[Résolu] Trojan Nanocore détecté, comment s'en débarasser ?

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

binet
newbie
newbie
Messages : 9
Inscription : 13 févr. 2016 02:00

[Résolu] Trojan Nanocore détecté, comment s'en débarasser ?

Message par binet » 13 févr. 2016 02:10

Bonjour Malekal,

Depuis quelques jours j'ai une fenêtre executer qui se lance sur mon Bureau au démarrage avec une autre fenêtre dans laquelle est marquée Ï 2>NUL. J'ai installé adwcleaner qui ne trouve rien du tout, j'ai donc installé le super logiciel Malwarebytes qui a détecté une intrusion mais je n'arrive pas à régler le problème.

Voici des imprimés écrans en question, étant novice, je suis un peu perdu !
Hidedrop_erreur_nul.png
Hidedrop erreur NULL
**
Malwarebytes_outbond_fagdns_powershell.png
Détection Malwarebytes outbound powershell.exe 91.229.79.229
Malwarebytes_outbond_fagdns_regasm.png
Détection Malwarebytes outbound fagdns.com RegAsm.exe
Cordialement,

Binet.




Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 29277
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne à l' 0u3st
Contact :

Re: Trojan détecté comment m'en débarasser ?

Message par angelique » 13 févr. 2016 10:51

  • Télécharge sur ton Bureau pas ailleurs FRST.EXE:

    Image

    La page de téléchargement : http://www.bleepingcomputer.com/downloa ... scan-tool/
    Le téléchargement se fait à partir des boutons bleus Download – choisissez la version 32 ou 64 bits selon l’architecture de votre système.
    (Au pire si vous êtes en 64 bits et que vous prenez la version 32 bits, vous aurez un message disant que cette version ne peux fonctionner – cela n’endommage pas le système).

    !! Placez le programme sur le bureau et pas ailleurs!!
  • Execute FRST.EXE, accepte le disclaimer , Cochez tous les options et cliquez sur le bouton Scan.
    Le scan se lance, les éléments scannés apparaissent en haut.
  • Une fois le scan terminé, une popup vous le signale et deux rapports sont générés : FRST.txt et Addition.txt ( Ces deux rapports se trouvent sur le bureau avec le programme FRST. )


    Utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse.
-----------------------------------
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image
https://lilymarguerite.wixsite.com/lilymarguerite

binet
newbie
newbie
Messages : 9
Inscription : 13 févr. 2016 02:00

Re: Trojan détecté comment m'en débarasser ?

Message par binet » 13 févr. 2016 11:50

Voici les 3 rapports obtenus

http://pjjoint.malekal.com/files.php?id ... x1515c10u8 - FRST
http://pjjoint.malekal.com/files.php?id ... 10r5b7s9f7 - Addition
http://pjjoint.malekal.com/files.php?id ... 4x6s8w13m9 - Shortcut

Encore merci pour cette réponse réactive,

Cordialement,

Binet.

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 29277
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne à l' 0u3st
Contact :

Re: Trojan détecté comment m'en débarasser ?

Message par angelique » 13 févr. 2016 12:00

  • Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer---> notepad)
    Copie/colle dedans ce qui suit :

    Startup: C:\Users\Robin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta [2016-02-03] ()
    Startup: C:\Users\Robin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug.bat [2016-02-03] ()
    2016-02-13 01:13 - 2016-02-13 01:53 - 01457692 _____ C:\Users\Public\HideDrop.exe
    2016-02-13 01:13 - 2016-02-13 01:40 - 00000000 ____D C:\Users\Robin\AppData\Roaming\AD8CCADA-1488-4B87-BD90-7BDE48CBF58E
    2016-02-13 01:13 - 2016-02-13 01:13 - 00937776 ___SH (AutoIt Team) C:\Users\Robin\AppData\Roaming\fbQJYbBUHWXaOGZGZd1.exe
    2016-02-10 07:03 - 2016-02-10 07:03 - 00133136 ___SH C:\Users\Robin\AppData\Roaming\eJLPgUPSSXbdcISPN
    2016-02-10 07:03 - 2016-02-10 07:03 - 00061322 ___SH C:\Users\Robin\AppData\Roaming\IQXXgbHVHSQIORgGPaP.au3
    2016-02-03 20:25 - 2016-02-13 01:53 - 00430487 _____ C:\Users\Public\test.vbs
    2016-02-03 20:25 - 2016-02-13 01:53 - 00000361 _____ C:\Users\Public\kill.vbs
    EmptyTemp:
  • Menu Fichier / Enregistrer-sous
    Place toi sur le bureau.
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur FRST.exe
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction


    Un redémarrage peut être nécessaire (pas obligatoire).
  • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse et dit si c'est mieux au redémarrage
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image
https://lilymarguerite.wixsite.com/lilymarguerite

binet
newbie
newbie
Messages : 9
Inscription : 13 févr. 2016 02:00

Re: Trojan détecté sur Windows 7, comment m'en débarasser ?

Message par binet » 13 févr. 2016 16:58

http://pjjoint.malekal.com/files.php?id ... k14o8p6n15

Voici le lien du rapport fixlog, en effet au lancement de mon bureau la fenêtre exécuter n'ai pas apparu (elle a flashé une demi seconde et a disparu). Y a t-il encore des manipulations a effectuer ?

Autre question mais possiblement rien à voir, hier, lorsque le trojan avait "évolué" à la suite d'un redémarrage de Windows, il ne m'était plus possible de lancer mon jeu League of Legends (c'est d'ailleurs en partie ce qui m'avait pousser à me débarrasser du problème). Je n'arrive toujours pas à lancer mon client de jeu alors que le problème est surement résolu, est t il possible que la présence du trojan ait été responsable de ça ou ce sont deux cas isolés ?

Quoi qu'il en soit, merci angelique.


Malekal_morte
Site Admin
Site Admin
Messages : 95531
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan détecté sur Windows 7, comment m'en débarasser ?

Message par Malekal_morte » 13 févr. 2016 17:08

Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

binet
newbie
newbie
Messages : 9
Inscription : 13 févr. 2016 02:00

Re: Trojan détecté sur Windows 7, comment m'en débarasser ?

Message par binet » 15 févr. 2016 11:33

Je viens d'envoyer le dossier Quarantine.zip

Malekal_morte
Site Admin
Site Admin
Messages : 95531
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan détecté sur Windows 7, comment m'en débarasser ?

Message par Malekal_morte » 15 févr. 2016 12:51

Merci, c'est le même malware que là : http://www.commentcamarche.net/forum/af ... stic-142#4
Il s'agit d'une backdoor Nanocore (Backdoor:MSIL/Noancooe chez Microsoft).

Tu as une idée comment tu l'as choppé ?
Ca m'interresserait de savoir comment.

Change tous tes mots de passe, ils ont été volés.

La détection devient bonne, je l'avais déjà envoyé aux antivirus :
SHA256: 8bd6010cd72481228e7ecc950d447dcee69c30c4310005bca42ecf479fc88b52
Nom du fichier : HideDrop.exe
Ratio de détection : 22 / 54
Date d'analyse : 2016-02-15 11:03:57 UTC (il y a 0 minute)

Antivirus Résultat Mise à jour
ALYac Trojan.GenericKD.3035529 20160215
AVG Dropper.Generic_c.AUCQ 20160215
Ad-Aware Trojan.GenericKD.3035529 20160215
Arcabit Trojan.Generic.D2E5189 20160215
Avira TR/Dropper.Gen 20160215
BitDefender Trojan.GenericKD.3035529 20160215
Cyren W32/GenBl.8287FDDF!Olympus 20160215
ESET-NOD32 a variant of Win32/Injector.Autoit.CCA 20160215
Emsisoft Trojan.GenericKD.3035529 (B) 20160215
F-Secure Trojan.GenericKD.3035529 20160215
GData Trojan.GenericKD.3035529 20160215
K7AntiVirus Trojan ( 004ddf191 ) 20160215
K7GW Trojan ( 004ddf191 ) 20160215
McAfee-GW-Edition BehavesLike.Win32.Downloader.tc 20160215
MicroWorld-eScan Trojan.GenericKD.3035529 20160215
Microsoft Backdoor:MSIL/Noancooe.C 20160215
NANO-Antivirus Trojan.Win32.Autoit.eafkbd 20160215
Panda Trj/CI.A 20160214
Sophos Mal/Generic-S 20160215
TrendMicro TROJ_GEN.R02SC0DBE16 20160215
VIPRE Trojan.Win32.Generic!BT 20160215
nProtect Trojan.GenericKD.3035529 20160212
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Malekal_morte
Site Admin
Site Admin
Messages : 95531
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan Nanocore détecté, comment m'en débarasser ?

Message par Malekal_morte » 16 févr. 2016 08:29

Plusieurs cas observé dernièrement, J'ai publié ce topic : NanoCore / Backdoor:MSIL/Noancooe : Exemple d'une campagne
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

binet
newbie
newbie
Messages : 9
Inscription : 13 févr. 2016 02:00

Re: Trojan Nanocore détecté, comment m'en débarasser ?

Message par binet » 26 févr. 2016 09:03

Rebelote, il semblerait que le spyware ne soit pas parti/ soit réapparu.

Pour la question précédente Malekal nan je n'ai aucune idée de comment je l'ai attrapé !

Est ce que je refais exactement les mêmes manipulations pour m'en redébarasser ? (FRST -> upload ->blocnotes)

Malekal_morte
Site Admin
Site Admin
Messages : 95531
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan Nanocore détecté, comment m'en débarasser ?

Message par Malekal_morte » 26 févr. 2016 09:06

oui FRST. Tu as mis à jour TeamSpeak ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

binet
newbie
newbie
Messages : 9
Inscription : 13 févr. 2016 02:00

Re: Trojan Nanocore détecté, comment m'en débarasser ?

Message par binet » 28 févr. 2016 13:38

Voici les rapports, non je n'ai toujours pas téléchargé la nouvelle version de ts donc ça ne provient pas de là.

FRST : http://pjjoint.malekal.com/files.php?id ... 7f15r14b11
Shortcut : http://pjjoint.malekal.com/files.php?id ... 5y14i13h14
Addition : http://pjjoint.malekal.com/files.php?id ... 6d8j8p6f10

Malekal_morte
Site Admin
Site Admin
Messages : 95531
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan Nanocore détecté, comment m'en débarasser ?

Message par Malekal_morte » 28 févr. 2016 14:40

TeamSpeak 3 Client (HKLM\...\TeamSpeak 3 Client) (Version: 3.0.18 - TeamSpeak Systems GmbH)
TeamSpeak pas à jour, d'où les infections.

Donc faut vraiment le mettre à jour sinon ça va revenir.

~~


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

Startup: C:\Users\Robin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta [2016-02-18] ()
Startup: C:\Users\Robin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug.bat [2016-02-18] ()
2016-02-26 08:50 - 2016-02-26 08:50 - 00000000 _____ C:\Users\Public\HideDrop.exe
2016-02-26 08:49 - 2016-02-26 08:49 - 00430487 _____ C:\Users\Public\test.vbs
2016-02-26 08:49 - 2016-02-26 08:49 - 00000361 _____ C:\Users\Public\kill.vbs
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

puis :

Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/

et enfin :

Change tous tes mots de passe - ils ont été volés
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

binet
newbie
newbie
Messages : 9
Inscription : 13 févr. 2016 02:00

Re: Trojan Nanocore détecté, comment m'en débarasser ?

Message par binet » 28 févr. 2016 17:25

TS mis à jour (version 3.0.18.2)

Voici le rapport fixlist :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:27-02-2016
Exécuté par Robin (2016-02-28 17:20:51) Run:2
Exécuté depuis C:\Users\Robin\Desktop
Profils chargés: Robin (Profils disponibles: Robin)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Startup: C:\Users\Robin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta [2016-02-18] ()
Startup: C:\Users\Robin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug.bat [2016-02-18] ()
2016-02-26 08:50 - 2016-02-26 08:50 - 00000000 _____ C:\Users\Public\HideDrop.exe
2016-02-26 08:49 - 2016-02-26 08:49 - 00430487 _____ C:\Users\Public\test.vbs
2016-02-26 08:49 - 2016-02-26 08:49 - 00000361 _____ C:\Users\Public\kill.vbs
*****************

C:\Users\Robin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta => déplacé(es) avec succès
C:\Users\Robin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug.bat => déplacé(es) avec succès
C:\Users\Public\HideDrop.exe => déplacé(es) avec succès
C:\Users\Public\test.vbs => déplacé(es) avec succès
C:\Users\Public\kill.vbs => déplacé(es) avec succès

==== Fin de Fixlog 17:20:52 ====

binet
newbie
newbie
Messages : 9
Inscription : 13 févr. 2016 02:00

Re: Trojan Nanocore détecté, comment m'en débarasser ?

Message par binet » 28 févr. 2016 17:36

Je viens d'uploader le nouveau ficher quarantine, en ce qui concerne les mdp tu me conseilles de les changer maintenant ou il faut encore m'assurer que le spyware est bien parti ?

(En rebootant j'ai encore eu la fenetre executer qui a pop une demi seconde avant de disparaitre, est ce que c'est normal ?)


Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »