Trojan:Win32/Wacatac.C!ml [Résolu]

Signaler
Messages postés
10
Date d'inscription
samedi 19 décembre 2009
Statut
Membre
Dernière intervention
30 mars 2020
-
Messages postés
1
Date d'inscription
mardi 16 juin 2020
Statut
Membre
Dernière intervention
16 juin 2020
-
Bonjour,
J'ai récemment fait l'objet d'une attaque de cheval de troie sous windows 10.
Malgré windows defender, adwcleaner, la bête est toujours là...
Je m'en remet à vous pour me tirer de ce mauvais pas.
Merci d'avance pour votre aide.

9 réponses

Messages postés
26305
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
3 juillet 2020
9 237
Bonjour,
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis ouvre-le tu auras ceci :

Puis coche la case shortcut comme ceci :

Clique sur Analyser à la fin de l'analyse tu auras trois fichiers texte sur le bureau FRST, Addition et Shortcut envoie ces rapports sur https://pjjoint.malekal.com/ voir ce tutoriel paragraphe Envoyer les rapports d’analyse sur pjjoint puis donne les trois liens générés par Pjoint dans ton prochain message.
Messages postés
10
Date d'inscription
samedi 19 décembre 2009
Statut
Membre
Dernière intervention
30 mars 2020

Messages postés
26305
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
3 juillet 2020
9 237
Bonjour,
Tu as utilisé un crack Windows KMS Activator Ultimate et suite à cette utilisation ton pc est infecté, change tous tes mots de passe en ligne (email, login de site etc etc...) ils ont pu être dérobés.

ATTENTION Il y a un proxy sur ton pc est-ce toi qui l'a configuré ?
si c'est toi qui l'a configuré continue fait le script ci-dessous, si ce n'est pas toi qui l'a configuré dis-le moi car dans ce cas je modifierai le script.

1 Désinstalle Cloudnet avec RevoUninstaller en mode scan avancé voir cette page.

2 Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2864101395-3785255733-988304915-1001\...\Run: [ShySnow] => C:\WINDOWS\rss\csrss.exe [3992064 2020-03-24] () [Fichier non signé]
HKU\S-1-5-21-2864101395-3785255733-988304915-1001\...\Run: [CloudNet] => C:\Users\maison\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe [683008 2020-03-30] (EpicNet Inc.) [Fichier non signé]
Task: {0C11253A-D6FA-45A7-93FC-38E0457D9C2A} - System32\Tasks\AdvancedUpdater => C:\Program Files (x86)\AdvancedWindowsManager\Windows Installer\Windows Updater.exe [895112 2020-02-21] (MICROLEAVES LTD -> AdvancedWindowsManager)
Task: {2A5347A0-A63D-4670-BE8D-95E40530699C} - System32\Tasks\AdvancedWindowsManager => C:\Program Files (x86)\AdvancedWindowsManager\Windows Installer\AdvancedWindowsManager.exe [7915656 2020-02-21] (MICROLEAVES LTD -> )
Task: {706E0ADA-7C90-47F7-A8D8-81B6890B0003} - System32\Tasks\csrss => C:\WINDOWS\rss\csrss.exe [3992064 2020-03-24] () [Fichier non signé]
C:\Program Files (x86)\AdvancedWindowsManager
C:\ProgramData\AdvancedWindowsManager
C:\WINDOWS\system32\Tasks\csrss
C:\WINDOWS\rss\csrss.exe
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
5- Réinitialise tes navigateurs internet https://www.commentcamarche.net/faq/26679-reinitialiser-son-navigateur
6- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT.

ok pour les mots de passe!

Pour le proxy, je sais plus, peut être que pour installer le fameux KMS j'ai dû y toucher...
S'il est préférable de modifier le script, vas-y!

1. effectué
2. effectué
3. effectué
4. effectué: https://pjjoint.malekal.com/files.php?id=20200330_n7z14p13k9o15
5. effectué
6. A VENIR
Messages postés
26305
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
3 juillet 2020
9 237
Je t'avais dit de ne faire le premier script que si tu n'avais pas configuré ce proxy, mais apparemment tu ne sais pas, fait un nouveau rapport FRST pour vérification.
Messages postés
10
Date d'inscription
samedi 19 décembre 2009
Statut
Membre
Dernière intervention
30 mars 2020

Messages postés
26305
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
3 juillet 2020
9 237
.

Je t'avais demandais de désinstaller cloudnet il est toujours là.

Donc en premier lieu désinstalle Cloudnet avec RevoUninstaller en mode scan avancé voir cette page.

Procédure à faire dans l'ordre indiqué :

Le script qui suit supprimera le proxy

1- Ouvre FRST
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2864101395-3785255733-988304915-1001\...\Run: [CloudNet] => C:\Users\maison\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe [683008 2020-03-30] (EpicNet Inc.) [Fichier non signé]
Task: {846AC3AC-EAC7-409E-AB01-9E844A7C5D3C} - System32\Tasks\csrss => C:\WINDOWS\rss\csrss.exe [4004864 2020-03-30] () [Fichier non signé]
Task: {EC5539DE-58BA-47D7-9CE9-1493326A8DE1} - System32\Tasks\csrss => C:\WINDOWS\rss\csrss.exe [4004864 2020-03-30] () [Fichier non signé]
C:\Users\maison\AppData\Local\Temp\csrss
C:\Windows\rss\csrss.exe
RemoveProxy:
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
5- Réinitialise tes navigateurs internet https://www.commentcamarche.net/faq/26679-reinitialiser-son-navigateur
6- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT.
Messages postés
10
Date d'inscription
samedi 19 décembre 2009
Statut
Membre
Dernière intervention
30 mars 2020

J'ai réessayé dans l'ordre...

Cloud net s'est accroché longtemps, j'espère y être arrivé.

voici le rapport:

https://pjjoint.malekal.com/files.php?id=20200330_f9k9p13s9u5

une fois le pc rallumé, defender me trouve encore une menace bloquée...

Merci pour ton aide!!!!
Messages postés
26305
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
3 juillet 2020
9 237
Fait un nouveau rapport FRST pour que je vois l'évolution.
Messages postés
10
Date d'inscription
samedi 19 décembre 2009
Statut
Membre
Dernière intervention
30 mars 2020

Messages postés
26305
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
3 juillet 2020
9 237
Je n'arrive à accéder qu'au rapport FRST les deux autres rapports sont inaccessibles il doit y avoir un problème sur Pjjoint, met-les sur https://www.cjoint.com/ et donne les liens ce sera plus simple.
Messages postés
10
Date d'inscription
samedi 19 décembre 2009
Statut
Membre
Dernière intervention
30 mars 2020

Messages postés
26305
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
3 juillet 2020
9 237
Essaie ce nouveau script, Cloudnet est toujours là, j’espère que ce script va le virer, sinon on essaiera autre chose.
Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2864101395-3785255733-988304915-1001\...\Run: [CloudNet] => C:\Users\maison\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe [683008 2020-03-30] (EpicNet Inc.) [Fichier non signé]
Task: {04C11C50-A124-4B8C-8B8F-43F5A28F14B4} - System32\Tasks\csrss => C:\WINDOWS\rss\csrss.exe [4011520 2020-03-30] () [Fichier non signé]
R2 WinDefender; C:\WINDOWS\windefender.exe [1984512 2020-03-30] () [Fichier non signé]
C:\Users\maison\AppData\Roaming\EpicNet Inc
C:\Users\maison\AppData\Local\Temp\csrss
C:\Windows\rss\csrss.exe
RemoveProxy:
EmptyTemp:
End::


Dis-moi si c'est mieux et fait un nouveau FRST
Messages postés
10
Date d'inscription
samedi 19 décembre 2009
Statut
Membre
Dernière intervention
30 mars 2020
>
Messages postés
26305
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
3 juillet 2020

Voici avec le nouveau script corrigé:

https://www.cjoint.com/c/JCErYkE6JNS

L'analyse FRST:

https://www.cjoint.com/c/JCErZVDpTXS
https://www.cjoint.com/c/JCEr0uDz0xS
https://www.cjoint.com/c/JCEr0uDz0xS

Encore merci à toi, on vas y arriver!!!!
Messages postés
26305
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
3 juillet 2020
9 237 >
Messages postés
10
Date d'inscription
samedi 19 décembre 2009
Statut
Membre
Dernière intervention
30 mars 2020

Pour moi c'est bon, Cloudnet et les autres infections ne sont plus là, fini de désinstaller Cloudnet avec RevoUninstaller en mode Scan Avancé ce ne sont que des restes rien d'actif.
Messages postés
10
Date d'inscription
samedi 19 décembre 2009
Statut
Membre
Dernière intervention
30 mars 2020
>
Messages postés
26305
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
3 juillet 2020

Pour moi c'est bon aussi après avoir repasser RevoUninstaller en mode Scan avancé.
J'ai redémarré le pc et defender n'a rien dit!!!!

Un grand merci à toi bazfile pour ta précieuse aide ainsi qu'à toute l'équipe de CCM.
Bonne soirée!
Messages postés
26305
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
3 juillet 2020
9 237 >
Messages postés
10
Date d'inscription
samedi 19 décembre 2009
Statut
Membre
Dernière intervention
30 mars 2020

Bonne soirée à toi aussi.
Messages postés
26305
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
3 juillet 2020
9 237
Bonjour,

Ton pc doit être très lent et certainement buggé, tu aurais pu décrire le ou les problèmes rencontrés.

Tu as 3 antivirus installés sur ton pc, dont 360 Total Security qui est une arnaque connue, tu as aussi Smadav ainsi que Eset Security qui lui est un bon antivirus, et bien sûr Windows Defender qui est intégré à Windows 10, il se désactive dés qu'un autre antivirus est installé donc Windows Defender ne pose pas problème.

Règle à retenir:

Un seul antivirus en protection résidente sur un pc, sinon il y a risque de forts ralentissements et même de blocage du pc.


En conséquence, tu as deux solutions :


Solution 1:

Tu ne gardes que Windows Defender comme antivirus (il est à mon avis suffisant) et tu désinstalles 360 Total Security, Smadav et Eset Security.

Solution 2 :

Tu gardes Eset Security et tu désinstalles 360 Total Security et Smadav.

Pour désinstaller ces antivirus utilise RevoUninstaller en mode Scan Avancé voir CETTE PAGE à lire très attentivement, supprime tout ce que trouveras le Scan avancé de RevoUninstaller.

Une fois le ménage fait dans tes antivirus, fait une nouvelle analyse FRST ce sera déjà plus clair, dis-moi si tu constates une amélioration et décrit les problèmes rencontrés s'il y en a.
Messages postés
1
Date d'inscription
mardi 16 juin 2020
Statut
Membre
Dernière intervention
16 juin 2020

Bonjour Bazfile,

Je pense que je mon pc est infecté par un cheval de troie...
mon soucis est que je ne peux plus utiliser un logiciel que j'utilise fréquemment et ce je pense a cause de ce trojan... (wacatac )
pouvais vous m'aider svp

voici les liens malekal

https://pjjoint.malekal.com/files.php?id=FRST_20200616_c5c5o6j6i10
https://pjjoint.malekal.com/files.php?id=20200616_g6c8y9y7n5
https://pjjoint.malekal.com/files.php?id=20200616_r11f15e107s14

Merci