Trojan Nanocore / Noancooe : Erreur ouverture session
Résolu/Fermé
Eliandar01
Messages postés
4
Date d'inscription
lundi 15 février 2016
Statut
Membre
Dernière intervention
17 février 2016
-
15 févr. 2016 à 22:52
Eliandar01 Messages postés 4 Date d'inscription lundi 15 février 2016 Statut Membre Dernière intervention 17 février 2016 - 17 févr. 2016 à 11:50
Eliandar01 Messages postés 4 Date d'inscription lundi 15 février 2016 Statut Membre Dernière intervention 17 février 2016 - 17 févr. 2016 à 11:50
A voir également:
- Trojan Nanocore / Noancooe : Erreur ouverture session
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Trojan al11 - Forum Virus
- Csrss.exe trojan - Forum Virus
- Comment supprimer csrss.exe? ✓ - Forum Virus
- Trojan b901 ✓ - Forum Virus
5 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
Modifié par Malekal_morte- le 15/02/2016 à 23:02
Modifié par Malekal_morte- le 15/02/2016 à 23:02
Salut,
C'est un RAT (Remote Access Tools), je regarde les rapports.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
C'est un RAT (Remote Access Tools), je regarde les rapports.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
15 févr. 2016 à 23:03
15 févr. 2016 à 23:03
Fais ces deux choses :
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Startup: C:\Users\Papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta [2016-02-13] ()
Startup: C:\Users\Papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug.bat [2016-02-13] ()
2016-02-14 19:01 - 2016-02-15 22:27 - 00430527 _____ C:\Users\Public\test.vbs
2016-02-14 19:01 - 2016-02-15 22:27 - 00000361 _____ C:\Users\Public\kill.vbs
2016-02-14 19:01 - 2016-02-15 22:27 - 00000000 _____ C:\Users\Public\EasyComm.exe
2012-12-04 22:15 - 2015-03-09 07:52 - 0000340 _____ () C:\Users\Papa\AppData\Local\HackLogs.dat
2015-01-13 00:40 - 2015-01-13 00:40 - 0000001 _____ () C:\Users\Papa\AppData\Local\llftool.4.40.agreement
2012-12-04 22:14 - 2015-03-09 08:18 - 0000700 ___SH () C:\Users\Papa\AppData\Local\systemFL7.dat
2015-03-09 08:21 - 2015-03-09 08:22 - 0001906 ___SH () C:\Users\Papa\AppData\Local\win_fldb_sys.dat
2012-12-04 22:16 - 2015-03-09 07:55 - 0000000 ___SH () C:\Users\Papa\AppData\Local\win_lockerdb_sys.dat
2012-12-04 22:13 - 2015-03-09 08:23 - 0003465 ___SH () C:\Users\Papa\AppData\Local\win_stlthdb_sys.dat
2012-12-04 22:15 - 2012-12-04 22:15 - 0002568 ___SH () C:\ProgramData\win_mpwd_sys.dat
C:\ProgramData\win_mpwd_sys.dat
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
Eliandar01
Messages postés
4
Date d'inscription
lundi 15 février 2016
Statut
Membre
Dernière intervention
17 février 2016
Modifié par Eliandar01 le 16/02/2016 à 02:32
Modifié par Eliandar01 le 16/02/2016 à 02:32
Voici le rapport après correction :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:07-02-2016
Exécuté par Papa (2016-02-16 02:24:40) Run:1
Exécuté depuis C:\Users\Papa\Desktop
Profils chargés: Papa (Profils disponibles: Papa & UpdatusUser & Maman & Invité)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
*
Startup: C:\Users\Papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta [2016-02-13] ()
Startup: C:\Users\Papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug.bat [2016-02-13] ()
2016-02-14 19:01 - 2016-02-15 22:27 - 00430527 _____ C:\Users\Public\test.vbs
2016-02-14 19:01 - 2016-02-15 22:27 - 00000361 _____ C:\Users\Public\kill.vbs
2016-02-14 19:01 - 2016-02-15 22:27 - 00000000 _____ C:\Users\Public\EasyComm.exe
2012-12-04 22:15 - 2015-03-09 07:52 - 0000340 _____ () C:\Users\Papa\AppData\Local\HackLogs.dat
2015-01-13 00:40 - 2015-01-13 00:40 - 0000001 _____ () C:\Users\Papa\AppData\Local\llftool.4.40.agreement
2012-12-04 22:14 - 2015-03-09 08:18 - 0000700 ___SH () C:\Users\Papa\AppData\Local\systemFL7.dat
2015-03-09 08:21 - 2015-03-09 08:22 - 0001906 ___SH () C:\Users\Papa\AppData\Local\win_fldb_sys.dat
2012-12-04 22:16 - 2015-03-09 07:55 - 0000000 ___SH () C:\Users\Papa\AppData\Local\win_lockerdb_sys.dat
2012-12-04 22:13 - 2015-03-09 08:23 - 0003465 ___SH () C:\Users\Papa\AppData\Local\win_stlthdb_sys.dat
2012-12-04 22:15 - 2012-12-04 22:15 - 0002568 ___SH () C:\ProgramData\win_mpwd_sys.dat
C:\ProgramData\win_mpwd_sys.dat
*
C:\Users\Papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta => déplacé(es) avec succès
C:\Users\Papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug.bat => déplacé(es) avec succès
C:\Users\Public\test.vbs => déplacé(es) avec succès
C:\Users\Public\kill.vbs => déplacé(es) avec succès
C:\Users\Public\EasyComm.exe => déplacé(es) avec succès
C:\Users\Papa\AppData\Local\HackLogs.dat => déplacé(es) avec succès
C:\Users\Papa\AppData\Local\llftool.4.40.agreement => déplacé(es) avec succès
C:\Users\Papa\AppData\Local\systemFL7.dat => déplacé(es) avec succès
C:\Users\Papa\AppData\Local\win_fldb_sys.dat => déplacé(es) avec succès
C:\Users\Papa\AppData\Local\win_lockerdb_sys.dat => déplacé(es) avec succès
C:\Users\Papa\AppData\Local\win_stlthdb_sys.dat => déplacé(es) avec succès
C:\ProgramData\win_mpwd_sys.dat => déplacé(es) avec succès
"C:\ProgramData\win_mpwd_sys.dat" => non trouvé(e).
Fichier "Quarantine.zip" uploadé avec succès.
Au redémarrage de la session, plus de fenêtre apparente, donc visiblement cela est un succès :) .
J'espère que le problème ne se renouvellera pas ( me semble pas avoir installer de logiciel bizarre ou avec accédé à des sites bizarres ).
En tout cas, merci de votre aide, qui plus est rapide :).
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:07-02-2016
Exécuté par Papa (2016-02-16 02:24:40) Run:1
Exécuté depuis C:\Users\Papa\Desktop
Profils chargés: Papa (Profils disponibles: Papa & UpdatusUser & Maman & Invité)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
*
Startup: C:\Users\Papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta [2016-02-13] ()
Startup: C:\Users\Papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug.bat [2016-02-13] ()
2016-02-14 19:01 - 2016-02-15 22:27 - 00430527 _____ C:\Users\Public\test.vbs
2016-02-14 19:01 - 2016-02-15 22:27 - 00000361 _____ C:\Users\Public\kill.vbs
2016-02-14 19:01 - 2016-02-15 22:27 - 00000000 _____ C:\Users\Public\EasyComm.exe
2012-12-04 22:15 - 2015-03-09 07:52 - 0000340 _____ () C:\Users\Papa\AppData\Local\HackLogs.dat
2015-01-13 00:40 - 2015-01-13 00:40 - 0000001 _____ () C:\Users\Papa\AppData\Local\llftool.4.40.agreement
2012-12-04 22:14 - 2015-03-09 08:18 - 0000700 ___SH () C:\Users\Papa\AppData\Local\systemFL7.dat
2015-03-09 08:21 - 2015-03-09 08:22 - 0001906 ___SH () C:\Users\Papa\AppData\Local\win_fldb_sys.dat
2012-12-04 22:16 - 2015-03-09 07:55 - 0000000 ___SH () C:\Users\Papa\AppData\Local\win_lockerdb_sys.dat
2012-12-04 22:13 - 2015-03-09 08:23 - 0003465 ___SH () C:\Users\Papa\AppData\Local\win_stlthdb_sys.dat
2012-12-04 22:15 - 2012-12-04 22:15 - 0002568 ___SH () C:\ProgramData\win_mpwd_sys.dat
C:\ProgramData\win_mpwd_sys.dat
*
C:\Users\Papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta => déplacé(es) avec succès
C:\Users\Papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug.bat => déplacé(es) avec succès
C:\Users\Public\test.vbs => déplacé(es) avec succès
C:\Users\Public\kill.vbs => déplacé(es) avec succès
C:\Users\Public\EasyComm.exe => déplacé(es) avec succès
C:\Users\Papa\AppData\Local\HackLogs.dat => déplacé(es) avec succès
C:\Users\Papa\AppData\Local\llftool.4.40.agreement => déplacé(es) avec succès
C:\Users\Papa\AppData\Local\systemFL7.dat => déplacé(es) avec succès
C:\Users\Papa\AppData\Local\win_fldb_sys.dat => déplacé(es) avec succès
C:\Users\Papa\AppData\Local\win_lockerdb_sys.dat => déplacé(es) avec succès
C:\Users\Papa\AppData\Local\win_stlthdb_sys.dat => déplacé(es) avec succès
C:\ProgramData\win_mpwd_sys.dat => déplacé(es) avec succès
"C:\ProgramData\win_mpwd_sys.dat" => non trouvé(e).
Fichier "Quarantine.zip" uploadé avec succès.
Au redémarrage de la session, plus de fenêtre apparente, donc visiblement cela est un succès :) .
J'espère que le problème ne se renouvellera pas ( me semble pas avoir installer de logiciel bizarre ou avec accédé à des sites bizarres ).
En tout cas, merci de votre aide, qui plus est rapide :).
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
16 févr. 2016 à 07:24
16 févr. 2016 à 07:24
Fais un scan avec tes antivirus.
Change tous tes mots de passe.
Renforce la sécurité de ton Windows : Comment sécuriser mon Windows
Change tous tes mots de passe.
Renforce la sécurité de ton Windows : Comment sécuriser mon Windows
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
16 févr. 2016 à 08:33
16 févr. 2016 à 08:33
Encore d'autres cas, j'ai publié cette actualité : Trojan NanoCore / Backdoor:MSIL/Noancooe : Exemple d’une Campagne.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Eliandar01
Messages postés
4
Date d'inscription
lundi 15 février 2016
Statut
Membre
Dernière intervention
17 février 2016
16 févr. 2016 à 23:09
16 févr. 2016 à 23:09
Merci de vos précision.
J'ai lu votre article sur le phénomène, et je vous apporte quelques informations.
Ces derniers jours, j'ai utilisé à plusieurs reprise TeamSpeak 3 ( version antérieur à la 3.0.18.2 ), et steam ( jeu Dying Light en coop ).
J'ai depuis mis à jour TeamSpeak au cas où.
J'ai lu votre article sur le phénomène, et je vous apporte quelques informations.
Ces derniers jours, j'ai utilisé à plusieurs reprise TeamSpeak 3 ( version antérieur à la 3.0.18.2 ), et steam ( jeu Dying Light en coop ).
J'ai depuis mis à jour TeamSpeak au cas où.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
17 févr. 2016 à 08:14
17 févr. 2016 à 08:14
Sais-tu sur quel channel, tu es allé avec TeamSpeak ?
Eliandar01
Messages postés
4
Date d'inscription
lundi 15 février 2016
Statut
Membre
Dernière intervention
17 février 2016
17 févr. 2016 à 11:50
17 févr. 2016 à 11:50
Je vous envoie l'adresse par messagerie privée.