Sujet Précédent Sujet Suivant

Sonar/heuristic.142

Résolu/Fermé
T3m Messages postés 6 Date d'inscription vendredi 12 février 2016 Statut Membre Dernière intervention 15 février 2016 - 12 févr. 2016 à 17:42
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 6 avril 2016 à 08:20
Bonjour les experts,


Norton me trouve au boot un fichier hidedrope.exe. Un Trojan ?
Il apparait à chaque démarrage de l'ordi, je n'arrive pas à m'en débarrasser malgré des scans multiples de malwarebytes / roguekiller / adwcleaner.

Norton Power eraser le trouve au boot mais ne réussit pas à l'enlever.
je note qu'une sorte de programme se met en route au démarrage, sorte de fenetre qui s'ouvre et se referme immédiatement, et cela coupe mes accents circonflexes dès que cela se lance, plus possible d'en faire sur les lettres I et E...

Je suis sur windows 10.
Help please ;)

Résultat de norton ;
Nom de la menace : SONAR.Heuristic.142
Chemin d’accès complet : Non disponible

____________________________



Actions de fichier

Fichier: c:\users\public\ hidedrop.exe Menace supprimée
Fichier: c:\users\aude\appdata\roaming\ yxcwyyfbnhdtecbcyvfxnh Menace supprimée
____________________________

Actions de registre

Modification du registre: HKEY_USERS\S-1-5-21-713729226-2430769821-404048489-1001\SOFTWARE\Safer Networking Limited\Localization->C:\Users\Public\, Ruche de registre : 64 bits Réparé
____________________________

Actions de paramètres système

Evénement : démarrage de processus (Effectué par c:\users\public\hidedrop.exe, PID:6728) Aucune action effectuée
(Effectué par c:\users\public\hidedrop.exe, PID:6728) Aucune action effectuée
Evénement : création de fichier de PE: c:\users\aude\appdata\roaming\ fbqjybbuhwxaogzgzd.exe (Effectué par c:\users\public\hidedrop.exe, PID:6728) Aucune action effectuée
Evénement : démarrage de processus: c:\Users\Aude\AppData\Roaming\ fbqjybbuhwxaogzgzd1.exe, PID:3524 (Effectué par c:\users\public\hidedrop.exe, PID:6728) Aucune action effectuée
Evénement : démarrage de processus (Effectué par c:\users\public\hidedrop.exe, PID:4676) Aucune action effectuée
(Effectué par c:\users\public\hidedrop.exe, PID:4676) Aucune action effectuée
Evénement : création de fichier de PE: c:\users\aude\appdata\roaming\ fbqjybbuhwxaogzgzd.exe (Effectué par c:\users\public\hidedrop.exe, PID:4676) Aucune action effectuée
Evénement : démarrage de processus: c:\users\public\ hidedrop.exe, PID:4676 (Effectué par c:\users\public\hidedrop.exe, PID:4676) Aucune action effectuée
Evénement : démarrage de processus (Effectué par c:\users\public\hidedrop.exe, PID:5360) Aucune action effectuée
(Effectué par c:\users\public\hidedrop.exe, PID:5360) Aucune action effectuée
Evénement : création de fichier de PE: c:\users\aude\appdata\roaming\ fbqjybbuhwxaogzgzd.exe (Effectué par c:\users\public\hidedrop.exe, PID:5360) Aucune action effectuée
Evénement : démarrage de processus: c:\Users\Aude\AppData\Roaming\ fbqjybbuhwxaogzgzd1.exe, PID:6044 (Effectué par c:\users\public\hidedrop.exe, PID:5360) Aucune action effectuée
Evénement : démarrage de processus: c:\users\public\ hidedrop.exe, PID:5360 (Effectué par c:\users\public\hidedrop.exe, PID:5360) Aucune action effectuée
Evénement : démarrage de processus (Effectué par c:\users\public\hidedrop.exe, PID:6924) Aucune action effectuée
(Effectué par c:\users\public\hidedrop.exe, PID:6924) Aucune action effectuée
Evénement : création de fichier de PE: c:\users\aude\appdata\roaming\ fbqjybbuhwxaogzgzd.exe (Effectué par c:\users\public\hidedrop.exe, PID:6924) Aucune action effectuée
Evénement : démarrage de processus: c:\users\public\ hidedrop.exe, PID:6924 (Effectué par c:\users\public\hidedrop.exe, PID:6924) Aucune action effectuée
____________________________

Actions suspectes

(Effectué par c:\users\public\hidedrop.exe, PID:6728) Aucune action effectuée
(Effectué par c:\users\public\hidedrop.exe, PID:5360) Aucune action effectuée
____________________________

7 réponses

Réponse 1 / 7
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
12 févr. 2016 à 17:48
Salut,

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

0
Réponse 2 / 7
T3m Messages postés 6 Date d'inscription vendredi 12 février 2016 Statut Membre Dernière intervention 15 février 2016
12 févr. 2016 à 19:52
Bonsoir Malekal_morte, merci beaucoup pour la réponse.

Alors, concernant les 3 rapports ;

Addition https://pjjoint.malekal.com/files.php?id=20160212_f9d9y7z5v12

shortcut https://pjjoint.malekal.com/files.php?id=20160212_r6n15b5x10d6

FRST https://pjjoint.malekal.com/files.php?id=FRST_20160212_o12d15r9g6e9
0
Réponse 3 / 7
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
12 févr. 2016 à 22:45
Deux antivirus et Spybot...

AV: Norton Security avec Backup (Enabled - Up to date) {53C7D717-52E2-B95E-FA61-6F32ECC805DB}
AV: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AV: avast! Antivirus (Disabled - Up to date) {17AD7D40-BA12-9C46-7131-94903A54AD8B}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: Spybot - Search and Destroy (Enabled - Up to date) {9BC38DF1-3CCA-732D-A930-C1CA5F20A4B

Je te conseille de désinstaller Spybot, pas super efficace, selon moi. ( Adwares : Antispyware comment ne pas désinfecter son Windows )



~~


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 


CloseProcesses:
 HKU\S-1-5-21-713729226-2430769821-404048489-1001\...\RunOnce: [Microsoft Corporation fbQJYbBUHWXaOGZGZd] => C:\Users\Aude\AppData\Roaming\fbQJYbBUHWXaOGZGZd.exe C:\Users\Aude\AppData\Roaming\IQXXgbHVHSQIORgGPaP.au3 
  Startup: C:\Users\Aude\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Chrome2.bat [2016-01-10] ()  
Startup: C:\Users\Aude\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta [2016-02-08] () 
 Startup: C:\Users\Aude\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug2.bat [2016-01-10] ()  
  2016-02-10 17:24 - 2016-02-12 17:50 - 00000000 ____D C:\Users\Aude\AppData\Roaming\AE034D1F-1277-41CB-91EC-4C741D2CB840 
 2016-02-10 17:24 - 2016-02-10 17:24 - 00937776 ___SH (AutoIt Team) C:\Users\Aude\AppData\Roaming\fbQJYbBUHWXaOGZGZd1.exe 
 2016-02-10 07:03 - 2016-02-10 07:03 - 00133136 ___SH C:\Users\Aude\AppData\Roaming\eJLPgUPSSXbdcISPN 
 2016-02-10 07:03 - 2016-02-10 07:03 - 00061322 ___SH C:\Users\Aude\AppData\Roaming\IQXXgbHVHSQIORgGPaP.au3 
Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.

et enfin :

Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
0
Mele
5 avril 2016 à 22:06
Bonjour, pourrais-tu faire de même pour moi ? le script fourni plus haut ne fonctionne pas pour mon cas.

FRST : http://pjjoint.malekal.com/files.php?id=FRST_20160405_e12f14q12u11q12
Addition : http://pjjoint.malekal.com/files.php?id=20160405_k8z12f13f9w10
Shortcut : http://pjjoint.malekal.com/files.php?id=20160405_b7e8w8x13q7

Merci !
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627 > Mele
5 avril 2016 à 23:08
Salut Mele-,

Comme dit plus bas, c'est cette campagne : https://www.malekal.com/nanocore-backdoor-noancooe-campagne/

Désinstalle DriversCloud.com
sert à rien.

1/
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 


CreateRestorePoint:
CloseProcesses:
 Startup: C:\Users\alex\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Chrome2.bat [2015-12-15] ()  
Startup: C:\Users\alex\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta [2016-02-02] () 
 Startup: C:\Users\alex\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug.bat [2016-02-02] ()  
 Startup: C:\Users\alex\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug2.bat [2015-12-15] ()  
 2016-04-05 20:52 - 2016-04-05 20:52 - 00001245 _____ C:\Users\Public\HideDrop.exe  
 2016-04-05 20:51 - 2016-04-05 20:51 - 00430487 _____ C:\Users\Public\test.vbs  
 2016-04-05 20:51 - 2016-04-05 20:51 - 00000361 _____ C:\Users\Public\kill.vbs  
EmptyTemp:
Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.

2/
Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
0
Mele
Modifié par Mele le 5/04/2016 à 23:14
Désolé j'ai fait des modifs, j'ai plus qu'un problème que je ne règle pas : test.vbs

De nouveau les fichiers après que j'ai écrit moi-même un fixlist.txt et corrigé quelques uns des pb.

FRST : http://pjjoint.malekal.com/files.php?id=FRST_20160405_u12k15g5r15l8
Addition : http://pjjoint.malekal.com/files.php?id=20160405_b7u11r8p6d5
Shortcut : http://pjjoint.malekal.com/files.php?id=20160405_h10l1115e8n12

De plus, j'ai remarqué que les fichiers dans "quarantine" sont bloqués et non supprimés, et que si l'on supprime le contenu de quarantine, on débloque de nouveau les fichiers., N'y a t'il pas moyen de trouver l'exécutable qui recrée les scripts/exe lors du démarrage, et ainsi supprimer le pb à la source?

Si jamais il n'y a pas moyen de facilement se débarrasser définitivement du pb, je formaterai mon ordi ça ira plus vite.

Merci !
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627 > Mele
5 avril 2016 à 23:16
faire la correction donnée dans mon message précédent.
0
mele
6 avril 2016 à 00:48
Niquel merci !
Je n'avais pas coupé les processus chrome2.bat et thug2.bat dans le fixlist que j'avais fait. Une fois ajoutés ça fonctionne.

Merci encore !
0
Réponse 4 / 7
T3m Messages postés 6 Date d'inscription vendredi 12 février 2016 Statut Membre Dernière intervention 15 février 2016
12 févr. 2016 à 23:17
Merci pour le conseil Malekal_morte, je vais de suite désinstaller spybot.
Pour le fichier texte, voici son contenu :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version:07-02-2016
Exécuté par Aude (2016-02-12 23:11:17) Run:1
Exécuté depuis C:\Users\Aude\Desktop
Profils chargés: Aude (Profils disponibles: Aude)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CloseProcesses:
HKU\S-1-5-21-713729226-2430769821-404048489-1001\...\RunOnce: [Microsoft Corporation fbQJYbBUHWXaOGZGZd] => C:\Users\Aude\AppData\Roaming\fbQJYbBUHWXaOGZGZd.exe C:\Users\Aude\AppData\Roaming\IQXXgbHVHSQIORgGPaP.au3
Startup: C:\Users\Aude\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Chrome2.bat [2016-01-10] ()
Startup: C:\Users\Aude\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta [2016-02-08] ()
Startup: C:\Users\Aude\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug2.bat [2016-01-10] ()
2016-02-10 17:24 - 2016-02-12 17:50 - 00000000 ____D C:\Users\Aude\AppData\Roaming\AE034D1F-1277-41CB-91EC-4C741D2CB840
2016-02-10 17:24 - 2016-02-10 17:24 - 00937776 ___SH (AutoIt Team) C:\Users\Aude\AppData\Roaming\fbQJYbBUHWXaOGZGZd1.exe
2016-02-10 07:03 - 2016-02-10 07:03 - 00133136 ___SH C:\Users\Aude\AppData\Roaming\eJLPgUPSSXbdcISPN
2016-02-10 07:03 - 2016-02-10 07:03 - 00061322 ___SH C:\Users\Aude\AppData\Roaming\IQXXgbHVHSQIORgGPaP.au3
Reboot:


Processus fermé avec succès.
HKU\S-1-5-21-713729226-2430769821-404048489-1001\Software\Microsoft\Windows\CurrentVersion\RunOnce\\Microsoft Corporation fbQJYbBUHWXaOGZGZd => valeur supprimé(es) avec succès
C:\Users\Aude\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Chrome2.bat => déplacé(es) avec succès
C:\Users\Aude\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta => déplacé(es) avec succès
C:\Users\Aude\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug2.bat => déplacé(es) avec succès
C:\Users\Aude\AppData\Roaming\AE034D1F-1277-41CB-91EC-4C741D2CB840 => déplacé(es) avec succès
C:\Users\Aude\AppData\Roaming\fbQJYbBUHWXaOGZGZd1.exe => déplacé(es) avec succès
C:\Users\Aude\AppData\Roaming\eJLPgUPSSXbdcISPN => déplacé(es) avec succès
C:\Users\Aude\AppData\Roaming\IQXXgbHVHSQIORgGPaP.au3 => déplacé(es) avec succès


Le système a dû redémarrer.

Fin de Fixlog 23:11:17

0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
12 févr. 2016 à 23:21
ok fais l'upload aussi dernière étape =)
0
T3m Messages postés 6 Date d'inscription vendredi 12 février 2016 Statut Membre Dernière intervention 15 février 2016 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
12 févr. 2016 à 23:26
C'est fait également ! C'était quoi au final ce truc, un malware ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627 > T3m Messages postés 6 Date d'inscription vendredi 12 février 2016 Statut Membre Dernière intervention 15 février 2016
13 févr. 2016 à 11:30
Un RAT (Remote Access Tool) en Autoit.
Il te faut changer tes mots de passe.
0
T3m Messages postés 6 Date d'inscription vendredi 12 février 2016 Statut Membre Dernière intervention 15 février 2016 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
14 févr. 2016 à 11:12
Ok merci pour l'info sur les mots de passe, et merci beaucoup pour le coup de main en tout cas !
Plus d'Hidedrop.exe et mes accents circonflexes fonctionnent de nouveau ( ê / î ), ça a l'air de rien mais c'est utile :)
Aucune autre manip à faire ? Dois-je / puis-je marquer le sujet comme résolu ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 7
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
14 févr. 2016 à 11:41
Faire attention à ce que tu télécharges =)


Renforce la sécurité de ton Windows : Comment sécuriser mon Windows

0
Réponse 6 / 7
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
15 févr. 2016 à 12:50
Un second sujet avec ce trojan Nanobot / NanCore.

Si tu as une idée comment tu l'as choppé, ça m'interresse.
0
T3m Messages postés 6 Date d'inscription vendredi 12 février 2016 Statut Membre Dernière intervention 15 février 2016
15 févr. 2016 à 17:18
Très franchement, Malekal_morte, aucune idée.
Un matin sur mon pc j'avais une alerte avast. Je n'ai pas souvenir d'avoir installé ou téléchargé quelque chose la veille... ni branché de clef usb.
De même, que des sites web classiques consultés ( presse ).
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627 > T3m Messages postés 6 Date d'inscription vendredi 12 février 2016 Statut Membre Dernière intervention 15 février 2016
15 févr. 2016 à 18:32
ok pas grave, merci !
0
Réponse 7 / 7
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
16 févr. 2016 à 08:33
Encore d'autres cas, j'ai publié cette actualité : Trojan NanoCore / Backdoor:MSIL/Noancooe : Exemple d’une Campagne.
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Comment savoir si j'ai attrapé un virus sur mon téléphone ?
Infolock -
bell -

66 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
Virus Altruistic
Mael03250 -
MisteryBean -

11 réponses
Supprimer notifications myavids.com sous Android.
Guy72 -
Liline -

7 réponses