Menu

Lsass.exe Trojan.RAT [Résolu/Fermé]

- - Dernière réponse : Malekal_morte-
Messages postés
166531
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
23 mai 2019
- 10 janv. 2014 à 16:34
Bonjour,





Bonjour,

Depuis que j'ai téléchargé des mises à jour Adobe, j'ai en permanance 4 fenêtres qui s'ouvrent (les mêmes):

Lsass.exe a cessée de fonctionner.
Un problème est à l'origine du dysfonctionnement du programme. Fermez le programme.


Si je clique sur fermez le programme, une autre fenêtre toujours la même se raffiche pour en garder toujotrs 4.

Est ce quelqu'un aurait une solution.
Afficher la suite 

9 réponses

Messages postés
166531
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
23 mai 2019
15378
0
Merci
Salut,

Tu les as téléchargé où ces mises à jour ?
On te les a proposé en surfant ?

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
Merci
Salut,

Non c'est le adobe update manager qui me les a proposé.
Après c'est peut être une coïncidence.
Messages postés
166531
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
23 mai 2019
15378
0
Merci
Pour voir :

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : http://www.malekal.com/2010/11/12/tutorial-otl/

* Télécharge http://oldtimer.geekstogo.com/OTL.exe sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup http://www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE



0
Merci
Bonjour,

Merci encore pour les explications.

Voici le lien vers :

- Le fichier OLT : http://pjjoint.malekal.com/files.php?id=20140110_k7c11r8q10p11

- Le fichier extra: http://pjjoint.malekal.com/files.php?id=20140110_q10e8b8w10f13

merci d'avance,

Raphaël
Messages postés
166531
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
23 mai 2019
15378
0
Merci
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
O4 - HKU\S-1-5-21-2372137908-2119173526-3735584433-1000..\Run: [Windows_Update] C:\Users\RAPHAEL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lsass.exe ()
O4 - Startup: C:\Users\RAPHAEL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lsass.exe ()
[2014/01/08 21:12:29 | 000,000,000 | RHSD | C] -- C:\Users\RAPHAEL\cvzua
[2014/01/08 10:24:05 | 000,000,000 | ---D | C] -- C:\Users\RAPHAEL\AppData\Roaming\dclogs
[2014/01/09 09:00:40 | 000,000,782 | -HS- | M] () -- C:\Users\RAPHAEL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\start.lnk
[2014/01/08 21:22:00 | 001,306,594 | ---- | C] () -- C:\Users\RAPHAEL\AppData\Roaming\Ralso.exe
[2014/01/08 21:12:28 | 001,010,815 | ---- | C] () -- C:\Users\RAPHAEL\AppData\Roaming\Nypo.exe
:Commands
[reboot]

* poste le rapport ici


~~~

Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com

Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
Merci
Le voilà.

http://pjjoint.malekal.com/files.php?id=20140110_f14e12n7r12y10
Messages postés
166531
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
23 mai 2019
15378
0
Merci
Pas bon, t'as pas mis :OTL au début
recommence.
0
Merci
Désolé mais comment on met OLT au début.

je l'avais refermé et relancé en mode administrateur.

faut il faire autre chose
Malekal_morte-
Messages postés
166531
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
23 mai 2019
15378 -
Tu fais comme c'est écrit et quand tu copies/colles tu prends bien à partir de :OTL
Ok ca a l'air d'avoir marché. Mon PC a rebooté et plus de fenêtre qui apparaisse.

Par contre aucun rapport ne s'est ouvert.

Si tu sais ou est ce rapport je peux te le transmettre.
Malekal_morte-
Messages postés
166531
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
23 mai 2019
15378 -
refais un scan OTL comme là : http://www.commentcamarche.net/forum/affich-29466863-lsass-exe#3
et donne le rapport via pjjoint.
Voila le dernier : http://pjjoint.malekal.com/files.php?id=20140110_y9q12l13k10x14
Messages postés
166531
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
23 mai 2019
15378
0
Merci
Ca me semble bon.

Tu as été infecté par un Rat (Remote Administration Tools).
=> http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/

Ces malwares vont essentiellement par des cracks sur des forums ou des messages postés vers des forums qui conduisent à des hébergeurs de fichiers (Meg*upload, MultiUpload etc).
Vous cliquez, téléchargez et executer.
Ces malwares permettent le contrôle de l'ordinateur à distance, récupérer des mots de passe etc.

Donc là faut que tu changes tes mots de passe Facebook, mail (hotmail, Gmail etc), ils ont été volés par ce Rat.

Faire attention à ce que vous téléchargez - change tous tes mots de passe

~~

Installe Malwarebyte's Anti-Malware : http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php
Fais des scans réguliers avec, il est efficace.