Menu

Trojan Nanocore / Noancooe : Erreur ouverture session [Résolu/Fermé]

Messages postés
4
Date d'inscription
lundi 15 février 2016
Statut
Membre
Dernière intervention
17 février 2016
- - Dernière réponse : Eliandar01
Messages postés
4
Date d'inscription
lundi 15 février 2016
Statut
Membre
Dernière intervention
17 février 2016
- 17 févr. 2016 à 11:50
Bonjour,

Depuis quelques jours, j'ai une fenêtre qui s'ouvre au démarrage de ma session.

Voici une lien menant à une capture d'écran : http://www.hostingpics.net/viewer.php?id=533777anomalieouverturesession.jpg

J'ai effectué un scanne avec AdwCleanner, mais rien de concluant :

# AdwCleaner v5.033 - Rapport créé le 15/02/2016 à 22:49:04
# Mis à jour le 07/02/2016 par Xplode
# Base de données : 2016-02-15.1 [Serveur]
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (x64)
# Nom d'utilisateur : Papa - FAMILLE-PC
# Exécuté depuis : E:\Fichier installation\adwcleaner_5.033.exe
# Option : Scanner
# Support : http://toolslib.net/forum
          • [ Services ] *****
          • [ Dossiers ] *****
          • [ Fichiers ] *****
          • [ DLL ] *****
          • [ Raccourcis ] *****
          • [ Tâches planifiées ] *****
          • [ Registre ] *****
          • [ Navigateurs ] *****



########## EOF - C:\AdwCleaner\AdwCleaner[S4].txt - [640 octets] ##########

J'ai lancé FRST afin d'obtenir les rapport. Les voici :

http://pjjoint.malekal.com/files.php?id=FRST_20160215_c15w10u5b12v8
http://pjjoint.malekal.com/files.php?id=20160215_x13z5h8k9p12
http://pjjoint.malekal.com/files.php?id=20160215_f15t9r13s10v5

En espérant que quelqu'un puisse trouver une solution à mon problème.
Merci d'avance.

Afficher la suite 

5 réponses

Messages postés
167340
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
24 juin 2019
16023
0
Merci
Salut,

C'est un RAT (Remote Access Tools), je regarde les rapports.

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Messages postés
167340
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
24 juin 2019
16023
0
Merci
Fais ces deux choses :

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :


Startup: C:\Users\Papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta [2016-02-13] ()
Startup: C:\Users\Papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug.bat [2016-02-13] ()
2016-02-14 19:01 - 2016-02-15 22:27 - 00430527 _____ C:\Users\Public\test.vbs
2016-02-14 19:01 - 2016-02-15 22:27 - 00000361 _____ C:\Users\Public\kill.vbs
2016-02-14 19:01 - 2016-02-15 22:27 - 00000000 _____ C:\Users\Public\EasyComm.exe
2012-12-04 22:15 - 2015-03-09 07:52 - 0000340 _____ () C:\Users\Papa\AppData\Local\HackLogs.dat
2015-01-13 00:40 - 2015-01-13 00:40 - 0000001 _____ () C:\Users\Papa\AppData\Local\llftool.4.40.agreement
2012-12-04 22:14 - 2015-03-09 08:18 - 0000700 ___SH () C:\Users\Papa\AppData\Local\systemFL7.dat
2015-03-09 08:21 - 2015-03-09 08:22 - 0001906 ___SH () C:\Users\Papa\AppData\Local\win_fldb_sys.dat
2012-12-04 22:16 - 2015-03-09 07:55 - 0000000 ___SH () C:\Users\Papa\AppData\Local\win_lockerdb_sys.dat
2012-12-04 22:13 - 2015-03-09 08:23 - 0003465 ___SH () C:\Users\Papa\AppData\Local\win_stlthdb_sys.dat
2012-12-04 22:15 - 2012-12-04 22:15 - 0002568 ___SH () C:\ProgramData\win_mpwd_sys.dat
C:\ProgramData\win_mpwd_sys.dat



Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.


Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
Messages postés
4
Date d'inscription
lundi 15 février 2016
Statut
Membre
Dernière intervention
17 février 2016
0
Merci
Voici le rapport après correction :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version:07-02-2016
Exécuté par Papa (2016-02-16 02:24:40) Run:1
Exécuté depuis C:\Users\Papa\Desktop
Profils chargés: Papa (Profils disponibles: Papa & UpdatusUser & Maman & Invité)
Mode d'amorçage: Normal
==============================================

fixlist contenu:


*

Startup: C:\Users\Papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta [2016-02-13] ()
Startup: C:\Users\Papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug.bat [2016-02-13] ()
2016-02-14 19:01 - 2016-02-15 22:27 - 00430527 _____ C:\Users\Public\test.vbs
2016-02-14 19:01 - 2016-02-15 22:27 - 00000361 _____ C:\Users\Public\kill.vbs
2016-02-14 19:01 - 2016-02-15 22:27 - 00000000 _____ C:\Users\Public\EasyComm.exe
2012-12-04 22:15 - 2015-03-09 07:52 - 0000340 _____ () C:\Users\Papa\AppData\Local\HackLogs.dat
2015-01-13 00:40 - 2015-01-13 00:40 - 0000001 _____ () C:\Users\Papa\AppData\Local\llftool.4.40.agreement
2012-12-04 22:14 - 2015-03-09 08:18 - 0000700 ___SH () C:\Users\Papa\AppData\Local\systemFL7.dat
2015-03-09 08:21 - 2015-03-09 08:22 - 0001906 ___SH () C:\Users\Papa\AppData\Local\win_fldb_sys.dat
2012-12-04 22:16 - 2015-03-09 07:55 - 0000000 ___SH () C:\Users\Papa\AppData\Local\win_lockerdb_sys.dat
2012-12-04 22:13 - 2015-03-09 08:23 - 0003465 ___SH () C:\Users\Papa\AppData\Local\win_stlthdb_sys.dat
2012-12-04 22:15 - 2012-12-04 22:15 - 0002568 ___SH () C:\ProgramData\win_mpwd_sys.dat
C:\ProgramData\win_mpwd_sys.dat


*


C:\Users\Papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta => déplacé(es) avec succès
C:\Users\Papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug.bat => déplacé(es) avec succès
C:\Users\Public\test.vbs => déplacé(es) avec succès
C:\Users\Public\kill.vbs => déplacé(es) avec succès
C:\Users\Public\EasyComm.exe => déplacé(es) avec succès
C:\Users\Papa\AppData\Local\HackLogs.dat => déplacé(es) avec succès
C:\Users\Papa\AppData\Local\llftool.4.40.agreement => déplacé(es) avec succès
C:\Users\Papa\AppData\Local\systemFL7.dat => déplacé(es) avec succès
C:\Users\Papa\AppData\Local\win_fldb_sys.dat => déplacé(es) avec succès
C:\Users\Papa\AppData\Local\win_lockerdb_sys.dat => déplacé(es) avec succès
C:\Users\Papa\AppData\Local\win_stlthdb_sys.dat => déplacé(es) avec succès
C:\ProgramData\win_mpwd_sys.dat => déplacé(es) avec succès
"C:\ProgramData\win_mpwd_sys.dat" => non trouvé(e).


Fichier "Quarantine.zip" uploadé avec succès.

Au redémarrage de la session, plus de fenêtre apparente, donc visiblement cela est un succès :) .
J'espère que le problème ne se renouvellera pas ( me semble pas avoir installer de logiciel bizarre ou avec accédé à des sites bizarres ).

En tout cas, merci de votre aide, qui plus est rapide :).
Messages postés
167340
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
24 juin 2019
16023
0
Merci
Fais un scan avec tes antivirus.
Change tous tes mots de passe.


Renforce la sécurité de ton Windows : Comment sécuriser mon Windows


Malekal_morte-
Messages postés
167340
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
24 juin 2019
16023 -
Encore d'autres cas, j'ai publié cette actualité : Trojan NanoCore / Backdoor:MSIL/Noancooe : Exemple d’une Campagne.
Messages postés
4
Date d'inscription
lundi 15 février 2016
Statut
Membre
Dernière intervention
17 février 2016
0
Merci
Merci de vos précision.

J'ai lu votre article sur le phénomène, et je vous apporte quelques informations.
Ces derniers jours, j'ai utilisé à plusieurs reprise TeamSpeak 3 ( version antérieur à la 3.0.18.2 ), et steam ( jeu Dying Light en coop ).
J'ai depuis mis à jour TeamSpeak au cas où.
Malekal_morte-
Messages postés
167340
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
24 juin 2019
16023 -
Sais-tu sur quel channel, tu es allé avec TeamSpeak ?
Eliandar01
Messages postés
4
Date d'inscription
lundi 15 février 2016
Statut
Membre
Dernière intervention
17 février 2016
-
Je vous envoie l'adresse par messagerie privée.