Lsass.exe Trojan.RAT [Résolu/Fermé]
Signaler
Raphaël
-
Malekal_morte-
Malekal_morte-
- Messages postés
- 180267
- Date d'inscription
- mercredi 17 mai 2006
- Statut
- Modérateur, Contributeur sécurité
- Dernière intervention
- 15 décembre 2020
Bonjour,
Bonjour,
Depuis que j'ai téléchargé des mises à jour Adobe, j'ai en permanance 4 fenêtres qui s'ouvrent (les mêmes):
Lsass.exe a cessée de fonctionner.
Un problème est à l'origine du dysfonctionnement du programme. Fermez le programme.
Si je clique sur fermez le programme, une autre fenêtre toujours la même se raffiche pour en garder toujotrs 4.
Est ce quelqu'un aurait une solution.
Bonjour,
Depuis que j'ai téléchargé des mises à jour Adobe, j'ai en permanance 4 fenêtres qui s'ouvrent (les mêmes):
Lsass.exe a cessée de fonctionner.
Un problème est à l'origine du dysfonctionnement du programme. Fermez le programme.
Si je clique sur fermez le programme, une autre fenêtre toujours la même se raffiche pour en garder toujotrs 4.
Est ce quelqu'un aurait une solution.
A voir également:
- Lsass.exe Trojan.RAT
- Lsass.exe Trojan.RAT ✓ - Forum - Virus / Sécurité
- Antivir detecte Lsass.exe comme trojan ✓ - Forum - Virus / Sécurité
- Lsass.exe detecté comme un trojan!!!! ✓ - Forum - Virus / Sécurité
- Csrss.exe trojan - Conseils pratiques - Processus
- Comment supprimer csrss.exe? ✓ - Forum - Virus / Sécurité
9 réponses
Malekal_morte-
- Messages postés
- 180267
- Date d'inscription
- mercredi 17 mai 2006
- Statut
- Modérateur, Contributeur sécurité
- Dernière intervention
- 15 décembre 2020
Salut,
Tu les as téléchargé où ces mises à jour ?
On te les a proposé en surfant ?
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Tu les as téléchargé où ces mises à jour ?
On te les a proposé en surfant ?
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Raphaël
Salut,
Non c'est le adobe update manager qui me les a proposé.
Après c'est peut être une coïncidence.
Non c'est le adobe update manager qui me les a proposé.
Après c'est peut être une coïncidence.
Malekal_morte-
- Messages postés
- 180267
- Date d'inscription
- mercredi 17 mai 2006
- Statut
- Modérateur, Contributeur sécurité
- Dernière intervention
- 15 décembre 2020
Pour voir :
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Raphaël
Bonjour,
Merci encore pour les explications.
Voici le lien vers :
- Le fichier OLT : http://pjjoint.malekal.com/files.php?id=20140110_k7c11r8q10p11
- Le fichier extra: http://pjjoint.malekal.com/files.php?id=20140110_q10e8b8w10f13
merci d'avance,
Raphaël
Merci encore pour les explications.
Voici le lien vers :
- Le fichier OLT : http://pjjoint.malekal.com/files.php?id=20140110_k7c11r8q10p11
- Le fichier extra: http://pjjoint.malekal.com/files.php?id=20140110_q10e8b8w10f13
merci d'avance,
Raphaël
Malekal_morte-
- Messages postés
- 180267
- Date d'inscription
- mercredi 17 mai 2006
- Statut
- Modérateur, Contributeur sécurité
- Dernière intervention
- 15 décembre 2020
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
O4 - HKU\S-1-5-21-2372137908-2119173526-3735584433-1000..\Run: [Windows_Update] C:\Users\RAPHAEL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lsass.exe ()
O4 - Startup: C:\Users\RAPHAEL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lsass.exe ()
[2014/01/08 21:12:29 | 000,000,000 | RHSD | C] -- C:\Users\RAPHAEL\cvzua
[2014/01/08 10:24:05 | 000,000,000 | ---D | C] -- C:\Users\RAPHAEL\AppData\Roaming\dclogs
[2014/01/09 09:00:40 | 000,000,782 | -HS- | M] () -- C:\Users\RAPHAEL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\start.lnk
[2014/01/08 21:22:00 | 001,306,594 | ---- | C] () -- C:\Users\RAPHAEL\AppData\Roaming\Ralso.exe
[2014/01/08 21:12:28 | 001,010,815 | ---- | C] () -- C:\Users\RAPHAEL\AppData\Roaming\Nypo.exe
:Commands
[reboot]
* poste le rapport ici
~~~
Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com
Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
O4 - HKU\S-1-5-21-2372137908-2119173526-3735584433-1000..\Run: [Windows_Update] C:\Users\RAPHAEL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lsass.exe ()
O4 - Startup: C:\Users\RAPHAEL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lsass.exe ()
[2014/01/08 21:12:29 | 000,000,000 | RHSD | C] -- C:\Users\RAPHAEL\cvzua
[2014/01/08 10:24:05 | 000,000,000 | ---D | C] -- C:\Users\RAPHAEL\AppData\Roaming\dclogs
[2014/01/09 09:00:40 | 000,000,782 | -HS- | M] () -- C:\Users\RAPHAEL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\start.lnk
[2014/01/08 21:22:00 | 001,306,594 | ---- | C] () -- C:\Users\RAPHAEL\AppData\Roaming\Ralso.exe
[2014/01/08 21:12:28 | 001,010,815 | ---- | C] () -- C:\Users\RAPHAEL\AppData\Roaming\Nypo.exe
:Commands
[reboot]
* poste le rapport ici
~~~
Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com
Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Malekal_morte-
- Messages postés
- 180267
- Date d'inscription
- mercredi 17 mai 2006
- Statut
- Modérateur, Contributeur sécurité
- Dernière intervention
- 15 décembre 2020
Pas bon, t'as pas mis :OTL au début
recommence.
recommence.
Raphaël
Désolé mais comment on met OLT au début.
je l'avais refermé et relancé en mode administrateur.
faut il faire autre chose
je l'avais refermé et relancé en mode administrateur.
faut il faire autre chose
Malekal_morte-
- Messages postés
- 180267
- Date d'inscription
- mercredi 17 mai 2006
- Statut
- Modérateur, Contributeur sécurité
- Dernière intervention
- 15 décembre 2020
refais un scan OTL comme là : https://forums.commentcamarche.net/forum/affich-29466863-lsass-exe-trojan-rat#3
et donne le rapport via pjjoint.
et donne le rapport via pjjoint.
Malekal_morte-
- Messages postés
- 180267
- Date d'inscription
- mercredi 17 mai 2006
- Statut
- Modérateur, Contributeur sécurité
- Dernière intervention
- 15 décembre 2020
Ca me semble bon.
Tu as été infecté par un Rat (Remote Administration Tools).
=> http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/
Ces malwares vont essentiellement par des cracks sur des forums ou des messages postés vers des forums qui conduisent à des hébergeurs de fichiers (Meg*upload, MultiUpload etc).
Vous cliquez, téléchargez et executer.
Ces malwares permettent le contrôle de l'ordinateur à distance, récupérer des mots de passe etc.
Donc là faut que tu changes tes mots de passe Facebook, mail (hotmail, Gmail etc), ils ont été volés par ce Rat.
Faire attention à ce que vous téléchargez - change tous tes mots de passe
~~
Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.
Tu as été infecté par un Rat (Remote Administration Tools).
=> http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/
Ces malwares vont essentiellement par des cracks sur des forums ou des messages postés vers des forums qui conduisent à des hébergeurs de fichiers (Meg*upload, MultiUpload etc).
Vous cliquez, téléchargez et executer.
Ces malwares permettent le contrôle de l'ordinateur à distance, récupérer des mots de passe etc.
Donc là faut que tu changes tes mots de passe Facebook, mail (hotmail, Gmail etc), ils ont été volés par ce Rat.
Faire attention à ce que vous téléchargez - change tous tes mots de passe
~~
Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.