Lsass.exe Trojan.RAT
Résolu/Fermé
Raphaël
-
9 janv. 2014 à 11:14
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 10 janv. 2014 à 16:34
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 10 janv. 2014 à 16:34
9 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 668
Modifié par Malekal_morte- le 9/01/2014 à 11:16
Modifié par Malekal_morte- le 9/01/2014 à 11:16
Salut,
Tu les as téléchargé où ces mises à jour ?
On te les a proposé en surfant ?
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Tu les as téléchargé où ces mises à jour ?
On te les a proposé en surfant ?
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Salut,
Non c'est le adobe update manager qui me les a proposé.
Après c'est peut être une coïncidence.
Non c'est le adobe update manager qui me les a proposé.
Après c'est peut être une coïncidence.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 668
9 janv. 2014 à 12:02
9 janv. 2014 à 12:02
Pour voir :
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Bonjour,
Merci encore pour les explications.
Voici le lien vers :
- Le fichier OLT : http://pjjoint.malekal.com/files.php?id=20140110_k7c11r8q10p11
- Le fichier extra: http://pjjoint.malekal.com/files.php?id=20140110_q10e8b8w10f13
merci d'avance,
Raphaël
Merci encore pour les explications.
Voici le lien vers :
- Le fichier OLT : http://pjjoint.malekal.com/files.php?id=20140110_k7c11r8q10p11
- Le fichier extra: http://pjjoint.malekal.com/files.php?id=20140110_q10e8b8w10f13
merci d'avance,
Raphaël
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 668
Modifié par Malekal_morte- le 10/01/2014 à 10:42
Modifié par Malekal_morte- le 10/01/2014 à 10:42
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
O4 - HKU\S-1-5-21-2372137908-2119173526-3735584433-1000..\Run: [Windows_Update] C:\Users\RAPHAEL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lsass.exe ()
O4 - Startup: C:\Users\RAPHAEL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lsass.exe ()
[2014/01/08 21:12:29 | 000,000,000 | RHSD | C] -- C:\Users\RAPHAEL\cvzua
[2014/01/08 10:24:05 | 000,000,000 | ---D | C] -- C:\Users\RAPHAEL\AppData\Roaming\dclogs
[2014/01/09 09:00:40 | 000,000,782 | -HS- | M] () -- C:\Users\RAPHAEL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\start.lnk
[2014/01/08 21:22:00 | 001,306,594 | ---- | C] () -- C:\Users\RAPHAEL\AppData\Roaming\Ralso.exe
[2014/01/08 21:12:28 | 001,010,815 | ---- | C] () -- C:\Users\RAPHAEL\AppData\Roaming\Nypo.exe
:Commands
[reboot]
* poste le rapport ici
~~~
Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com
Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
O4 - HKU\S-1-5-21-2372137908-2119173526-3735584433-1000..\Run: [Windows_Update] C:\Users\RAPHAEL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lsass.exe ()
O4 - Startup: C:\Users\RAPHAEL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lsass.exe ()
[2014/01/08 21:12:29 | 000,000,000 | RHSD | C] -- C:\Users\RAPHAEL\cvzua
[2014/01/08 10:24:05 | 000,000,000 | ---D | C] -- C:\Users\RAPHAEL\AppData\Roaming\dclogs
[2014/01/09 09:00:40 | 000,000,782 | -HS- | M] () -- C:\Users\RAPHAEL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\start.lnk
[2014/01/08 21:22:00 | 001,306,594 | ---- | C] () -- C:\Users\RAPHAEL\AppData\Roaming\Ralso.exe
[2014/01/08 21:12:28 | 001,010,815 | ---- | C] () -- C:\Users\RAPHAEL\AppData\Roaming\Nypo.exe
:Commands
[reboot]
* poste le rapport ici
~~~
Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com
Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 668
10 janv. 2014 à 10:43
10 janv. 2014 à 10:43
Pas bon, t'as pas mis :OTL au début
recommence.
recommence.
Désolé mais comment on met OLT au début.
je l'avais refermé et relancé en mode administrateur.
faut il faire autre chose
je l'avais refermé et relancé en mode administrateur.
faut il faire autre chose
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 668
10 janv. 2014 à 10:55
10 janv. 2014 à 10:55
Tu fais comme c'est écrit et quand tu copies/colles tu prends bien à partir de :OTL
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 668
10 janv. 2014 à 11:09
10 janv. 2014 à 11:09
refais un scan OTL comme là : https://forums.commentcamarche.net/forum/affich-29466863-lsass-exe-trojan-rat#3
et donne le rapport via pjjoint.
et donne le rapport via pjjoint.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 668
10 janv. 2014 à 16:34
10 janv. 2014 à 16:34
Ca me semble bon.
Tu as été infecté par un Rat (Remote Administration Tools).
=> http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/
Ces malwares vont essentiellement par des cracks sur des forums ou des messages postés vers des forums qui conduisent à des hébergeurs de fichiers (Meg*upload, MultiUpload etc).
Vous cliquez, téléchargez et executer.
Ces malwares permettent le contrôle de l'ordinateur à distance, récupérer des mots de passe etc.
Donc là faut que tu changes tes mots de passe Facebook, mail (hotmail, Gmail etc), ils ont été volés par ce Rat.
Faire attention à ce que vous téléchargez - change tous tes mots de passe
~~
Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.
Tu as été infecté par un Rat (Remote Administration Tools).
=> http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/
Ces malwares vont essentiellement par des cracks sur des forums ou des messages postés vers des forums qui conduisent à des hébergeurs de fichiers (Meg*upload, MultiUpload etc).
Vous cliquez, téléchargez et executer.
Ces malwares permettent le contrôle de l'ordinateur à distance, récupérer des mots de passe etc.
Donc là faut que tu changes tes mots de passe Facebook, mail (hotmail, Gmail etc), ils ont été volés par ce Rat.
Faire attention à ce que vous téléchargez - change tous tes mots de passe
~~
Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.