Sonar/heuristic.142
Résolu
T3m
Messages postés
6
Date d'inscription
Statut
Membre
Dernière intervention
-
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour les experts,
Norton me trouve au boot un fichier hidedrope.exe. Un Trojan ?
Il apparait à chaque démarrage de l'ordi, je n'arrive pas à m'en débarrasser malgré des scans multiples de malwarebytes / roguekiller / adwcleaner.
Norton Power eraser le trouve au boot mais ne réussit pas à l'enlever.
je note qu'une sorte de programme se met en route au démarrage, sorte de fenetre qui s'ouvre et se referme immédiatement, et cela coupe mes accents circonflexes dès que cela se lance, plus possible d'en faire sur les lettres I et E...
Je suis sur windows 10.
Help please ;)
Résultat de norton ;
Nom de la menace : SONAR.Heuristic.142
Chemin d’accès complet : Non disponible
____________________________
Actions de fichier
Fichier: c:\users\public\ hidedrop.exe Menace supprimée
Fichier: c:\users\aude\appdata\roaming\ yxcwyyfbnhdtecbcyvfxnh Menace supprimée
____________________________
Actions de registre
Modification du registre: HKEY_USERS\S-1-5-21-713729226-2430769821-404048489-1001\SOFTWARE\Safer Networking Limited\Localization->C:\Users\Public\, Ruche de registre : 64 bits Réparé
____________________________
Actions de paramètres système
Evénement : démarrage de processus (Effectué par c:\users\public\hidedrop.exe, PID:6728) Aucune action effectuée
(Effectué par c:\users\public\hidedrop.exe, PID:6728) Aucune action effectuée
Evénement : création de fichier de PE: c:\users\aude\appdata\roaming\ fbqjybbuhwxaogzgzd.exe (Effectué par c:\users\public\hidedrop.exe, PID:6728) Aucune action effectuée
Evénement : démarrage de processus: c:\Users\Aude\AppData\Roaming\ fbqjybbuhwxaogzgzd1.exe, PID:3524 (Effectué par c:\users\public\hidedrop.exe, PID:6728) Aucune action effectuée
Evénement : démarrage de processus (Effectué par c:\users\public\hidedrop.exe, PID:4676) Aucune action effectuée
(Effectué par c:\users\public\hidedrop.exe, PID:4676) Aucune action effectuée
Evénement : création de fichier de PE: c:\users\aude\appdata\roaming\ fbqjybbuhwxaogzgzd.exe (Effectué par c:\users\public\hidedrop.exe, PID:4676) Aucune action effectuée
Evénement : démarrage de processus: c:\users\public\ hidedrop.exe, PID:4676 (Effectué par c:\users\public\hidedrop.exe, PID:4676) Aucune action effectuée
Evénement : démarrage de processus (Effectué par c:\users\public\hidedrop.exe, PID:5360) Aucune action effectuée
(Effectué par c:\users\public\hidedrop.exe, PID:5360) Aucune action effectuée
Evénement : création de fichier de PE: c:\users\aude\appdata\roaming\ fbqjybbuhwxaogzgzd.exe (Effectué par c:\users\public\hidedrop.exe, PID:5360) Aucune action effectuée
Evénement : démarrage de processus: c:\Users\Aude\AppData\Roaming\ fbqjybbuhwxaogzgzd1.exe, PID:6044 (Effectué par c:\users\public\hidedrop.exe, PID:5360) Aucune action effectuée
Evénement : démarrage de processus: c:\users\public\ hidedrop.exe, PID:5360 (Effectué par c:\users\public\hidedrop.exe, PID:5360) Aucune action effectuée
Evénement : démarrage de processus (Effectué par c:\users\public\hidedrop.exe, PID:6924) Aucune action effectuée
(Effectué par c:\users\public\hidedrop.exe, PID:6924) Aucune action effectuée
Evénement : création de fichier de PE: c:\users\aude\appdata\roaming\ fbqjybbuhwxaogzgzd.exe (Effectué par c:\users\public\hidedrop.exe, PID:6924) Aucune action effectuée
Evénement : démarrage de processus: c:\users\public\ hidedrop.exe, PID:6924 (Effectué par c:\users\public\hidedrop.exe, PID:6924) Aucune action effectuée
____________________________
Actions suspectes
(Effectué par c:\users\public\hidedrop.exe, PID:6728) Aucune action effectuée
(Effectué par c:\users\public\hidedrop.exe, PID:5360) Aucune action effectuée
____________________________
Norton me trouve au boot un fichier hidedrope.exe. Un Trojan ?
Il apparait à chaque démarrage de l'ordi, je n'arrive pas à m'en débarrasser malgré des scans multiples de malwarebytes / roguekiller / adwcleaner.
Norton Power eraser le trouve au boot mais ne réussit pas à l'enlever.
je note qu'une sorte de programme se met en route au démarrage, sorte de fenetre qui s'ouvre et se referme immédiatement, et cela coupe mes accents circonflexes dès que cela se lance, plus possible d'en faire sur les lettres I et E...
Je suis sur windows 10.
Help please ;)
Résultat de norton ;
Nom de la menace : SONAR.Heuristic.142
Chemin d’accès complet : Non disponible
____________________________
Actions de fichier
Fichier: c:\users\public\ hidedrop.exe Menace supprimée
Fichier: c:\users\aude\appdata\roaming\ yxcwyyfbnhdtecbcyvfxnh Menace supprimée
____________________________
Actions de registre
Modification du registre: HKEY_USERS\S-1-5-21-713729226-2430769821-404048489-1001\SOFTWARE\Safer Networking Limited\Localization->C:\Users\Public\, Ruche de registre : 64 bits Réparé
____________________________
Actions de paramètres système
Evénement : démarrage de processus (Effectué par c:\users\public\hidedrop.exe, PID:6728) Aucune action effectuée
(Effectué par c:\users\public\hidedrop.exe, PID:6728) Aucune action effectuée
Evénement : création de fichier de PE: c:\users\aude\appdata\roaming\ fbqjybbuhwxaogzgzd.exe (Effectué par c:\users\public\hidedrop.exe, PID:6728) Aucune action effectuée
Evénement : démarrage de processus: c:\Users\Aude\AppData\Roaming\ fbqjybbuhwxaogzgzd1.exe, PID:3524 (Effectué par c:\users\public\hidedrop.exe, PID:6728) Aucune action effectuée
Evénement : démarrage de processus (Effectué par c:\users\public\hidedrop.exe, PID:4676) Aucune action effectuée
(Effectué par c:\users\public\hidedrop.exe, PID:4676) Aucune action effectuée
Evénement : création de fichier de PE: c:\users\aude\appdata\roaming\ fbqjybbuhwxaogzgzd.exe (Effectué par c:\users\public\hidedrop.exe, PID:4676) Aucune action effectuée
Evénement : démarrage de processus: c:\users\public\ hidedrop.exe, PID:4676 (Effectué par c:\users\public\hidedrop.exe, PID:4676) Aucune action effectuée
Evénement : démarrage de processus (Effectué par c:\users\public\hidedrop.exe, PID:5360) Aucune action effectuée
(Effectué par c:\users\public\hidedrop.exe, PID:5360) Aucune action effectuée
Evénement : création de fichier de PE: c:\users\aude\appdata\roaming\ fbqjybbuhwxaogzgzd.exe (Effectué par c:\users\public\hidedrop.exe, PID:5360) Aucune action effectuée
Evénement : démarrage de processus: c:\Users\Aude\AppData\Roaming\ fbqjybbuhwxaogzgzd1.exe, PID:6044 (Effectué par c:\users\public\hidedrop.exe, PID:5360) Aucune action effectuée
Evénement : démarrage de processus: c:\users\public\ hidedrop.exe, PID:5360 (Effectué par c:\users\public\hidedrop.exe, PID:5360) Aucune action effectuée
Evénement : démarrage de processus (Effectué par c:\users\public\hidedrop.exe, PID:6924) Aucune action effectuée
(Effectué par c:\users\public\hidedrop.exe, PID:6924) Aucune action effectuée
Evénement : création de fichier de PE: c:\users\aude\appdata\roaming\ fbqjybbuhwxaogzgzd.exe (Effectué par c:\users\public\hidedrop.exe, PID:6924) Aucune action effectuée
Evénement : démarrage de processus: c:\users\public\ hidedrop.exe, PID:6924 (Effectué par c:\users\public\hidedrop.exe, PID:6924) Aucune action effectuée
____________________________
Actions suspectes
(Effectué par c:\users\public\hidedrop.exe, PID:6728) Aucune action effectuée
(Effectué par c:\users\public\hidedrop.exe, PID:5360) Aucune action effectuée
____________________________
A voir également:
- Sonar virus
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Altruistic virus ✓ - Forum Antivirus
7 réponses
Salut,
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Bonsoir Malekal_morte, merci beaucoup pour la réponse.
Alors, concernant les 3 rapports ;
Addition https://pjjoint.malekal.com/files.php?id=20160212_f9d9y7z5v12
shortcut https://pjjoint.malekal.com/files.php?id=20160212_r6n15b5x10d6
FRST https://pjjoint.malekal.com/files.php?id=FRST_20160212_o12d15r9g6e9
Alors, concernant les 3 rapports ;
Addition https://pjjoint.malekal.com/files.php?id=20160212_f9d9y7z5v12
shortcut https://pjjoint.malekal.com/files.php?id=20160212_r6n15b5x10d6
FRST https://pjjoint.malekal.com/files.php?id=FRST_20160212_o12d15r9g6e9
Deux antivirus et Spybot...
AV: Norton Security avec Backup (Enabled - Up to date) {53C7D717-52E2-B95E-FA61-6F32ECC805DB}
AV: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AV: avast! Antivirus (Disabled - Up to date) {17AD7D40-BA12-9C46-7131-94903A54AD8B}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: Spybot - Search and Destroy (Enabled - Up to date) {9BC38DF1-3CCA-732D-A930-C1CA5F20A4B
Je te conseille de désinstaller Spybot, pas super efficace, selon moi. ( Adwares : Antispyware comment ne pas désinfecter son Windows )
~~
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
et enfin :
Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
AV: Norton Security avec Backup (Enabled - Up to date) {53C7D717-52E2-B95E-FA61-6F32ECC805DB}
AV: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AV: avast! Antivirus (Disabled - Up to date) {17AD7D40-BA12-9C46-7131-94903A54AD8B}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: Spybot - Search and Destroy (Enabled - Up to date) {9BC38DF1-3CCA-732D-A930-C1CA5F20A4B
Je te conseille de désinstaller Spybot, pas super efficace, selon moi. ( Adwares : Antispyware comment ne pas désinfecter son Windows )
~~
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CloseProcesses:
HKU\S-1-5-21-713729226-2430769821-404048489-1001\...\RunOnce: [Microsoft Corporation fbQJYbBUHWXaOGZGZd] => C:\Users\Aude\AppData\Roaming\fbQJYbBUHWXaOGZGZd.exe C:\Users\Aude\AppData\Roaming\IQXXgbHVHSQIORgGPaP.au3
Startup: C:\Users\Aude\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Chrome2.bat [2016-01-10] ()
Startup: C:\Users\Aude\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta [2016-02-08] ()
Startup: C:\Users\Aude\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug2.bat [2016-01-10] ()
2016-02-10 17:24 - 2016-02-12 17:50 - 00000000 ____D C:\Users\Aude\AppData\Roaming\AE034D1F-1277-41CB-91EC-4C741D2CB840
2016-02-10 17:24 - 2016-02-10 17:24 - 00937776 ___SH (AutoIt Team) C:\Users\Aude\AppData\Roaming\fbQJYbBUHWXaOGZGZd1.exe
2016-02-10 07:03 - 2016-02-10 07:03 - 00133136 ___SH C:\Users\Aude\AppData\Roaming\eJLPgUPSSXbdcISPN
2016-02-10 07:03 - 2016-02-10 07:03 - 00061322 ___SH C:\Users\Aude\AppData\Roaming\IQXXgbHVHSQIORgGPaP.au3
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
et enfin :
Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
Bonjour, pourrais-tu faire de même pour moi ? le script fourni plus haut ne fonctionne pas pour mon cas.
FRST : http://pjjoint.malekal.com/files.php?id=FRST_20160405_e12f14q12u11q12
Addition : http://pjjoint.malekal.com/files.php?id=20160405_k8z12f13f9w10
Shortcut : http://pjjoint.malekal.com/files.php?id=20160405_b7e8w8x13q7
Merci !
FRST : http://pjjoint.malekal.com/files.php?id=FRST_20160405_e12f14q12u11q12
Addition : http://pjjoint.malekal.com/files.php?id=20160405_k8z12f13f9w10
Shortcut : http://pjjoint.malekal.com/files.php?id=20160405_b7e8w8x13q7
Merci !
Salut Mele-,
Comme dit plus bas, c'est cette campagne : https://www.malekal.com/nanocore-backdoor-noancooe-campagne/
Désinstalle DriversCloud.com
sert à rien.
1/
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
2/
Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
Comme dit plus bas, c'est cette campagne : https://www.malekal.com/nanocore-backdoor-noancooe-campagne/
Désinstalle DriversCloud.com
sert à rien.
1/
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
CloseProcesses:
Startup: C:\Users\alex\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Chrome2.bat [2015-12-15] ()
Startup: C:\Users\alex\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta [2016-02-02] ()
Startup: C:\Users\alex\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug.bat [2016-02-02] ()
Startup: C:\Users\alex\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug2.bat [2015-12-15] ()
2016-04-05 20:52 - 2016-04-05 20:52 - 00001245 _____ C:\Users\Public\HideDrop.exe
2016-04-05 20:51 - 2016-04-05 20:51 - 00430487 _____ C:\Users\Public\test.vbs
2016-04-05 20:51 - 2016-04-05 20:51 - 00000361 _____ C:\Users\Public\kill.vbs
EmptyTemp:
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
2/
Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
Désolé j'ai fait des modifs, j'ai plus qu'un problème que je ne règle pas : test.vbs
De nouveau les fichiers après que j'ai écrit moi-même un fixlist.txt et corrigé quelques uns des pb.
FRST : http://pjjoint.malekal.com/files.php?id=FRST_20160405_u12k15g5r15l8
Addition : http://pjjoint.malekal.com/files.php?id=20160405_b7u11r8p6d5
Shortcut : http://pjjoint.malekal.com/files.php?id=20160405_h10l1115e8n12
De plus, j'ai remarqué que les fichiers dans "quarantine" sont bloqués et non supprimés, et que si l'on supprime le contenu de quarantine, on débloque de nouveau les fichiers., N'y a t'il pas moyen de trouver l'exécutable qui recrée les scripts/exe lors du démarrage, et ainsi supprimer le pb à la source?
Si jamais il n'y a pas moyen de facilement se débarrasser définitivement du pb, je formaterai mon ordi ça ira plus vite.
Merci !
De nouveau les fichiers après que j'ai écrit moi-même un fixlist.txt et corrigé quelques uns des pb.
FRST : http://pjjoint.malekal.com/files.php?id=FRST_20160405_u12k15g5r15l8
Addition : http://pjjoint.malekal.com/files.php?id=20160405_b7u11r8p6d5
Shortcut : http://pjjoint.malekal.com/files.php?id=20160405_h10l1115e8n12
De plus, j'ai remarqué que les fichiers dans "quarantine" sont bloqués et non supprimés, et que si l'on supprime le contenu de quarantine, on débloque de nouveau les fichiers., N'y a t'il pas moyen de trouver l'exécutable qui recrée les scripts/exe lors du démarrage, et ainsi supprimer le pb à la source?
Si jamais il n'y a pas moyen de facilement se débarrasser définitivement du pb, je formaterai mon ordi ça ira plus vite.
Merci !
Merci pour le conseil Malekal_morte, je vais de suite désinstaller spybot.
Pour le fichier texte, voici son contenu :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:07-02-2016
Exécuté par Aude (2016-02-12 23:11:17) Run:1
Exécuté depuis C:\Users\Aude\Desktop
Profils chargés: Aude (Profils disponibles: Aude)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CloseProcesses:
HKU\S-1-5-21-713729226-2430769821-404048489-1001\...\RunOnce: [Microsoft Corporation fbQJYbBUHWXaOGZGZd] => C:\Users\Aude\AppData\Roaming\fbQJYbBUHWXaOGZGZd.exe C:\Users\Aude\AppData\Roaming\IQXXgbHVHSQIORgGPaP.au3
Startup: C:\Users\Aude\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Chrome2.bat [2016-01-10] ()
Startup: C:\Users\Aude\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta [2016-02-08] ()
Startup: C:\Users\Aude\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug2.bat [2016-01-10] ()
2016-02-10 17:24 - 2016-02-12 17:50 - 00000000 ____D C:\Users\Aude\AppData\Roaming\AE034D1F-1277-41CB-91EC-4C741D2CB840
2016-02-10 17:24 - 2016-02-10 17:24 - 00937776 ___SH (AutoIt Team) C:\Users\Aude\AppData\Roaming\fbQJYbBUHWXaOGZGZd1.exe
2016-02-10 07:03 - 2016-02-10 07:03 - 00133136 ___SH C:\Users\Aude\AppData\Roaming\eJLPgUPSSXbdcISPN
2016-02-10 07:03 - 2016-02-10 07:03 - 00061322 ___SH C:\Users\Aude\AppData\Roaming\IQXXgbHVHSQIORgGPaP.au3
Reboot:
Processus fermé avec succès.
HKU\S-1-5-21-713729226-2430769821-404048489-1001\Software\Microsoft\Windows\CurrentVersion\RunOnce\\Microsoft Corporation fbQJYbBUHWXaOGZGZd => valeur supprimé(es) avec succès
C:\Users\Aude\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Chrome2.bat => déplacé(es) avec succès
C:\Users\Aude\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta => déplacé(es) avec succès
C:\Users\Aude\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug2.bat => déplacé(es) avec succès
C:\Users\Aude\AppData\Roaming\AE034D1F-1277-41CB-91EC-4C741D2CB840 => déplacé(es) avec succès
C:\Users\Aude\AppData\Roaming\fbQJYbBUHWXaOGZGZd1.exe => déplacé(es) avec succès
C:\Users\Aude\AppData\Roaming\eJLPgUPSSXbdcISPN => déplacé(es) avec succès
C:\Users\Aude\AppData\Roaming\IQXXgbHVHSQIORgGPaP.au3 => déplacé(es) avec succès
Le système a dû redémarrer.
Pour le fichier texte, voici son contenu :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:07-02-2016
Exécuté par Aude (2016-02-12 23:11:17) Run:1
Exécuté depuis C:\Users\Aude\Desktop
Profils chargés: Aude (Profils disponibles: Aude)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CloseProcesses:
HKU\S-1-5-21-713729226-2430769821-404048489-1001\...\RunOnce: [Microsoft Corporation fbQJYbBUHWXaOGZGZd] => C:\Users\Aude\AppData\Roaming\fbQJYbBUHWXaOGZGZd.exe C:\Users\Aude\AppData\Roaming\IQXXgbHVHSQIORgGPaP.au3
Startup: C:\Users\Aude\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Chrome2.bat [2016-01-10] ()
Startup: C:\Users\Aude\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta [2016-02-08] ()
Startup: C:\Users\Aude\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug2.bat [2016-01-10] ()
2016-02-10 17:24 - 2016-02-12 17:50 - 00000000 ____D C:\Users\Aude\AppData\Roaming\AE034D1F-1277-41CB-91EC-4C741D2CB840
2016-02-10 17:24 - 2016-02-10 17:24 - 00937776 ___SH (AutoIt Team) C:\Users\Aude\AppData\Roaming\fbQJYbBUHWXaOGZGZd1.exe
2016-02-10 07:03 - 2016-02-10 07:03 - 00133136 ___SH C:\Users\Aude\AppData\Roaming\eJLPgUPSSXbdcISPN
2016-02-10 07:03 - 2016-02-10 07:03 - 00061322 ___SH C:\Users\Aude\AppData\Roaming\IQXXgbHVHSQIORgGPaP.au3
Reboot:
Processus fermé avec succès.
HKU\S-1-5-21-713729226-2430769821-404048489-1001\Software\Microsoft\Windows\CurrentVersion\RunOnce\\Microsoft Corporation fbQJYbBUHWXaOGZGZd => valeur supprimé(es) avec succès
C:\Users\Aude\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Chrome2.bat => déplacé(es) avec succès
C:\Users\Aude\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta => déplacé(es) avec succès
C:\Users\Aude\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug2.bat => déplacé(es) avec succès
C:\Users\Aude\AppData\Roaming\AE034D1F-1277-41CB-91EC-4C741D2CB840 => déplacé(es) avec succès
C:\Users\Aude\AppData\Roaming\fbQJYbBUHWXaOGZGZd1.exe => déplacé(es) avec succès
C:\Users\Aude\AppData\Roaming\eJLPgUPSSXbdcISPN => déplacé(es) avec succès
C:\Users\Aude\AppData\Roaming\IQXXgbHVHSQIORgGPaP.au3 => déplacé(es) avec succès
Le système a dû redémarrer.
Fin de Fixlog 23:11:17
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Faire attention à ce que tu télécharges =)
Renforce la sécurité de ton Windows : Comment sécuriser mon Windows
Renforce la sécurité de ton Windows : Comment sécuriser mon Windows
Un second sujet avec ce trojan Nanobot / NanCore.
Si tu as une idée comment tu l'as choppé, ça m'interresse.
Si tu as une idée comment tu l'as choppé, ça m'interresse.
Encore d'autres cas, j'ai publié cette actualité : Trojan NanoCore / Backdoor:MSIL/Noancooe : Exemple d’une Campagne.
