DragonUp.exe : Trojan Nanocore
Résolu/Fermé
RibWund
-
Modifié par Malekal_morte- le 31/03/2016 à 22:09
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 3 avril 2016 à 22:54
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 3 avril 2016 à 22:54
6 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
31 mars 2016 à 21:44
31 mars 2016 à 21:44
Salut,
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Merci pour votre réponse. Voici les liens demandés (First + Addition + Shortcut)
http://pjjoint.malekal.com/files.php?id=FRST_20160331_f6h9e5d13p15
http://pjjoint.malekal.com/files.php?id=20160331_l8o6s11y8p5
http://pjjoint.malekal.com/files.php?id=20160331_d6x14n10d12u9
Merci d'avance
http://pjjoint.malekal.com/files.php?id=FRST_20160331_f6h9e5d13p15
http://pjjoint.malekal.com/files.php?id=20160331_l8o6s11y8p5
http://pjjoint.malekal.com/files.php?id=20160331_d6x14n10d12u9
Merci d'avance
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
Modifié par Malekal_morte- le 31/03/2016 à 22:08
Modifié par Malekal_morte- le 31/03/2016 à 22:08
C'est cette campagne du RAT Nanocore : https://www.malekal.com/nanocore-backdoor-noancooe-campagne/
Fais ces étapes.
1/
Ton problème vient du fait que tu as un vieille version de TeamSpeak qui permet d'infecter ton ordinateur :
TeamSpeak 3 Client (HKLM-x32\...\TeamSpeak 3 Client) (Version: 3.0.16 - TeamSpeak Systems GmbH)
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
2/
Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
Veuillez appuyer sur une touche pour continuer la désinfection...
Fais ces étapes.
1/
Ton problème vient du fait que tu as un vieille version de TeamSpeak qui permet d'infecter ton ordinateur :
TeamSpeak 3 Client (HKLM-x32\...\TeamSpeak 3 Client) (Version: 3.0.16 - TeamSpeak Systems GmbH)
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Startup: C:\Users\U\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Chrome2.bat [2015-11-19] ()
Startup: C:\Users\U\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta [2016-01-27] ()
Startup: C:\Users\U\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug.bat [2016-01-27] ()
Startup: C:\Users\U\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug2.bat [2015-11-19] ()
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
2/
Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
Veuillez appuyer sur une touche pour continuer la désinfection...
Voila le message après la première opération :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:05-03-2016 01
Exécuté par U (2016-03-31 22:12:41) Run:1
Exécuté depuis C:\Users\U\Desktop
Profils chargés: U (Profils disponibles: U)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
Startup: C:\Users\U\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Chrome2.bat [2015-11-19] ()
Startup: C:\Users\U\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta [2016-01-27] ()
Startup: C:\Users\U\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug.bat [2016-01-27] ()
Startup: C:\Users\U\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug2.bat [2015-11-19] ()
C:\Users\U\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Chrome2.bat => déplacé(es) avec succès
C:\Users\U\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta => déplacé(es) avec succès
C:\Users\U\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug.bat => déplacé(es) avec succès
C:\Users\U\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug2.bat => déplacé(es) avec succès
Merci
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:05-03-2016 01
Exécuté par U (2016-03-31 22:12:41) Run:1
Exécuté depuis C:\Users\U\Desktop
Profils chargés: U (Profils disponibles: U)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
Startup: C:\Users\U\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Chrome2.bat [2015-11-19] ()
Startup: C:\Users\U\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta [2016-01-27] ()
Startup: C:\Users\U\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug.bat [2016-01-27] ()
Startup: C:\Users\U\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug2.bat [2015-11-19] ()
C:\Users\U\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Chrome2.bat => déplacé(es) avec succès
C:\Users\U\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta => déplacé(es) avec succès
C:\Users\U\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug.bat => déplacé(es) avec succès
C:\Users\U\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug2.bat => déplacé(es) avec succès
Fin de Fixlog 22:12:41
Je commence la deuxième étape de suite.Merci
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Deuxième étape terminée. Après redémarrage, plus de message d'alerte.
Je ne peux que vous remercier de votre diligence.
Juste quelques questions :
- je dois faire la mise à la mise à jour TeamSpeack au plus vite ?
- Le problème de changement de police se manifeste toujours.
- Puis-je éditer la réponse avec les rapports (présence de donnée perso après relecture) ?
Merci
Je ne peux que vous remercier de votre diligence.
Juste quelques questions :
- je dois faire la mise à la mise à jour TeamSpeack au plus vite ?
- Le problème de changement de police se manifeste toujours.
- Puis-je éditer la réponse avec les rapports (présence de donnée perso après relecture) ?
Merci
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
31 mars 2016 à 22:26
31 mars 2016 à 22:26
oui fais au plus vite et change aussi tous tes mots de passe, ils peuvent avoir été volés.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
>
RibWund
31 mars 2016 à 22:36
31 mars 2016 à 22:36
si le malware a été exécuté, oui le risque est réel.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
>
RibWund
Modifié par Malekal_morte- le 1/04/2016 à 14:15
Modifié par Malekal_morte- le 1/04/2016 à 14:15
Tente de réparer manuellement Firefox : Réinitialiser et réparer Mozilla Firefox