Trojan.NanoCore :XD.exe qui apparait et disparait tout les 10sec Fermé

Question

Bonjour je vient pour vous montrer quelque chose que j'ai remarquer aujourd'hui.
J'ai remarquer quand dans mon dossier
C:\Users\Nom\AppData\Local\Temp
il y avait un XD.exe qui se créer et disparait avec des document XLM comme a11111 ou aRRRRR. Pouvez vous m'aider?

Malekal_morte- · Answer

Salut,


Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :

 FRST.txt
 Shortcut.txt
 Additionnal.txt

Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à  ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

BxTuTo · Answer

Voila 
FRST
https://pjjoint.malekal.com/files.php?id=FRST_20160123_t15d10l15v13g11
Additional
https://pjjoint.malekal.com/files.php?id=20160123_l9q9k10i14x6
Shortcut
https://pjjoint.malekal.com/files.php?id=20160123_n15r6h14v9t13

Malekal_morte- · Answer

Le PC semble infecté par des trojans
déjà SuperAntispyware, tu peux le désinstaller, il est pas si super que cela...

T'as aussi security-search qui 'est mis sur tes navigateurs WEB.



Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit : 


Task: {CCB563C6-FE80-4C22-941C-94D97069A76A} - System32\Tasks\Update\Driverm => C:\Users\robin\AppData\Local\Temp\Driverm.exe [2016-01-23] () <==== ATTENTION
 HKU\S-1-5-21-3709466023-1338611908-758753688-1000\...\Run: [SMTP Service] => C:\Users\robin\AppData\Roaming\3E32180C-17C6-4CD5-B364-94ECFB4A1ECB\SMTP Service\smtpsv.exe [712704 2016-01-23] () 
 HKU\S-1-5-21-3709466023-1338611908-758753688-1000\...\Policies\Explorer\Run: [Adobe Flash Player] => C:\Users\robin\AppData\Roaming\plugin-container.exe  
 2016-01-23 10:45 - 2015-08-30 12:53 - 00000000 ____D C:\Users\robin\AppData\Roaming\3E32180C-17C6-4CD5-B364-94ECFB4A1ECB 
 C:\Users\robin\AppData\Local\Temp\Driverm.exe  



Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message. 

Redémarre l'ordinateur


Ensuite Ouvre Mon Ordinateur 
puis le disque C 
Ouvre le dossier FRST. 
Dedans se trouve, le dossier Quarantine 
Fais un clic droit dessus puis envoyer vers le dossier compressé. 
Envoie le zip sur http://upload.malekal.com 


et enfin :

puis réinitialise tes navigateurs:
==================================
Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :

 Firefox : https://www.malekal.com/reparer-firefox/?t=36057&start=
 Google Chrome : https://www.malekal.com/reparer-google-chrome/?t=35837&start=
 Internet Explorer et modules complémentaires / moteurs de recherche : https://forum.malekal.com/viewtopic.php?t=41399&start=

Malekal_morte- · Answer

ok faudrait changer tes mots de passe et sécuriser ton PC.
T'as pas d'antivirus et ton RAT est super bien détecté.

Désinstalle tous les programmes de non protection et 
installe Avast! : https://www.malekal.com/tutoriel-antivirus-avast/
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)


SHA256: a7dc64e5541a772d5c2e7f14c97218c4d30d56ac57214814a37950411a6a1fd2
Nom du fichier : fast-life.exe
Ratio de détection : 32 / 57
Date d'analyse : 2015-09-06 14:36:11 UTC (il y a 4 mois, 2 semaines) 

Antivirus Résultat Mise à jour
ALYac Trojan.GenericKD.2689211 20150906
AVG Atros2.NDT 20150906
AVware Trojan.Win32.Generic!BT 20150901
Ad-Aware Trojan.GenericKD.2689211 20150906
Antiy-AVL Trojan[Backdoor]/MSIL.NanoBot 20150906
Arcabit Trojan.Generic.D2908BB 20150905
Avast Win32:Malware-gen 20150906
Avira TR/Dropper.MSIL.192708 20150906
Baidu-International Backdoor.MSIL.NanoBot.ezs 20150906
BitDefender Trojan.GenericKD.2689211 20150906
DrWeb Trojan.PWS.Steam.5714 20150906
ESET-NOD32 a variant of MSIL/Kryptik.DLV 20150906
Emsisoft Trojan.GenericKD.2689211 (B) 20150906
F-Secure Trojan.GenericKD.2689211 20150905
Fortinet MSIL/Kryptik.DLV!tr 20150906
GData Trojan.GenericKD.2689211 20150906
Ikarus Trojan.MSIL.Crypt 20150906
K7AntiVirus Trojan ( 004ce3311 ) 20150906
K7GW Trojan ( 004ce3311 ) 20150906
Kaspersky Backdoor.MSIL.NanoBot.ezs 20150906
McAfee Artemis!1AF1211130A9 20150906
McAfee-GW-Edition BehavesLike.Win32.BackdoorNJRat.jc 20150905
MicroWorld-eScan Trojan.GenericKD.2689211 20150906
Microsoft Backdoor:MSIL/Noancooe.C 20150906
NANO-Antivirus Trojan.Win32.NanoBot.dvwdsr 20150906
Panda Trj/CI.A 20150906
Qihoo-360 HEUR/QVM03.0.Malware.Gen 20150906
Sophos Mal/Generic-S 20150906
Symantec Suspicious.Cloud.2 20150906
TrendMicro TROJ_GEN.R00JC0DI115 20150906
VIPRE Trojan.Win32.Generic!BT 20150906
nProtect Trojan.GenericKD.2689211 20150904 
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left