Trojan Nanocore / Noancooe : Erreur ouverture session
Résolu
Eliandar01
Messages postés
4
Date d'inscription
Statut
Membre
Dernière intervention
-
Eliandar01 Messages postés 4 Date d'inscription Statut Membre Dernière intervention -
Eliandar01 Messages postés 4 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
Depuis quelques jours, j'ai une fenêtre qui s'ouvre au démarrage de ma session.
Voici une lien menant à une capture d'écran : http://www.hostingpics.net/viewer.php?id=533777anomalieouverturesession.jpg
J'ai effectué un scanne avec AdwCleanner, mais rien de concluant :
# AdwCleaner v5.033 - Rapport créé le 15/02/2016 à 22:49:04
# Mis à jour le 07/02/2016 par Xplode
# Base de données : 2016-02-15.1 [Serveur]
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (x64)
# Nom d'utilisateur : Papa - FAMILLE-PC
# Exécuté depuis : E:\Fichier installation\adwcleaner_5.033.exe
# Option : Scanner
# Support : https://toolslib.net/forum
########## EOF - C:\AdwCleaner\AdwCleaner[S4].txt - [640 octets] ##########
J'ai lancé FRST afin d'obtenir les rapport. Les voici :
https://pjjoint.malekal.com/files.php?id=FRST_20160215_c15w10u5b12v8
https://pjjoint.malekal.com/files.php?id=20160215_x13z5h8k9p12
https://pjjoint.malekal.com/files.php?id=20160215_f15t9r13s10v5
En espérant que quelqu'un puisse trouver une solution à mon problème.
Merci d'avance.
Depuis quelques jours, j'ai une fenêtre qui s'ouvre au démarrage de ma session.
Voici une lien menant à une capture d'écran : http://www.hostingpics.net/viewer.php?id=533777anomalieouverturesession.jpg
J'ai effectué un scanne avec AdwCleanner, mais rien de concluant :
# AdwCleaner v5.033 - Rapport créé le 15/02/2016 à 22:49:04
# Mis à jour le 07/02/2016 par Xplode
# Base de données : 2016-02-15.1 [Serveur]
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (x64)
# Nom d'utilisateur : Papa - FAMILLE-PC
# Exécuté depuis : E:\Fichier installation\adwcleaner_5.033.exe
# Option : Scanner
# Support : https://toolslib.net/forum
- [ Services ] *****
- [ Dossiers ] *****
- [ Fichiers ] *****
- [ DLL ] *****
- [ Raccourcis ] *****
- [ Tâches planifiées ] *****
- [ Registre ] *****
- [ Navigateurs ] *****
########## EOF - C:\AdwCleaner\AdwCleaner[S4].txt - [640 octets] ##########
J'ai lancé FRST afin d'obtenir les rapport. Les voici :
https://pjjoint.malekal.com/files.php?id=FRST_20160215_c15w10u5b12v8
https://pjjoint.malekal.com/files.php?id=20160215_x13z5h8k9p12
https://pjjoint.malekal.com/files.php?id=20160215_f15t9r13s10v5
En espérant que quelqu'un puisse trouver une solution à mon problème.
Merci d'avance.
A voir également:
- Trojan Nanocore / Noancooe : Erreur ouverture session
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Trojan agent ✓ - Forum Virus
- Trojan sms-par google ✓ - Forum Virus
- Csrss.exe trojan - Forum Virus
- Csrss.exe : processus suspect/virus ? - Forum Virus
5 réponses
Salut,
C'est un RAT (Remote Access Tools), je regarde les rapports.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
C'est un RAT (Remote Access Tools), je regarde les rapports.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Fais ces deux choses :
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Startup: C:\Users\Papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta [2016-02-13] ()
Startup: C:\Users\Papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug.bat [2016-02-13] ()
2016-02-14 19:01 - 2016-02-15 22:27 - 00430527 _____ C:\Users\Public\test.vbs
2016-02-14 19:01 - 2016-02-15 22:27 - 00000361 _____ C:\Users\Public\kill.vbs
2016-02-14 19:01 - 2016-02-15 22:27 - 00000000 _____ C:\Users\Public\EasyComm.exe
2012-12-04 22:15 - 2015-03-09 07:52 - 0000340 _____ () C:\Users\Papa\AppData\Local\HackLogs.dat
2015-01-13 00:40 - 2015-01-13 00:40 - 0000001 _____ () C:\Users\Papa\AppData\Local\llftool.4.40.agreement
2012-12-04 22:14 - 2015-03-09 08:18 - 0000700 ___SH () C:\Users\Papa\AppData\Local\systemFL7.dat
2015-03-09 08:21 - 2015-03-09 08:22 - 0001906 ___SH () C:\Users\Papa\AppData\Local\win_fldb_sys.dat
2012-12-04 22:16 - 2015-03-09 07:55 - 0000000 ___SH () C:\Users\Papa\AppData\Local\win_lockerdb_sys.dat
2012-12-04 22:13 - 2015-03-09 08:23 - 0003465 ___SH () C:\Users\Papa\AppData\Local\win_stlthdb_sys.dat
2012-12-04 22:15 - 2012-12-04 22:15 - 0002568 ___SH () C:\ProgramData\win_mpwd_sys.dat
C:\ProgramData\win_mpwd_sys.dat
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
Voici le rapport après correction :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:07-02-2016
Exécuté par Papa (2016-02-16 02:24:40) Run:1
Exécuté depuis C:\Users\Papa\Desktop
Profils chargés: Papa (Profils disponibles: Papa & UpdatusUser & Maman & Invité)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
*
Startup: C:\Users\Papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta [2016-02-13] ()
Startup: C:\Users\Papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug.bat [2016-02-13] ()
2016-02-14 19:01 - 2016-02-15 22:27 - 00430527 _____ C:\Users\Public\test.vbs
2016-02-14 19:01 - 2016-02-15 22:27 - 00000361 _____ C:\Users\Public\kill.vbs
2016-02-14 19:01 - 2016-02-15 22:27 - 00000000 _____ C:\Users\Public\EasyComm.exe
2012-12-04 22:15 - 2015-03-09 07:52 - 0000340 _____ () C:\Users\Papa\AppData\Local\HackLogs.dat
2015-01-13 00:40 - 2015-01-13 00:40 - 0000001 _____ () C:\Users\Papa\AppData\Local\llftool.4.40.agreement
2012-12-04 22:14 - 2015-03-09 08:18 - 0000700 ___SH () C:\Users\Papa\AppData\Local\systemFL7.dat
2015-03-09 08:21 - 2015-03-09 08:22 - 0001906 ___SH () C:\Users\Papa\AppData\Local\win_fldb_sys.dat
2012-12-04 22:16 - 2015-03-09 07:55 - 0000000 ___SH () C:\Users\Papa\AppData\Local\win_lockerdb_sys.dat
2012-12-04 22:13 - 2015-03-09 08:23 - 0003465 ___SH () C:\Users\Papa\AppData\Local\win_stlthdb_sys.dat
2012-12-04 22:15 - 2012-12-04 22:15 - 0002568 ___SH () C:\ProgramData\win_mpwd_sys.dat
C:\ProgramData\win_mpwd_sys.dat
*
C:\Users\Papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta => déplacé(es) avec succès
C:\Users\Papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug.bat => déplacé(es) avec succès
C:\Users\Public\test.vbs => déplacé(es) avec succès
C:\Users\Public\kill.vbs => déplacé(es) avec succès
C:\Users\Public\EasyComm.exe => déplacé(es) avec succès
C:\Users\Papa\AppData\Local\HackLogs.dat => déplacé(es) avec succès
C:\Users\Papa\AppData\Local\llftool.4.40.agreement => déplacé(es) avec succès
C:\Users\Papa\AppData\Local\systemFL7.dat => déplacé(es) avec succès
C:\Users\Papa\AppData\Local\win_fldb_sys.dat => déplacé(es) avec succès
C:\Users\Papa\AppData\Local\win_lockerdb_sys.dat => déplacé(es) avec succès
C:\Users\Papa\AppData\Local\win_stlthdb_sys.dat => déplacé(es) avec succès
C:\ProgramData\win_mpwd_sys.dat => déplacé(es) avec succès
"C:\ProgramData\win_mpwd_sys.dat" => non trouvé(e).
Fichier "Quarantine.zip" uploadé avec succès.
Au redémarrage de la session, plus de fenêtre apparente, donc visiblement cela est un succès :) .
J'espère que le problème ne se renouvellera pas ( me semble pas avoir installer de logiciel bizarre ou avec accédé à des sites bizarres ).
En tout cas, merci de votre aide, qui plus est rapide :).
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:07-02-2016
Exécuté par Papa (2016-02-16 02:24:40) Run:1
Exécuté depuis C:\Users\Papa\Desktop
Profils chargés: Papa (Profils disponibles: Papa & UpdatusUser & Maman & Invité)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
*
Startup: C:\Users\Papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta [2016-02-13] ()
Startup: C:\Users\Papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug.bat [2016-02-13] ()
2016-02-14 19:01 - 2016-02-15 22:27 - 00430527 _____ C:\Users\Public\test.vbs
2016-02-14 19:01 - 2016-02-15 22:27 - 00000361 _____ C:\Users\Public\kill.vbs
2016-02-14 19:01 - 2016-02-15 22:27 - 00000000 _____ C:\Users\Public\EasyComm.exe
2012-12-04 22:15 - 2015-03-09 07:52 - 0000340 _____ () C:\Users\Papa\AppData\Local\HackLogs.dat
2015-01-13 00:40 - 2015-01-13 00:40 - 0000001 _____ () C:\Users\Papa\AppData\Local\llftool.4.40.agreement
2012-12-04 22:14 - 2015-03-09 08:18 - 0000700 ___SH () C:\Users\Papa\AppData\Local\systemFL7.dat
2015-03-09 08:21 - 2015-03-09 08:22 - 0001906 ___SH () C:\Users\Papa\AppData\Local\win_fldb_sys.dat
2012-12-04 22:16 - 2015-03-09 07:55 - 0000000 ___SH () C:\Users\Papa\AppData\Local\win_lockerdb_sys.dat
2012-12-04 22:13 - 2015-03-09 08:23 - 0003465 ___SH () C:\Users\Papa\AppData\Local\win_stlthdb_sys.dat
2012-12-04 22:15 - 2012-12-04 22:15 - 0002568 ___SH () C:\ProgramData\win_mpwd_sys.dat
C:\ProgramData\win_mpwd_sys.dat
*
C:\Users\Papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta => déplacé(es) avec succès
C:\Users\Papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug.bat => déplacé(es) avec succès
C:\Users\Public\test.vbs => déplacé(es) avec succès
C:\Users\Public\kill.vbs => déplacé(es) avec succès
C:\Users\Public\EasyComm.exe => déplacé(es) avec succès
C:\Users\Papa\AppData\Local\HackLogs.dat => déplacé(es) avec succès
C:\Users\Papa\AppData\Local\llftool.4.40.agreement => déplacé(es) avec succès
C:\Users\Papa\AppData\Local\systemFL7.dat => déplacé(es) avec succès
C:\Users\Papa\AppData\Local\win_fldb_sys.dat => déplacé(es) avec succès
C:\Users\Papa\AppData\Local\win_lockerdb_sys.dat => déplacé(es) avec succès
C:\Users\Papa\AppData\Local\win_stlthdb_sys.dat => déplacé(es) avec succès
C:\ProgramData\win_mpwd_sys.dat => déplacé(es) avec succès
"C:\ProgramData\win_mpwd_sys.dat" => non trouvé(e).
Fichier "Quarantine.zip" uploadé avec succès.
Au redémarrage de la session, plus de fenêtre apparente, donc visiblement cela est un succès :) .
J'espère que le problème ne se renouvellera pas ( me semble pas avoir installer de logiciel bizarre ou avec accédé à des sites bizarres ).
En tout cas, merci de votre aide, qui plus est rapide :).
Fais un scan avec tes antivirus.
Change tous tes mots de passe.
Renforce la sécurité de ton Windows : Comment sécuriser mon Windows
Change tous tes mots de passe.
Renforce la sécurité de ton Windows : Comment sécuriser mon Windows
Encore d'autres cas, j'ai publié cette actualité : Trojan NanoCore / Backdoor:MSIL/Noancooe : Exemple d’une Campagne.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question