essayé aussi Trojan Remover en vain. Combo-fix ne marche pas sous 64 bits.
Dans msconfig je vois bien le programme de démarrage "9153" (le numéro change à chaque fois) qui correspond au virus, d'ailleurs quand je le décoche pour qu'il ne se relance pas, il se recoche tout seul au moment où je clique sur Appliquer.
A voir également:
- Cheval de Troie Coriace lsass.exe , trdh.exe
- Antivirus cheval de troie gratuit - Télécharger - Antivirus & Antimalwares
- Ordinateur bloqué cheval de troie - Accueil - Arnaque
- Cheval au poker - Forum Virus
- Comment se débarrasser d'un cheval de troie ✓ - Forum Virus
- Retrouver son cheval skyrim - Forum Jeux PC
3 réponses
Bonjour,
Bienvenue sur CCM !
Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :
- N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
- N'hésite pas à poser des questions en cas de besoin ;)
- Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne ;)
- La désinfection va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.
Commence par utiliser ce logiciel de diagnostic stp, ça me permettra de t'aider :
* Télécharge ZHPDiag (de Nicolas Coolman)
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
Bienvenue sur CCM !
Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :
- N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
- N'hésite pas à poser des questions en cas de besoin ;)
- Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne ;)
- La désinfection va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.
Commence par utiliser ce logiciel de diagnostic stp, ça me permettra de t'aider :
* Télécharge ZHPDiag (de Nicolas Coolman)
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
On va faire un script pour supprimer certains éléments néfastes :
* Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Copie/colle les lignes suivantes et place les dans ZHPFix :
[MD5.1481F2DB31FDED5E5913B62D1FA5AED8] - (.Pas de propriétaire - Pas de description.) -- C:\Users\Antoine\AppData\Local\Temp\trdh.exe [25600]
O4 - HKLM\..\Run: [22062] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Antoine\AppData\Local\Temp\trdh.exe
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse
Ensuite mets à jour MalwareBytes, lance un nouveau scan et poste le rapport stp
L'habit ne fait pas le moine.
Le savoir n'est utile que s'il est transmis
* Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Copie/colle les lignes suivantes et place les dans ZHPFix :
[MD5.1481F2DB31FDED5E5913B62D1FA5AED8] - (.Pas de propriétaire - Pas de description.) -- C:\Users\Antoine\AppData\Local\Temp\trdh.exe [25600]
O4 - HKLM\..\Run: [22062] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Antoine\AppData\Local\Temp\trdh.exe
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse
Ensuite mets à jour MalwareBytes, lance un nouveau scan et poste le rapport stp
L'habit ne fait pas le moine.
Le savoir n'est utile que s'il est transmis
Bonjour Anthony,
Merci pour ton aide.
Rassure moi tu habites en Asie ou aux Etats Unis? J'espère que vous dormez de temps en temps!!
Hier avant de me coucher, j'ai redémarré l'ordinateur en mode sans échec. Du coup le process trdh n'était pas exécuté. Je suis allé le chercher dans Appdata/ Temp, je l'ai sélectionné et j'ai fait Shift + Suppr et il a disparu! Je suis allé dans msconfig et j'ai pu le décocher pour qu'il ne s'exécute pas au démarrage.
J'ai aussi supprimé un fichier stpd.sys.vir dans System 32/ Drivers. .vir c'est forcément un virus...
Avant le PC était ralenti, et le curseur affichait comme si l'ordinateur réfléchit alors que je ne lui avais rien dit de faire. J'ai redémarré en mode normal et ces symptomes ont disparu, ça marche bien. J'ai fait un scan rapide avec MBAM et il n'a rien trouvé de suspect. Dans le gestionnaire de tâches, trdh.exe a disparu.
donc a priori tout va bien, je vais quand même poster le rapport MBAM et ZHPDiag ce soir (je suis au bureau là).
Merci pour ton aide.
Rassure moi tu habites en Asie ou aux Etats Unis? J'espère que vous dormez de temps en temps!!
Hier avant de me coucher, j'ai redémarré l'ordinateur en mode sans échec. Du coup le process trdh n'était pas exécuté. Je suis allé le chercher dans Appdata/ Temp, je l'ai sélectionné et j'ai fait Shift + Suppr et il a disparu! Je suis allé dans msconfig et j'ai pu le décocher pour qu'il ne s'exécute pas au démarrage.
J'ai aussi supprimé un fichier stpd.sys.vir dans System 32/ Drivers. .vir c'est forcément un virus...
Avant le PC était ralenti, et le curseur affichait comme si l'ordinateur réfléchit alors que je ne lui avais rien dit de faire. J'ai redémarré en mode normal et ces symptomes ont disparu, ça marche bien. J'ai fait un scan rapide avec MBAM et il n'a rien trouvé de suspect. Dans le gestionnaire de tâches, trdh.exe a disparu.
donc a priori tout va bien, je vais quand même poster le rapport MBAM et ZHPDiag ce soir (je suis au bureau là).
Voilà le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201005/cijeqQtn6W.txt