Trojan Wacatac.B!ml

Résolu/Fermé
Sephi - Modifié le 19 août 2021 à 15:29
bazfile Messages postés 52919 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 4 mars 2024 - 2 janv. 2024 à 22:07
Bonjour,

Excusez moi de vous déranger mais j'espère que vous pourrez m'aider.
J'effectue chaque jour une analyse rapide de mon système grâce à Windows Defender et, aujourd'hui, il se trouve qu'il a détecté une menace "Wacatac.B!ml" ( file: C:\Users\sephi\AppData\Local\Temp\CF\VIBqVWp6iUGyUjm5nT7QkQ\1.zip )
Je n'ai aucun souvenir d'avoir téléchargé quoi que ce soit au cours des deux derniers jours donc je ne sais pas d'où il provient. Je joins les fichiers d'analyse FRST.

FRST : https://pjjoint.malekal.com/files.php?id=FRST_20210819_c6y15i13p15h7
Addition : https://pjjoint.malekal.com/files.php?id=20210819_r14j11s15t11r15
Shortcut : https://pjjoint.malekal.com/files.php?id=20210819_z6e8p14f12x13

Merci

Edit : Je voulais ajouter que le rapport Windows Defender, lorsqu'il détecte cette menace et me propose les options habituelles pour intervenir, semble se résoudre de lui-même après quelques secondes sans que j'aie le temps d'intervenir.

Configuration: Windows / Firefox 91.0
A voir également:

2 réponses

bazfile Messages postés 52919 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 4 mars 2024 18 348
19 août 2021 à 15:31
Bonjour,
ce fichier est dans les temporaires de Windows il vient du logiciel curseforge qui est lié au logiciel Overwolf si tu es sûr de ces deux logiciels c'est certainement un faut positif de Windows Defender.

Pour supprimer le fichier trouvé par Windows Defender fait ce qui suit.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
C:\Users\sephi\AppData\Local\Temp\CF\VIBqVWp6iUGyUjm5nT7QkQ\1.zip
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

.
0
Bonjour,

Merci de votre réponse rapide. Je suis plutôt sûr que Curseforge et Overwolf sont sûrs, mais j'ai tout de même effectué la manipulation et j'ai redémarré l'ordinateur. J'ai depuis effectué un nouveau scan Windows Defender qui me détecte toujours cette menace en cours de scan, me demande d'intervenir avant de faire disparaitre ce rapport puis qui, à la fin du scan, m'indique n'avoir trouvé aucune menace.
Je joins le Fixlog ci-dessous:

Fixlog : https://pjjoint.malekal.com/files.php?id=20210819_c9q11r13y7e8
0
bazfile Messages postés 52919 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 4 mars 2024 18 348 > Sephi
19 août 2021 à 16:00
Oui c'est rien ce n'est qu'un fichier compressé créé par le logiciel curseforge c'est un fichier compressé pas un processus donc aucun problème ton pc n'est pas infecté, Windows Defender fait du zèle.
0