Infection Trojan Wacatac

[sauvanne]

Bonjour, et meilleurs vœux malgré le dépassement de date limite, mais c'est comme les yaourt.....

J'ai ouvert, avec le fichier exe, deux vieux diapos que j'avais oublié dans le disque externe. La sécurité windows a immédiatement détecté deux trojans. Le premier a été éliminé. Mais il reste : Trojan:Win32/Wacatac.B!ml. J'ai passé avast, Eset online scanner, RoqueKiller, MalwareByte et rien ne nettoie. Defender le signale en permanence a deux date différentes. Ci-joint copie écran.

Par contre Defender anlyse le PC régulièrement et dit qu'il ne trouve rien comme parasite.

Merci par avance

 

 

 

 

[Longaripa]

Bonjour 

Vu que c'est trop tard pour les vœux, il va falloir repasser l'année prochaine. 

Bon, on me signale que ça ira pour cette fois. Alors, on va regarder.

Il faudrait indiquer quel sont les fichiers concernés.
Ensuite, 

Suivez ce tuto  --> https://community.lecrabeinfo.net/blogs/entry/92-désinfection-faire-en-premier-zhpsuite-frst/

Il y a 3 rapports à poster 

 

[sauvanne]

https://www.cjoint.com/c/NBdktADJLRm

https://www.cjoint.com/c/NBdkFnEtWvm

https://www.cjoint.com/c/NBdkFRaoEIm

[Longaripa]

Le trojan sus-nommé est détecté dans plusieurs  fichiers qui semblent être des diaporamas. 
Si vous êtes d'accord, on les supprime tout simplement.
Il n'y a pas de résidus ailleurs.

Si c'est OK pour les supprimer, vous le dites et je prépare un correctif dans ce sens.
Si vous tenez à les conserver, vous continuerez à recevoir  l'alerte.

J'attends votre accord.

[sauvanne]

Je pense qu'il vaut mieux virer tout ça, car je ne sais pas si c'est une coïncidence, mais depuis, quand je regardais mes films enregistrés dans le PC, au bout de quelques minutes tout se bloquait et fallait relancer l'ordi.Et cet après-midi cela a fonctionné normalement parce que la sécurité windows est désactivée certainement

[sauvanne]

J'ai oublié de vous signaler que les deux diapos étaient dans un disque dur externe qui n'est branché que pour sauvegarde ou bien sur, voir les diapos. Et les deux diapos ont été supprimé avec avec PrivaZer sans trace.

Les tests ont été fais sans ce disque

[Longaripa]

Re

Il faudrait brancher le disque externe, et s'assurer qu'il ait bien la lettre E 

ensuite, 

Correction avec FRST : 

Copier la totalité du contenu, ( Sélectionner  tout   de start:: à end::  compris  -> Copier) de ce correctif hébergé ici -> https://textup.fr/759905sp

Faites uniquement "copier" pour mettre le texte dans le presse-papier, inutile de coller 

Lancez FRST en tant qu'administrateur par click droit
Cliquez sur "corriger" 

Patientez
Une fois le système redémarré, postez le rapport : fixlog.txt

[sauvanne]

Fixlog.txt

[sauvanne]

Le disque dur externe a pour désignation :  (k:)

le disque interne :

(c:)

et sa partition : E(I:)

[Longaripa]

les fichiers litigieux sont/étaient dans E:\diaporamas.
Le correctif ne les a pas trouvés. 

 

Révélation

"E:\Diaporamas\Alphabetique par Auteurs\U\Ubiergo Jean-Louis\11-11-19_JLU_-_Fantaisie_pedagogique.zip" => non trouvé(e)
"E:\Diaporamas\Clip_El_Chalten2.zip" => non trouvé(e)
"E:\Diaporamas\Alphabetique par Auteurs\U\Ubiergo Jean-Louis\11-11-19_JLU_-_Fantaisie_pedagogique.zip" => non trouvé(e)
"E:\Diaporamas\Bofondu\gerberoy.exe" => non trouvé(e)
"E:\Diaporamas\Clip_El_Chalten2.exe" => non trouvé(e)
"E:\Diaporamas\DIVERS\Clip_El_Chalten3\Clip_El_Chalten2.exe" => non trouvé(e)
"E:\Diaporamas\Masse\Clip_El_Chalten2.exe" => non trouvé(e)

Ils ont tous été supprimés avant, ou la partition E: n'est plus là ? 

Modifié le 4 février 2024 par Longaripa

[sauvanne]

Les diapos étaient dans le disque externe Maxtor K: et je les ai desuite éliminées quand j'ai eu l'alerte Defender.

Pour le E: je ne comprend pas pas. J'ai juste un port USB vide sous le nom de E:

et en la partition du disque principal interne qui se nomme E(I), mais ne contient aucun diapo

 

[Longaripa]

C'est bizarre. Les détections de Windows Defender concernaient des fichiers dans E et dans le repertoire temporaire de C (qui a été vidé). 

Révélation

Date: 2024-02-03 08:37:48
Description: 
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Pour plus d’informations, reportez-vous aux éléments suivants :
https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Wacatac.B!ml&threatid=2147735505&enterprise=0
Nom : Trojan:Win32/Wacatac.B!ml
ID : 2147735505
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : containerfile:_E:\Diaporamas\Alphabetique par Auteurs\U\Ubiergo Jean-Louis\11-11-19_JLU_-_Fantaisie_pedagogique.zip; containerfile:_E:\Diaporamas\Clip_El_Chalten2.zip; file:_C:\Users\Utilisateur\AppData\Local\Temp\7zO0FC0F9D0\JLU - Fantaisie pedagogique.exe; file:_C:\Users\Utilisateur\AppData\Local\Temp\7zO0FC30590\JLU - Fantaisie pedagogique.exe; file:_C:\Users\Utilisateur\AppData\Local\Temp\7zOC95F9F1F\Clip_El_Chalten2.exe; file:_E:\Diaporamas\Alphabetique par Auteurs\U\Ubiergo Jean-Louis\11-11-19_JLU_-_Fantaisie_pedagogique.zip->JLU - Fantaisie pedagogique.exe; file:_E:\Diaporamas\Bofondu\gerberoy.exe; file:_E:\Diaporamas\Clip_El_Chalten2.exe; file:_E:\Diaporamas\Clip_El_Chalten2.zip->Clip_El_Chalten2.exe; file:_E:\Diaporamas\DIVERS\Clip_El_Chalten3\Clip_El_Chalten2.exe; file:_E:\Diaporamas\Masse\Clip_El_Chalten2.exe
Origine de la détection : Ordinateur local
Type de détection : Chemin rapide
Source de détection : Protection en temps réel
Utilisateur : 
Nom du processus : C:\Program Files\7-Zip\7zFM.exe
Version de la veille de sécurité : AV: 1.403.3113.0, AS: 1.403.3113.0, NIS: 1.403.3113.0
Version du moteur : AM: 1.1.23110.2, NIS: 1.1.23110.2
Event[0]:

Ouvrez le gestionnaire de disques (click droit sur logo démarrer, gestionnaire de disques)  et postez une copie écran, la fenetre ouverte en grand

[sauvanne]

[Longaripa]

Vraiment étrange. 

Dans K:, il y a un dossier "diaporama", avec les fichiers comme ceux indiqués ci dessous ?(chercher dans K:\diaporama... à la place de E:\diaporama 

 

Révélation

Chemin : containerfile:_E:\Diaporamas\Alphabetique par Auteurs\U\Ubiergo Jean-Louis\11-11-19_JLU_-_Fantaisie_pedagogique.zip; containerfile:_E:\Diaporamas\Clip_El_Chalten2.zip; file:_C:\Users\Utilisateur\AppData\Local\Temp\7zO0FC0F9D0\JLU - Fantaisie pedagogique.exe; file:_C:\Users\Utilisateur\AppData\Local\Temp\7zO0FC30590\JLU - Fantaisie pedagogique.exe; file:_C:\Users\Utilisateur\AppData\Local\Temp\7zOC95F9F1F\Clip_El_Chalten2.exe; file:_E:\Diaporamas\Alphabetique par Auteurs\U\Ubiergo Jean-Louis\11-11-19_JLU_-_Fantaisie_pedagogique.zip->JLU - Fantaisie pedagogique.exe; file:_E:\Diaporamas\Bofondu\gerberoy.exe; file:_E:\Diaporamas\Clip_El_Chalten2.exe; file:_E:\Diaporamas\Clip_El_Chalten2.zip->Clip_El_Chalten2.exe; file:_E:\Diaporamas\DIVERS\Clip_El_Chalten3\Clip_El_Chalten2.exe; file:_E:\Diaporamas\Masse\Clip_El_Chalten2.exe
 

 

[sauvanne]

j'ai revérifié et épluché, les fichiers en questions du rapport n'existe plus dans K:

Si je clique sur le lecteur USB E: il me demande d'insérer un disque, ce qui est normal.

Defender me sort ce E de ne je ne sais ou mais pas de ce PC.

Les diapos je ne les ai que sur le disque de secours K:

Par contre je pense a un truc : Le port USB E: est peut etre le second port que j'ai sur le PC, et des fois j'y branche mes disques suivant mon humeur. Mais une fois le disque retiré il ne peut pas conserver les fichiers.......je crois ?

[Longaripa]

La seule explication  que je vois, c'est que le disque externe a pris la lettre E à un moment donné. 

Les fichiers ont été supprimés,  ce qui est une bonne chose.

Il ne devrait plus y avoir d'alerte.

Un port USB n'a pas de lettre attribuée.

[sauvanne]

Le logo de la zone de protection, protection contre les virus et menaces, a toujours une croix rouge au lieu de l'astérisque vert, et

propose toujours action requise.

ci-joint mon Explorer.

[Longaripa]

Re

ce que je voulais dire, c'est qu'un port physique USB n'a pas de lettre affectée.
Là, le prochain périphérique USB qui sera inséré prendra la lettre E

 

Pour Windows Defender, il faut répondre de mettre en quarantaine.
Et réactiver la protection en temps réel, si c'est encore désactivé.

[sauvanne]

Bonjour,

Mise en quarantaine fait, Sécurité temps réel fait depuis hier. Mais toujours la croix rouge sur le Logo sécurité et toujours il notifie détection.

Dans le Gestionnaire de Périphériques on ne vois pas quel contrôleur USB correspond au second port USB que j'utilise. Car je me demande si en le désinstallant et en redémarrant ce problème de lettre disparaitrait.

[Longaripa]

Re

Postez une copie écran de cette détection, avec les détails des fichiers détectés.

Je ne comprends pas trop cette question au sujet des ports USB.
Quel est le problème, en fait ? 

[sauvanne]

Ci-joint l'instantané de la détection qui continue d'être signalé, en plus il y a un petit nouveau.

Ma question sur les ports est surement idiote, c'était juste une réflexion que je me faisais ne comprenant pas le pourquoi de cette lettre E. Je retire ma pensée....

[Longaripa]

Refaites une analyse  ZHP et FRST comme au début. 

Dans FRST, cochez la case Fichiers 90 jours comme ci-dessous.
Postez les 3 fichiers

[sauvanne]

OK et un Doliprane pour protéger mon cerveaux......

[sauvanne]

J'ai désactivé la sécurité en temps réel et cette fois-ci celle du clood et une autre en dessous.

https://www.cjoint.com/c/NBfpn40rEmm

https://www.cjoint.com/c/NBfppMVi1Wm

https://www.cjoint.com/c/NBfpux7t1bm

 

 

[Longaripa]

On va virer quelques fichiers, détectés par WD et des résidus d'Avast. 

Je remets la procédure : 

 

Correction avec FRST : 

Copier la totalité du contenu, ( Sélectionner  tout   de start:: à end::  compris  -> Copier) de ce correctif hébergé ici -> https://textup.fr/760134ud

Faites uniquement "copier" pour mettre le texte dans le presse-papier, inutile de coller 

Lancez FRST en tant qu'administrateur par click droit
Cliquez sur "corriger" 

Patientez
Une fois le système redémarré, postez le rapport : fixlog.txt