Menu

DragonUp.exe : Trojan Nanocore [Résolu/Fermé]

-
Bonjour,

J'ai remarqué ce jour une modification de la police sur firefox d'un site que je consulte régulièrement. Après redémarrage de l'ordinateur, eset m'indique un trojan : dragonUp.exe
J'ai fait une analyse avec eset puis avec malware mais toujours la même alerte au démarrage.
Pourriez vous m'aider?
Merci d'avance
Afficher la suite 

6 réponses

Messages postés
167193
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
18 juin 2019
15829
0
Merci
Salut,

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


0
Merci
Merci pour votre réponse. Voici les liens demandés (First + Addition + Shortcut)

http://pjjoint.malekal.com/files.php?id=FRST_20160331_f6h9e5d13p15

http://pjjoint.malekal.com/files.php?id=20160331_l8o6s11y8p5

http://pjjoint.malekal.com/files.php?id=20160331_d6x14n10d12u9

Merci d'avance
Messages postés
167193
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
18 juin 2019
15829
0
Merci
C'est cette campagne du RAT Nanocore : http://www.malekal.com/nanocore-backdoor-noancooe-campagne/

Fais ces étapes.


1/

Ton problème vient du fait que tu as un vieille version de TeamSpeak qui permet d'infecter ton ordinateur :

TeamSpeak 3 Client (HKLM-x32\...\TeamSpeak 3 Client) (Version: 3.0.16 - TeamSpeak Systems GmbH)

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Startup: C:\Users\U\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Chrome2.bat [2015-11-19] ()  
Startup: C:\Users\U\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta [2016-01-27] ()
Startup: C:\Users\U\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug.bat [2016-01-27] ()
Startup: C:\Users\U\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug2.bat [2015-11-19] ()


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

2/

Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/


Veuillez appuyer sur une touche pour continuer la désinfection...
0
Merci
Voila le message après la première opération :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version:05-03-2016 01
Exécuté par U (2016-03-31 22:12:41) Run:1
Exécuté depuis C:\Users\U\Desktop
Profils chargés: U (Profils disponibles: U)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

Startup: C:\Users\U\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Chrome2.bat [2015-11-19] ()
Startup: C:\Users\U\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta [2016-01-27] ()
Startup: C:\Users\U\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug.bat [2016-01-27] ()
Startup: C:\Users\U\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug2.bat [2015-11-19] ()


C:\Users\U\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Chrome2.bat => déplacé(es) avec succès
C:\Users\U\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta => déplacé(es) avec succès
C:\Users\U\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug.bat => déplacé(es) avec succès
C:\Users\U\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug2.bat => déplacé(es) avec succès

Fin de Fixlog 22:12:41

Je commence la deuxième étape de suite.
Merci
0
Merci
Deuxième étape terminée. Après redémarrage, plus de message d'alerte.
Je ne peux que vous remercier de votre diligence.
Juste quelques questions :
- je dois faire la mise à la mise à jour TeamSpeack au plus vite ?
- Le problème de changement de police se manifeste toujours.
- Puis-je éditer la réponse avec les rapports (présence de donnée perso après relecture) ?

Merci
Messages postés
167193
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
18 juin 2019
15829
0
Merci
oui fais au plus vite et change aussi tous tes mots de passe, ils peuvent avoir été volés.
Malekal_morte-
Messages postés
167193
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
18 juin 2019
15829 > RibWund -
si le malware a été exécuté, oui le risque est réel.
Je vais changer tous mes mots de passe de suite.
Désolé d'insister et d'abuser de votre temps mais pour ce problème de police, avez vous une explication ou serait-ce une autre infection ?
Malekal_morte-
Messages postés
167193
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
18 juin 2019
15829 > RibWund -
Tente de réparer manuellement Firefox : Réinitialiser et réparer Mozilla Firefox
Bonsoir,

Désolé pour la tardiveté de la réponse, j'ai eu un WE chargé.
J'ai fait la réinitialisation et la réparation. Rien n'a changé. J'ai désactivé mes modules et à priori cela vient de Ghostery (mise à jour vendredi à 18h, à peu près quand je m'en suis aperçu).
Malekal_morte-
Messages postés
167193
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
18 juin 2019
15829 > RibWund -
ok noté pour Ghostery =)