Suspicion de trojan

[DMar]

Bonjour, au cours d'une réinstallation de Windows 11 grâce à l'ISO que j'avais téléchargé sur le site de Microsoft lors du passage à Windows 11 22H2 il y a un an.

Windows defender ma alerté à propos de:

Détecté : Trojan:Script/Wacatac.B!ml

État : Échec de la mise en quarantaine Cette menace ou cette application n'est peut-être pas entièrement restaurée.

Éléments affectés :
file: H:\NE PAS SUPPRIMER\lnstallateurs \Windows 11\Windows 11 22H2.iso (pour info H:\ est la lettre du lecteur de DVD virtuel créé pour monter l'ISO).

 

Ce que j'ai fait:

Suppression de l' ISO.

Téléchargement de l' ISO "Win11_22H2_French_x64v2" sur le site de Microsoft, vérification du SHA256 à partir de la même image disponible sur le crabe (je l'ai téléchargé sur le site de Microsoft car la durée de téléchargement était excessive). 

Réinstallation de Windows à partir du nouvel ISO.

Scan de Windows defender complet et hors ligne: pas d'alerte.

Je joint des captures d'écran.

 

Merci pour votre aide.

 

[Longaripa]

Bonjour 

C'est certainement une fausse détection. 

On va vérifier le système quand même :

 

Suivez ce tuto  --> https://community.lecrabeinfo.net/blogs/entry/92-désinfection-faire-en-premier-zhpsuite-frst/

Il y a 3 rapports à poster 

[DMar]

Bonsoir,

Rapport 1: https://www.cjoint.com/c/MJmqJcu4Htl

Rapport 2: https://www.cjoint.com/c/MJmqPAyvbsl

Rapport 3: https://www.cjoint.com/c/MJmqRx4q0ol

Bonne analyse.

[Longaripa]

Bonjour 

Le pc est propre. 
Je pense que c'était une fausse alerte. 

Simplement, il y a une restriction sur Windows Update, peut-être volontaire, et quelques résidus à la suite de la suppression de Ccleaner.

On peut régler ça si vous voulez.

[DMar]

Avec plaisir.

 

 

[DMar]

Je vous joins l'historique de fiabilité et je vais régénérer les 3 rapports si cela peut vous aider.

Rapport de l'historique de fiabilité: https://www.cjoint.com/c/MJnkNnKFmRl

[DMar]

Pour une raison que j'ignore FRST64 & ZHPSuite ne veules plus s'ouvrir.

Je n'ai pas d'alerte de Windows quand j'essaie de les exécuter.

J'ai essayé en mode "sans échec" même constat.

[Longaripa]

Même en redémarrant, ils ne se lancent plus ? 
Il n'y a pourtant pas de raison pour que ça arrive.
D'autres logiciels ne se lancent pas ? 

[DMar]

J'ai trouvé, c'est la protection fondée sur la réputation de Windows qui bloquait l'exécution.

Je génère les rapports et je te les joins.

 

[DMar]

Les rapports:

1- https://www.cjoint.com/c/MJnoQLJgq8l

2- https://www.cjoint.com/c/MJnoUwaOiyl

3- https://www.cjoint.com/c/MJnoVyb8vGl

 

[Longaripa]

Ok

Correction avec FRST : 

Copier la totalité du contenu, ( Sélectionner  tout   de start:: à end::  compris  -> Copier) de ce correctif hébergé ici -> https://textup.fr/735669Ug

Faites uniquement "copier" pour mettre le texte dans le presse-papier, inutile de coller 

Lancez FRST en tant qu'administrateur par click droit
Cliquez sur "corriger" 

Patientez
Une fois le système redémarré, postez le rapport : fixlog.txt

[DMar]

Rapport : https://www.cjoint.com/c/MJnp2pYpIAl

[Longaripa]

Nickel. 

Pour moi, c'est tout bon. 

On va nettoyer les outils utilisés avec KpRm (de Kernel-panik)

· Téléchargez sur le bureau => https://toolslib.net/downloads/viewdownload/951-kprm/
· Désactivez temporairement l’ antivirus
· Lancez l'exécution par clic-droit -> Exécuter en tant qu'administrateur

· Cochez les cases suivantes :
o Supprimer les outils
o Créer un point de restauration
o Supprimer dans 7 jours
Image https://www.zupimages.net/up/19/47/6c6m.png

· Cliquez sur [Exécuter]...
· Un rapport kprm-aaaammjjhhmmss.txt se trouve sur le bureau
· Hébergez le rapport sur Cjoint
· Donnez le lien créé dans votre réponse.

[DMar]

Voici: https://www.cjoint.com/c/MJnqni1zo3l

[Longaripa]

Ca marche. 

Si il n'y a pas d'autre question/problème, merci de passer le sujet en résolu .

Cliquer sur "Marquer comme la solution" dans une de mes réponses pour passer en résolu

[DMar]

Merci infiniment pour votre disponibilité & le temps passé.

[Longaripa]

De rien. 

Bonne continuation.