Des dossiers nsxxxxx.tmp apparaissent sans cesse dans %LOCALAPPDATA%\Temp et contiennent shangri.exe que McAfee isole ? Voici une méthode claire pour diagnostiquer, supprimer l’infection et sécuriser durablement un PC Windows.
Symptômes et constat initial
- Création récurrente (environ chaque minute) de sous‑dossiers
nsxxxxx.tmpdansC:\Users\<USER>\AppData\Local\Temp. - Présence d’un exécutable
shangri.exedans chaque dossier éphémère, immédiatement placé en quarantaine par l’antivirus. - Parfois, utilisation anormale du réseau, du CPU ou pics d’E/S disque au moment de la création du fichier.
C:\Users\%USERNAME%\AppData\Local\Temp\nsA1B2C.tmp\shangri.exe
C:\Users\%USERNAME%\AppData\Local\Temp\nsX9Y8Z.tmp\shangri.exe
Exemples de chemins observés (les suffixes aléatoires varient).
Ce que révèle l’analyse
L’investigation a suivi un déroulé éprouvé, centré sur les journaux produits par Farbar Recovery Scan Tool (FRST).
Collecte de journaux
FRST a été exécuté pour générer les deux rapports standard FRST.txt et Addition.txt. Ces rapports listent, entre autres, les programmes au démarrage, tâches planifiées, services, pilotes, modules navigateur et éléments persistants.
Identification de la menace
La corrélation des entrées a mis en évidence des traces de NetSupport Manager (outil d’accès à distance légitime, fréquemment détourné) et un binaire cheval de Troie générique compilé en Go (shangri.exe) déployé dans des dossiers temporaires de type nsxxxxx.tmp.
Évaluation des risques
- Exécution d’autres malwares depuis le poste compromis (dropper/loader).
- Vol de mots de passe (navigateurs, clients mail, coffres locaux).
- Surveillance (prise de contrôle, enregistrement d’écran et de frappe) via un accès à distance clandestin.
Pourquoi ces dossiers « nsxxxxx.tmp » apparaissent‑ils ?
De nombreux installeurs et packers utilisent un mécanisme d’extraction temporaire qui crée des répertoires commençant par ns. Des acteurs malveillants réemploient ce même schéma : un dropper extrait ses composants dans %TEMP%, les lance, puis régénère ces dossiers pour persister et contourner la quarantaine. La réapparition régulière indique généralement un mécanisme de persistance (tâche planifiée, clé Run, service, WMI event consumer ou script AutoRun) qui relance le binaire malgré l’action de l’antivirus.
Procédure de remédiation validée
| Étape | Action | Résultat attendu |
|---|---|---|
| Préparation | Déconnecter temporairement le PC d’Internet si une prise de contrôle est suspectée. Fermer les applications actives, sauvegarder les documents ouverts. Ouvrir une session avec un compte disposant des droits administrateur. | Contexte stable avant nettoyage |
| 1 | Création d’un Fixlist.txt spécifique (par un expert) listant tous les fichiers, DLL, tâches, services et clés de registre liés à NetSupport détourné et à shangri.exe. | Préparation du nettoyage automatique |
| 2 | Exécution de FRST → bouton Fix. FRST applique le script, supprime les éléments détectés, puis redémarre le PC si nécessaire. | Suppression de NetSupport abusif, de shangri.exe et des résidus dans Temp |
| 3 | Contrôle du fichier Fixlog.txt généré par FRST. | Validation que chaque entrée prévue a été traitée |
| 4 | Observation post‑nettoyage : surveillance du dossier %LOCALAPPDATA%\Temp pendant 10–15 minutes. | Absence de nouveaux nsxxxxx.tmp et de shangri.exe |
| 5 | Mesures post‑incident : changer les mots de passe sensibles, activer la MFA, mettre à jour Windows et la sécurité, lancer un scan antivirus complet, désinstaller FRST (renommer en uninstall.exe, exécuter, redémarrer). | Réduction du risque résiduel |
Important : FRST est un outil puissant. Un Fixlist.txt inadapté peut supprimer des composants légitimes. Faites valider le script par un spécialiste et exécutez‑le uniquement depuis une source de confiance.
Contrôles de sécurité après redémarrage
- Vérifier qu’aucun dossier
ns*.tmpne réapparaît dans%LOCALAPPDATA%\Temp. - Ouvrir le Planificateur de tâches et inspecter les tâches récentes/« à la demande » inconnues.
- Contrôler les clés Run (HKCU et HKLM) et les services nouvellement installés.
- Regarder l’onglet « Démarrage » du Gestionnaire des tâches pour tout élément suspect.
Informations complémentaires utiles
- NetSupport Manager est un produit légitime ; il devient problématique s’il a été installé sans consentement ou à des fins malveillantes.
- Un Fix FRST très rapide (parfois « en une seconde ») est normal quand la liste d’éléments est courte ou déjà supprimée.
- Pour prévenir les ré‑infections : limiter les privilèges, surveiller les tâches planifiées/services inconnus et maintenir une stratégie de sauvegarde hors ligne.
Différencier NetSupport légitime d’un abus malveillant
| Critère | Légitime | Abusif / Suspect |
|---|---|---|
| Emplacement des fichiers | %ProgramFiles%\NetSupport Manager (ou répertoire d’entreprise documenté) | %TEMP%, %APPDATA%, répertoires à noms aléatoires |
| Signature numérique | Certificat valide de l’éditeur | Non signé, signature absente/invalide/incohérente |
| Visibilité | Présent dans « Programmes et fonctionnalités », politique IT connue | Invisible pour l’utilisateur, aucune demande d’autorisation |
| Comportement | Accès à distance planifié, adresses réseau internes | Connexions sortantes non reconnues, usage réseau anormal |
Indicateurs de compromission typiques
Les noms exacts varient, mais les schémas ci‑dessous sont fréquemment observés lorsqu’un accès à distance est détourné et qu’un Trojan déploie des charges dans Temp.
| Type | Exemple | Commentaire |
|---|---|---|
| Fichiers | %LOCALAPPDATA%\Temp\ns*.tmp\shangri.exe | Binaire éphémère régénéré par un loader |
| Tâches planifiées | Noms d’apparence système (p.ex. Update_Svc, WinSrvTask) pointant vers %TEMP% | Création à cadence régulière |
| Clés Run | HKCU\Software\Microsoft\Windows\CurrentVersion\Run\<random> | Chemins vers %APPDATA%/%TEMP% |
| Services | Service non signé démarrant automatiquement | Nom proche d’un service Windows légitime |
| Processus | shangri.exe lancé depuis un dossier ns*.tmp | Réapparaît après suppression |
Guide pas à pas pour valider l’éradication
Observation du dossier Temp
PowerShell
# Lister les 20 derniers dossiers ns*.tmp modifiés
Get-ChildItem "$env:LOCALAPPDATA\Temp" -Directory -Filter "ns*.tmp" |
Sort-Object LastWriteTime -Descending | Select-Object -First 20 |
Format-Table Name, LastWriteTime
Recherche de tâches planifiées suspectes
PowerShell
Get-ScheduledTask | Where-Object {
$_.TaskName -match "Update|Svc|Win|Net|Temp|ns" -or $_.TaskPath -match "Microsoft\\Windows"
} | Select-Object TaskName, TaskPath, State
Contrôle des clés Run
cmd
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Empreinte du binaire si encore présent
PowerShell
Get-FileHash "$env:LOCALAPPDATA\Temp\<dossier ns>\shangri.exe" -Algorithm SHA256
Conseils de durcissement post‑incident
- Mots de passe & MFA : changer tous les secrets sensibles (email, banque, boutiques en ligne, VPN) et activer l’authentification multifacteur.
- Mises à jour : Windows, pilotes, navigateur et solutions de sécurité à jour.
- Restriction des privilèges : travailler au quotidien sous compte standard ; réserver l’administrateur aux opérations dédiées.
- Blocage applicatif : envisager AppLocker/WDAC pour empêcher l’exécution depuis
%TEMP%et%APPDATA%. - Sauvegardes hors ligne : au moins une copie déconnectée/immutable pour contrer la destruction post‑intrusion.
- Surveillance : activer les journaux Windows, auditer périodiquement les tâches/services/logiciels installés.
FAQ rapide
McAfee met shangri.exe en quarantaine : est‑ce suffisant ?
Non. La quarantaine bloque un échantillon donné, pas la persistence. Si une tâche ou clé de registre regénère le fichier, il réapparaîtra. Le script FRST supprime précisément ces mécanismes racine.
Pourquoi le bouton Fix de FRST s’exécute‑t‑il parfois en une seconde ?
Parce que la liste d’objets à traiter est courte ou qu’ils ont déjà été supprimés (par l’antivirus ou une tentative précédente). Ce n’est pas anormal si le Fixlog.txt confirme l’absence d’éléments restants.
Faut‑il réinstaller Windows ?
La réinstallation n’est pas systématique. Si les mécanismes de persistance sont supprimés et que les scans sont propres, un durcissement post‑incident suffit souvent. En cas de doute (ex. compromission profonde, chiffrement), une réinstallation propre peut être la voie la plus sûre.
« NetSupport Manager » est‑il un virus ?
Non, c’est un outil d’accès à distance légitime. Il devient une menace lorsqu’il est installé sans consentement ou configuré pour un usage malveillant.
Exemple de contenu attendu dans un Fixlist ciblé
Extrait conceptuel (à adapter selon vos journaux FRST) :
- Entrées Task Scheduler pointant vers
%TEMP%\ns*.tmp\shangri.exeou scripts associés. - Clés Run/RunOnce HKCU/HKLM renvoyant vers des chemins aléatoires dans
%APPDATA%ou%LOCALAPPDATA%. - Services installés récemment sans signature valide et référencés par des chemins utilisateurs.
- Dossiers
ns*.tmpet l’exécutableshangri.exeeux‑mêmes. - Traces du client d’accès à distance non approuvé (fichiers, services, dossiers de configuration).
Le but est d’éliminer la chaîne complète (fichier, point d’exécution, persistance, résidus), pas uniquement l’exécutable temporaire.
Check‑list de clôture
- Lire
Fixlog.txtet confirmer que toutes les entrées prévues ont été traitées. - Observer
%LOCALAPPDATA%\Tempau moins 15 minutes : aucun nouveaunsxxxxx.tmp. - Effectuer un scan antivirus complet et corriger les alertes restantes.
- Renommer FRST en
uninstall.exe, l’exécuter puis redémarrer pour le supprimer proprement. - Changer les mots de passe, activer la MFA et consigner l’incident (date, symptômes, actions) pour la traçabilité.
Erreurs fréquentes à éviter
- Se contenter de la quarantaine sans traiter la persistance.
- Supprimer au hasard des clés/ fichiers critiques du système.
- Oublier la phase post‑incident (mots de passe, MFA, mises à jour, sauvegardes).
- Ignorer les comptes et navigateurs : vider les sessions actives, invalider les tokens si nécessaire.
Résumé exécutif
Le motif « nsxxxxx.tmp + shangri.exe » indique un dropper régénéré par un mécanisme de persistance. Les journaux FRST ont permis d’identifier la présence d’un accès à distance détourné (NetSupport Manager) et d’un cheval de Troie en Go. Le Fix FRST, associé aux bonnes pratiques post‑incident (MFA, mises à jour, sauvegardes hors ligne), a éliminé la recréation des dossiers ns*.tmp et stabilisé le système.
Annexe : commandes utiles de vérification
PowerShell
# 1) Processus liés à Temp
Get-Process | Where-Object { $_.Path -like "$env:TEMP\*" -or $_.Path -like "$env:LOCALAPPDATA\Temp\*" } |
Select-Object Name, Id, Path
# 2) Services non signés récents
Get-CimInstance Win32_Service | Where-Object {
$*.StartMode -eq "Auto" -and $*.PathName -match "AppData|Temp"
} | Select-Object Name, State, StartMode, PathName
# 3) Tâches planifiées créées dans les 48h
$limit=(Get-Date).AddDays(-2)
Get-ScheduledTask |
ForEach-Object {
$i = $_
try { [datetime]$t = (Get-ScheduledTaskInfo -TaskName $i.TaskName -TaskPath $i.TaskPath).LastRunTime } catch {}
[pscustomobject]@{ TaskName=$i.TaskName; TaskPath=$i.TaskPath; LastRun=$t }
} |
Where-Object { $_.LastRun -gt $limit } |
Sort-Object LastRun -Descending En cas d’environnement d’entreprise, complétez ces contrôles par un audit des journaux (sécurité, PowerShell, Sysmon s’il est présent) et par une vérification de toute solution d’accès à distance autorisée par l’IT.
Conclusion : en appliquant cette méthode (diagnostic FRST, suppression ciblée, contrôles post‑nettoyage et durcissement), le poste revient à un état sain et la réapparition de shangri.exe dans Temp cesse définitivement.