Sujet Précédent Sujet Suivant

Trojan Nanocore / Noancooe : Erreur ouverture session

Résolu/Fermé
Eliandar01 Messages postés 4 Date d'inscription lundi 15 février 2016 Statut Membre Dernière intervention 17 février 2016 - 15 févr. 2016 à 22:52
Eliandar01 Messages postés 4 Date d'inscription lundi 15 février 2016 Statut Membre Dernière intervention 17 février 2016 - 17 févr. 2016 à 11:50
Bonjour,

Depuis quelques jours, j'ai une fenêtre qui s'ouvre au démarrage de ma session.

Voici une lien menant à une capture d'écran : http://www.hostingpics.net/viewer.php?id=533777anomalieouverturesession.jpg

J'ai effectué un scanne avec AdwCleanner, mais rien de concluant :

# AdwCleaner v5.033 - Rapport créé le 15/02/2016 à 22:49:04
# Mis à jour le 07/02/2016 par Xplode
# Base de données : 2016-02-15.1 [Serveur]
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (x64)
# Nom d'utilisateur : Papa - FAMILLE-PC
# Exécuté depuis : E:\Fichier installation\adwcleaner_5.033.exe
# Option : Scanner
# Support : https://toolslib.net/forum
          • [ Services ] *****
          • [ Dossiers ] *****
          • [ Fichiers ] *****
          • [ DLL ] *****
          • [ Raccourcis ] *****
          • [ Tâches planifiées ] *****
          • [ Registre ] *****
          • [ Navigateurs ] *****



########## EOF - C:\AdwCleaner\AdwCleaner[S4].txt - [640 octets] ##########

J'ai lancé FRST afin d'obtenir les rapport. Les voici :

https://pjjoint.malekal.com/files.php?id=FRST_20160215_c15w10u5b12v8
https://pjjoint.malekal.com/files.php?id=20160215_x13z5h8k9p12
https://pjjoint.malekal.com/files.php?id=20160215_f15t9r13s10v5

En espérant que quelqu'un puisse trouver une solution à mon problème.
Merci d'avance.

A voir également:

5 réponses

Réponse 1 / 5
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 629
Modifié par Malekal_morte- le 15/02/2016 à 23:02
Salut,

C'est un RAT (Remote Access Tools), je regarde les rapports.

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
Réponse 2 / 5
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 629
15 févr. 2016 à 23:03
Fais ces deux choses :

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 


Startup: C:\Users\Papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta [2016-02-13] () 
 Startup: C:\Users\Papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug.bat [2016-02-13] ()  
 2016-02-14 19:01 - 2016-02-15 22:27 - 00430527 _____ C:\Users\Public\test.vbs  
 2016-02-14 19:01 - 2016-02-15 22:27 - 00000361 _____ C:\Users\Public\kill.vbs  
 2016-02-14 19:01 - 2016-02-15 22:27 - 00000000 _____ C:\Users\Public\EasyComm.exe  
  2012-12-04 22:15 - 2015-03-09 07:52 - 0000340 _____ () C:\Users\Papa\AppData\Local\HackLogs.dat  
 2015-01-13 00:40 - 2015-01-13 00:40 - 0000001 _____ () C:\Users\Papa\AppData\Local\llftool.4.40.agreement 
 2012-12-04 22:14 - 2015-03-09 08:18 - 0000700 ___SH () C:\Users\Papa\AppData\Local\systemFL7.dat  
 2015-03-09 08:21 - 2015-03-09 08:22 - 0001906 ___SH () C:\Users\Papa\AppData\Local\win_fldb_sys.dat  
 2012-12-04 22:16 - 2015-03-09 07:55 - 0000000 ___SH () C:\Users\Papa\AppData\Local\win_lockerdb_sys.dat  
 2012-12-04 22:13 - 2015-03-09 08:23 - 0003465 ___SH () C:\Users\Papa\AppData\Local\win_stlthdb_sys.dat  
  2012-12-04 22:15 - 2012-12-04 22:15 - 0002568 ___SH () C:\ProgramData\win_mpwd_sys.dat  
C:\ProgramData\win_mpwd_sys.dat



Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.


Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
0
Réponse 3 / 5
Eliandar01 Messages postés 4 Date d'inscription lundi 15 février 2016 Statut Membre Dernière intervention 17 février 2016
Modifié par Eliandar01 le 16/02/2016 à 02:32
Voici le rapport après correction :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version:07-02-2016
Exécuté par Papa (2016-02-16 02:24:40) Run:1
Exécuté depuis C:\Users\Papa\Desktop
Profils chargés: Papa (Profils disponibles: Papa & UpdatusUser & Maman & Invité)
Mode d'amorçage: Normal
==============================================

fixlist contenu:


*

Startup: C:\Users\Papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta [2016-02-13] ()
Startup: C:\Users\Papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug.bat [2016-02-13] ()
2016-02-14 19:01 - 2016-02-15 22:27 - 00430527 _____ C:\Users\Public\test.vbs
2016-02-14 19:01 - 2016-02-15 22:27 - 00000361 _____ C:\Users\Public\kill.vbs
2016-02-14 19:01 - 2016-02-15 22:27 - 00000000 _____ C:\Users\Public\EasyComm.exe
2012-12-04 22:15 - 2015-03-09 07:52 - 0000340 _____ () C:\Users\Papa\AppData\Local\HackLogs.dat
2015-01-13 00:40 - 2015-01-13 00:40 - 0000001 _____ () C:\Users\Papa\AppData\Local\llftool.4.40.agreement
2012-12-04 22:14 - 2015-03-09 08:18 - 0000700 ___SH () C:\Users\Papa\AppData\Local\systemFL7.dat
2015-03-09 08:21 - 2015-03-09 08:22 - 0001906 ___SH () C:\Users\Papa\AppData\Local\win_fldb_sys.dat
2012-12-04 22:16 - 2015-03-09 07:55 - 0000000 ___SH () C:\Users\Papa\AppData\Local\win_lockerdb_sys.dat
2012-12-04 22:13 - 2015-03-09 08:23 - 0003465 ___SH () C:\Users\Papa\AppData\Local\win_stlthdb_sys.dat
2012-12-04 22:15 - 2012-12-04 22:15 - 0002568 ___SH () C:\ProgramData\win_mpwd_sys.dat
C:\ProgramData\win_mpwd_sys.dat


*


C:\Users\Papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta => déplacé(es) avec succès
C:\Users\Papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug.bat => déplacé(es) avec succès
C:\Users\Public\test.vbs => déplacé(es) avec succès
C:\Users\Public\kill.vbs => déplacé(es) avec succès
C:\Users\Public\EasyComm.exe => déplacé(es) avec succès
C:\Users\Papa\AppData\Local\HackLogs.dat => déplacé(es) avec succès
C:\Users\Papa\AppData\Local\llftool.4.40.agreement => déplacé(es) avec succès
C:\Users\Papa\AppData\Local\systemFL7.dat => déplacé(es) avec succès
C:\Users\Papa\AppData\Local\win_fldb_sys.dat => déplacé(es) avec succès
C:\Users\Papa\AppData\Local\win_lockerdb_sys.dat => déplacé(es) avec succès
C:\Users\Papa\AppData\Local\win_stlthdb_sys.dat => déplacé(es) avec succès
C:\ProgramData\win_mpwd_sys.dat => déplacé(es) avec succès
"C:\ProgramData\win_mpwd_sys.dat" => non trouvé(e).


Fichier "Quarantine.zip" uploadé avec succès.

Au redémarrage de la session, plus de fenêtre apparente, donc visiblement cela est un succès :) .
J'espère que le problème ne se renouvellera pas ( me semble pas avoir installer de logiciel bizarre ou avec accédé à des sites bizarres ).

En tout cas, merci de votre aide, qui plus est rapide :).
0
Réponse 4 / 5
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 629
16 févr. 2016 à 07:24
Fais un scan avec tes antivirus.
Change tous tes mots de passe.


Renforce la sécurité de ton Windows : Comment sécuriser mon Windows


0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 629
16 févr. 2016 à 08:33
Encore d'autres cas, j'ai publié cette actualité : Trojan NanoCore / Backdoor:MSIL/Noancooe : Exemple d’une Campagne.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 5
Eliandar01 Messages postés 4 Date d'inscription lundi 15 février 2016 Statut Membre Dernière intervention 17 février 2016
16 févr. 2016 à 23:09
Merci de vos précision.

J'ai lu votre article sur le phénomène, et je vous apporte quelques informations.
Ces derniers jours, j'ai utilisé à plusieurs reprise TeamSpeak 3 ( version antérieur à la 3.0.18.2 ), et steam ( jeu Dying Light en coop ).
J'ai depuis mis à jour TeamSpeak au cas où.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 629
17 févr. 2016 à 08:14
Sais-tu sur quel channel, tu es allé avec TeamSpeak ?
0
Eliandar01 Messages postés 4 Date d'inscription lundi 15 février 2016 Statut Membre Dernière intervention 17 février 2016
17 févr. 2016 à 11:50
Je vous envoie l'adresse par messagerie privée.
0

Discussions similaires

Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
C'est quoi "Win32:Trojan-gen {Other}"
Uzumaki -
Utilisateur anonyme -

5 réponses
Trojan alerte
Titou43 -
gen-hackman -

23 réponses
qu'est ce qu'un "trojan agent/gen" ? svp
Saber03 -
jacques.gache -

33 réponses