Popup "would you like to install Nanocore" (Résolu)

[vince166]

Bonjour,

Sur le portable d'une amie, un popup apparait sans cesse pour l'inviter à installer un certain logiciel nommé "NanoCore".
Ni l'antivirus comodo, ni Malwarebytes Anti-Malware (MBAM ) sont venus à bout de ce popup.

J'ai lancé une analyse avec FRST. Je poste les 3 rapports en dessous.
http://pjjoint.malekal.com/files.php?id ... t14q5m12r5
http://pjjoint.malekal.com/files.php?id ... 2v10u14l11
http://pjjoint.malekal.com/files.php?id ... j11b9w7m11

Je vous remercie par avance de toute l'aide que vous pourrait m'apporter.

[angelique]

• Bonjour,
• Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer➫notepad)
  Copie/colle dedans ce qui suit :
  
  

  Task: {27EA405E-1314-4AD4-A47B-BE75B0CCC381} - System32\Tasks\Update\origin.exe => C:\Users\Cilou p\AppData\Roaming\origin.exe [2017-02-12] () <==== ATTENTION
  FF Extension: (iGraal) - C:\Users\Cilou p\AppData\Roaming\Mozilla\Firefox\Profiles\2a4plrnm.default\Extensions\{dbac9680-d559-4cd4-9765-059879e8c467}.xpi [2016-05-19]
  2017-02-12 01:31 - 2017-02-12 01:31 - 01684448 _____ C:\Users\Cilou p\AppData\Roaming\origin.exe
  EmptyTemp:
  

• Menu Fichier / Enregistrer-sous
  Place toi sur le bureau.
  Dans le champs en bas, nom du fichier mets : fixlist.txt
  Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe
  ⚠⚠ Sous Vista, Windows 7, 8,10, etc.... il faut lancer le fichier par clic-droit ➫ Exécuter en tant qu'administrateur
  Sur le menu principal, clique une seule fois sur Corriger/Fix et patiente le temps de la correction
  
  
  Un redémarrage peut être nécessaire (pas obligatoire).
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse avec ton commentaire si c'est mieux !

[vince166]

J'ai fait la manip, mais malheureusement pas de changement.
je mets le fixlog ci-dessous.
http://pjjoint.malekal.com/files.php?id ... 1210w12c12

[Malekal_morte]

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
Task: {0CB19807-E746-42A7-8C5D-A261AEDF28BB} - System32\Tasks\Update\kmspico => C:\Users\Cilou p\AppData\Roaming\kmspico.exe [2017-02-02] () <==== ATTENTION
C:\Users\Cilou p\AppData\Roaming\origin.exe
Task: {27EA405E-1314-4AD4-A47B-BE75B0CCC381} - System32\Tasks\Update\origin.exe => C:\Users\Cilou p\AppData\Roaming\origin.exe [2017-02-12] () <==== ATTENTION
2017-02-02 19:37 - 2016-09-19 19:58 - 00000000 ____D C:\WINDOWS\System32\Tasks\
2015-12-30 21:12 - 2017-02-02 19:36 - 1684448 _____ () C:\Users\Cilou p\AppData\Roaming\kmspico.exe
2015-12-30 21:12 - 2015-12-30 21:12 - 3973120 ___SH () C:\Users\Cilou p\AppData\Roaming\kmspico.exe.bak
2017-02-02 19:37 - 2016-03-07 09:34 - 00000000 ____D C:\Users\Cilou p\AppData\Roaming\91A5B82B-3CF7-44BF-A0E7-D646ADBBC676
2017-02-02 19:36 - 2015-12-30 21:12 - 01684448 _____ C:\Users\Cilou p\AppData\Roaming\kmspico.exe
 Hosts:
EmptyTemp:
RemoveProxy:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.

[vince166]

Pour l'instant le popup n'est pas revenu.
ci dessous le fixlog.
http://pjjoint.malekal.com/files.php?id ... 3l12h10h15

[Malekal_morte]

Les mots de passe sont à changer, c'est impératif, ils ont été volés.
Nanocore étant un Trojan RAT => Les Trojan RAT

[vince166]

Ok.
Merci beaucoup pour votre aide.