Menu

Sonar/heuristic.142 [Résolu/Fermé]

Messages postés
6
Date d'inscription
vendredi 12 février 2016
Statut
Membre
Dernière intervention
15 février 2016
- - Dernière réponse : Malekal_morte-
Messages postés
167133
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
17 juin 2019
- 6 avril 2016 à 08:20
Bonjour les experts,


Norton me trouve au boot un fichier hidedrope.exe. Un Trojan ?
Il apparait à chaque démarrage de l'ordi, je n'arrive pas à m'en débarrasser malgré des scans multiples de malwarebytes / roguekiller / adwcleaner.

Norton Power eraser le trouve au boot mais ne réussit pas à l'enlever.
je note qu'une sorte de programme se met en route au démarrage, sorte de fenetre qui s'ouvre et se referme immédiatement, et cela coupe mes accents circonflexes dès que cela se lance, plus possible d'en faire sur les lettres I et E...

Je suis sur windows 10.
Help please ;)

Résultat de norton ;
Nom de la menace : SONAR.Heuristic.142
Chemin d’accès complet : Non disponible

____________________________



Actions de fichier

Fichier: c:\users\public\ hidedrop.exe Menace supprimée
Fichier: c:\users\aude\appdata\roaming\ yxcwyyfbnhdtecbcyvfxnh Menace supprimée
____________________________

Actions de registre

Modification du registre: HKEY_USERS\S-1-5-21-713729226-2430769821-404048489-1001\SOFTWARE\Safer Networking Limited\Localization->C:\Users\Public\, Ruche de registre : 64 bits Réparé
____________________________

Actions de paramètres système

Evénement : démarrage de processus (Effectué par c:\users\public\hidedrop.exe, PID:6728) Aucune action effectuée
(Effectué par c:\users\public\hidedrop.exe, PID:6728) Aucune action effectuée
Evénement : création de fichier de PE: c:\users\aude\appdata\roaming\ fbqjybbuhwxaogzgzd.exe (Effectué par c:\users\public\hidedrop.exe, PID:6728) Aucune action effectuée
Evénement : démarrage de processus: c:\Users\Aude\AppData\Roaming\ fbqjybbuhwxaogzgzd1.exe, PID:3524 (Effectué par c:\users\public\hidedrop.exe, PID:6728) Aucune action effectuée
Evénement : démarrage de processus (Effectué par c:\users\public\hidedrop.exe, PID:4676) Aucune action effectuée
(Effectué par c:\users\public\hidedrop.exe, PID:4676) Aucune action effectuée
Evénement : création de fichier de PE: c:\users\aude\appdata\roaming\ fbqjybbuhwxaogzgzd.exe (Effectué par c:\users\public\hidedrop.exe, PID:4676) Aucune action effectuée
Evénement : démarrage de processus: c:\users\public\ hidedrop.exe, PID:4676 (Effectué par c:\users\public\hidedrop.exe, PID:4676) Aucune action effectuée
Evénement : démarrage de processus (Effectué par c:\users\public\hidedrop.exe, PID:5360) Aucune action effectuée
(Effectué par c:\users\public\hidedrop.exe, PID:5360) Aucune action effectuée
Evénement : création de fichier de PE: c:\users\aude\appdata\roaming\ fbqjybbuhwxaogzgzd.exe (Effectué par c:\users\public\hidedrop.exe, PID:5360) Aucune action effectuée
Evénement : démarrage de processus: c:\Users\Aude\AppData\Roaming\ fbqjybbuhwxaogzgzd1.exe, PID:6044 (Effectué par c:\users\public\hidedrop.exe, PID:5360) Aucune action effectuée
Evénement : démarrage de processus: c:\users\public\ hidedrop.exe, PID:5360 (Effectué par c:\users\public\hidedrop.exe, PID:5360) Aucune action effectuée
Evénement : démarrage de processus (Effectué par c:\users\public\hidedrop.exe, PID:6924) Aucune action effectuée
(Effectué par c:\users\public\hidedrop.exe, PID:6924) Aucune action effectuée
Evénement : création de fichier de PE: c:\users\aude\appdata\roaming\ fbqjybbuhwxaogzgzd.exe (Effectué par c:\users\public\hidedrop.exe, PID:6924) Aucune action effectuée
Evénement : démarrage de processus: c:\users\public\ hidedrop.exe, PID:6924 (Effectué par c:\users\public\hidedrop.exe, PID:6924) Aucune action effectuée
____________________________

Actions suspectes

(Effectué par c:\users\public\hidedrop.exe, PID:6728) Aucune action effectuée
(Effectué par c:\users\public\hidedrop.exe, PID:5360) Aucune action effectuée
____________________________
Afficher la suite 

7 réponses

Messages postés
167133
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
17 juin 2019
15799
0
Merci
Salut,

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

Messages postés
6
Date d'inscription
vendredi 12 février 2016
Statut
Membre
Dernière intervention
15 février 2016
0
Merci
Bonsoir Malekal_morte, merci beaucoup pour la réponse.

Alors, concernant les 3 rapports ;

Addition http://pjjoint.malekal.com/files.php?id=20160212_f9d9y7z5v12

shortcut http://pjjoint.malekal.com/files.php?id=20160212_r6n15b5x10d6

FRST http://pjjoint.malekal.com/files.php?id=FRST_20160212_o12d15r9g6e9
Messages postés
167133
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
17 juin 2019
15799
0
Merci
Deux antivirus et Spybot...

AV: Norton Security avec Backup (Enabled - Up to date) {53C7D717-52E2-B95E-FA61-6F32ECC805DB}
AV: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AV: avast! Antivirus (Disabled - Up to date) {17AD7D40-BA12-9C46-7131-94903A54AD8B}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: Spybot - Search and Destroy (Enabled - Up to date) {9BC38DF1-3CCA-732D-A930-C1CA5F20A4B


Je te conseille de désinstaller Spybot, pas super efficace, selon moi. ( Adwares : Antispyware comment ne pas désinfecter son Windows )



~~


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :


CloseProcesses:
HKU\S-1-5-21-713729226-2430769821-404048489-1001\...\RunOnce: [Microsoft Corporation fbQJYbBUHWXaOGZGZd] => C:\Users\Aude\AppData\Roaming\fbQJYbBUHWXaOGZGZd.exe C:\Users\Aude\AppData\Roaming\IQXXgbHVHSQIORgGPaP.au3
Startup: C:\Users\Aude\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Chrome2.bat [2016-01-10] ()
Startup: C:\Users\Aude\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta [2016-02-08] ()
Startup: C:\Users\Aude\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug2.bat [2016-01-10] ()
2016-02-10 17:24 - 2016-02-12 17:50 - 00000000 ____D C:\Users\Aude\AppData\Roaming\AE034D1F-1277-41CB-91EC-4C741D2CB840
2016-02-10 17:24 - 2016-02-10 17:24 - 00937776 ___SH (AutoIt Team) C:\Users\Aude\AppData\Roaming\fbQJYbBUHWXaOGZGZd1.exe
2016-02-10 07:03 - 2016-02-10 07:03 - 00133136 ___SH C:\Users\Aude\AppData\Roaming\eJLPgUPSSXbdcISPN
2016-02-10 07:03 - 2016-02-10 07:03 - 00061322 ___SH C:\Users\Aude\AppData\Roaming\IQXXgbHVHSQIORgGPaP.au3
Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.

et enfin :

Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
Malekal_morte-
Messages postés
167133
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
17 juin 2019
15799 > Mele -
Salut Mele-,

Comme dit plus bas, c'est cette campagne : http://www.malekal.com/nanocore-backdoor-noancooe-campagne/

Désinstalle DriversCloud.com
sert à rien.

1/
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :


CreateRestorePoint:
CloseProcesses:
Startup: C:\Users\alex\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Chrome2.bat [2015-12-15] ()
Startup: C:\Users\alex\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta [2016-02-02] ()
Startup: C:\Users\alex\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug.bat [2016-02-02] ()
Startup: C:\Users\alex\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug2.bat [2015-12-15] ()
2016-04-05 20:52 - 2016-04-05 20:52 - 00001245 _____ C:\Users\Public\HideDrop.exe
2016-04-05 20:51 - 2016-04-05 20:51 - 00430487 _____ C:\Users\Public\test.vbs
2016-04-05 20:51 - 2016-04-05 20:51 - 00000361 _____ C:\Users\Public\kill.vbs
EmptyTemp:
Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.

2/
Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
Désolé j'ai fait des modifs, j'ai plus qu'un problème que je ne règle pas : test.vbs

De nouveau les fichiers après que j'ai écrit moi-même un fixlist.txt et corrigé quelques uns des pb.

FRST : http://pjjoint.malekal.com/files.php?id=FRST_20160405_u12k15g5r15l8
Addition : http://pjjoint.malekal.com/files.php?id=20160405_b7u11r8p6d5
Shortcut : http://pjjoint.malekal.com/files.php?id=20160405_h10l1115e8n12

De plus, j'ai remarqué que les fichiers dans "quarantine" sont bloqués et non supprimés, et que si l'on supprime le contenu de quarantine, on débloque de nouveau les fichiers., N'y a t'il pas moyen de trouver l'exécutable qui recrée les scripts/exe lors du démarrage, et ainsi supprimer le pb à la source?

Si jamais il n'y a pas moyen de facilement se débarrasser définitivement du pb, je formaterai mon ordi ça ira plus vite.

Merci !
Malekal_morte-
Messages postés
167133
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
17 juin 2019
15799 > Mele -
faire la correction donnée dans mon message précédent.
Niquel merci !
Je n'avais pas coupé les processus chrome2.bat et thug2.bat dans le fixlist que j'avais fait. Une fois ajoutés ça fonctionne.

Merci encore !
Malekal_morte-
Messages postés
167133
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
17 juin 2019
15799 > mele -
Ok par contre, je n'ai pas vu TeamSpeak installé alors que ce malware va par ce biais.
Tu l'as désinstallé ?
Tu devrais installé Avast!, il l'aurait bloqué : Installe Avast!, active surtout les détections LPI pour détecter les programmes parasites et publicitaires.
Messages postés
6
Date d'inscription
vendredi 12 février 2016
Statut
Membre
Dernière intervention
15 février 2016
0
Merci
Merci pour le conseil Malekal_morte, je vais de suite désinstaller spybot.
Pour le fichier texte, voici son contenu :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version:07-02-2016
Exécuté par Aude (2016-02-12 23:11:17) Run:1
Exécuté depuis C:\Users\Aude\Desktop
Profils chargés: Aude (Profils disponibles: Aude)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CloseProcesses:
HKU\S-1-5-21-713729226-2430769821-404048489-1001\...\RunOnce: [Microsoft Corporation fbQJYbBUHWXaOGZGZd] => C:\Users\Aude\AppData\Roaming\fbQJYbBUHWXaOGZGZd.exe C:\Users\Aude\AppData\Roaming\IQXXgbHVHSQIORgGPaP.au3
Startup: C:\Users\Aude\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Chrome2.bat [2016-01-10] ()
Startup: C:\Users\Aude\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta [2016-02-08] ()
Startup: C:\Users\Aude\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug2.bat [2016-01-10] ()
2016-02-10 17:24 - 2016-02-12 17:50 - 00000000 ____D C:\Users\Aude\AppData\Roaming\AE034D1F-1277-41CB-91EC-4C741D2CB840
2016-02-10 17:24 - 2016-02-10 17:24 - 00937776 ___SH (AutoIt Team) C:\Users\Aude\AppData\Roaming\fbQJYbBUHWXaOGZGZd1.exe
2016-02-10 07:03 - 2016-02-10 07:03 - 00133136 ___SH C:\Users\Aude\AppData\Roaming\eJLPgUPSSXbdcISPN
2016-02-10 07:03 - 2016-02-10 07:03 - 00061322 ___SH C:\Users\Aude\AppData\Roaming\IQXXgbHVHSQIORgGPaP.au3
Reboot:


Processus fermé avec succès.
HKU\S-1-5-21-713729226-2430769821-404048489-1001\Software\Microsoft\Windows\CurrentVersion\RunOnce\\Microsoft Corporation fbQJYbBUHWXaOGZGZd => valeur supprimé(es) avec succès
C:\Users\Aude\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Chrome2.bat => déplacé(es) avec succès
C:\Users\Aude\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta => déplacé(es) avec succès
C:\Users\Aude\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug2.bat => déplacé(es) avec succès
C:\Users\Aude\AppData\Roaming\AE034D1F-1277-41CB-91EC-4C741D2CB840 => déplacé(es) avec succès
C:\Users\Aude\AppData\Roaming\fbQJYbBUHWXaOGZGZd1.exe => déplacé(es) avec succès
C:\Users\Aude\AppData\Roaming\eJLPgUPSSXbdcISPN => déplacé(es) avec succès
C:\Users\Aude\AppData\Roaming\IQXXgbHVHSQIORgGPaP.au3 => déplacé(es) avec succès


Le système a dû redémarrer.

Fin de Fixlog 23:11:17

Malekal_morte-
Messages postés
167133
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
17 juin 2019
15799 -
ok fais l'upload aussi dernière étape =)
T3m
Messages postés
6
Date d'inscription
vendredi 12 février 2016
Statut
Membre
Dernière intervention
15 février 2016
> Malekal_morte-
Messages postés
167133
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
17 juin 2019
-
C'est fait également ! C'était quoi au final ce truc, un malware ?
Malekal_morte-
Messages postés
167133
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
17 juin 2019
15799 > T3m
Messages postés
6
Date d'inscription
vendredi 12 février 2016
Statut
Membre
Dernière intervention
15 février 2016
-
Un RAT (Remote Access Tool) en Autoit.
Il te faut changer tes mots de passe.
T3m
Messages postés
6
Date d'inscription
vendredi 12 février 2016
Statut
Membre
Dernière intervention
15 février 2016
> Malekal_morte-
Messages postés
167133
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
17 juin 2019
-
Ok merci pour l'info sur les mots de passe, et merci beaucoup pour le coup de main en tout cas !
Plus d'Hidedrop.exe et mes accents circonflexes fonctionnent de nouveau ( ê / î ), ça a l'air de rien mais c'est utile :)
Aucune autre manip à faire ? Dois-je / puis-je marquer le sujet comme résolu ?
Messages postés
167133
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
17 juin 2019
15799
0
Merci
Faire attention à ce que tu télécharges =)


Renforce la sécurité de ton Windows : Comment sécuriser mon Windows

Messages postés
167133
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
17 juin 2019
15799
0
Merci
Un second sujet avec ce trojan Nanobot / NanCore.

Si tu as une idée comment tu l'as choppé, ça m'interresse.
T3m
Messages postés
6
Date d'inscription
vendredi 12 février 2016
Statut
Membre
Dernière intervention
15 février 2016
-
Très franchement, Malekal_morte, aucune idée.
Un matin sur mon pc j'avais une alerte avast. Je n'ai pas souvenir d'avoir installé ou téléchargé quelque chose la veille... ni branché de clef usb.
De même, que des sites web classiques consultés ( presse ).
Malekal_morte-
Messages postés
167133
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
17 juin 2019
15799 > T3m
Messages postés
6
Date d'inscription
vendredi 12 février 2016
Statut
Membre
Dernière intervention
15 février 2016
-
ok pas grave, merci !
Messages postés
167133
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
17 juin 2019
15799
0
Merci
Encore d'autres cas, j'ai publié cette actualité : Trojan NanoCore / Backdoor:MSIL/Noancooe : Exemple d’une Campagne.