Menace "Trojan:Script/Wacatac.B!ml" detectée !

Résolu/Fermé

Sabine_001 - Modifié le 22 sept. 2021 à 23:19
bazfile Messages postés 56289 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 31 octobre 2024 - 23 sept. 2021 à 20:09

Bonsoir,

En faisant une analyse rapide, Windows Defender vient de mettre la main sur une menace intitulée "Trojan:Script/Wacatac.B!ml" située dans un sous-dossier du logiciel "Adobe Audition 2018" que j'avais récupéré sur internet. Étant donné que ça fait quelques années que je possède ce dernier (transféré de mon ancien PC) et que je n'ai eu aucun signalement, j'ai tout de suite pensé à un faux positif mais je n'en suis pas sûr sachant que ça fait quelques temps maintenant que mon PC est victime d'anomalies comme des freeze de quelques seconde etc. (Ca n'a peut-être rien à voir mais la corrélation est vite faite.) Pour l'heure, le fichier est en quarantaine en attendant une action de ma part mais je ne suis pas sûr que mon PC soit entièrement protégé et qu'une simple suppression procède définitivement à son élimination.

Si quelqu'un pouvait donc me venir en aide.

Merci,
Sabine

A voir également:

Wacatac
Trojan:script/wacatac.b!ml - Meilleures réponses
Wacatac.b!ml - Meilleures réponses
Formate de menace police interpol - Forum Vos droits sur internet
Trojan remover - Télécharger - Antivirus & Antimalwares
Trojan al11 ✓ - Forum Virus
Formate de menace - Forum Vos droits sur internet
Trojan wacatac ✓ - Forum Virus

4 réponses

Réponse 1 / 4

bazfile Messages postés 56289 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 31 octobre 2024 19 245
23 sept. 2021 à 00:51

Bonjour,
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis ouvre-le tu auras ceci:

Clique sur Analyser à la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition, .
Attention de bien attendre que les messages disant que l'analyse est terminée s'affichent, ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne les deux liens générés par Cjoint dans ton prochain message.

Réponse 2 / 4

Sabine_001
Modifié le 23 sept. 2021 à 07:02

Bonjour,

Voici les deux fichiers comme convenu :

FRST : https://www.cjoint.com/c/KIwxkhwTRyB

Addition : https://www.cjoint.com/c/KIwxk22p2nB

bazfile Messages postés 56289 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 31 octobre 2024 19 245
23 sept. 2021 à 09:56

Ton pc n'est pas infecté, tu as juste cette alerte de Windows Defender pour le logiciel Adobe Audition, logiciel qui n'est pas installé sur ton pc vu que c'est une version portable d'Audition enregistrée sur le disque E:\.

Windows Defender détecte comme infectieux le fichier ChKQft4D.bat qui se trouve dans le cache d'Abobe Audition dont le chemin est : E:\Adobe Audition CC 2018\Required\data\cache\ChKQft4D.bat, donc par prudence supprime ce fichier.

Tu peux supprimer ce fichier manuellement ou via le script qui suit, qui supprime en plus des processus obsolètes et un adware :
Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

Start::
CreateRestorePoint:
CloseProcesses:
E:\Adobe Audition CC 2018\Required\data\cache\ChKQft4D.bat
GroupPolicy: Restriction ?
Policies: C:\ProgramData\NTUSER.pol: Restriction 
S3 intaud_WaveExtensible; \SystemRoot\system32\drivers\intelaud.sys [X]
Edge Extension: (Pas de nom) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => chemin non trouvé(e)
Edge Extension: (Pas de nom) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => chemin non trouvé(e)
Edge Extension: (Pas de nom) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => chemin non trouvé(e)
Edge Extension: (Pas de nom) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => chemin non trouvé(e)
Task: {67D9DCDF-D019-4479-BCAB-0F07416FF820} - System32\Tasks\CMPCUAC => C:\Program Files\CleanMyPC\CleanMyPC.exe
C:\Program Files\CleanMyPC
CustomCLSID: HKU\S-1-5-21-1202742764-3842216079-579860077-1001_Classes\CLSID\{233525e0-5434-46ef-b464-fd7e45e2e145}\localserver32 -> "C:\Program Files (x86)\Intel\Driver and Support Assistant\DSATray.exe" -ToastActivated => Pas de fichier
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Pas de fichier
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

Réponse 3 / 4

Sabine_001
Modifié le 23 sept. 2021 à 19:24

Bonsoir,

Voici le fichier "Fixlog" : https://www.cjoint.com/c/KIxqHFJgPgB

Après analyse de Windows Defender" et vérification manuelle via le dossier concerné, aucun problème : il ne me détecte rien et le fichier infecté n'est plus présent.

bazfile Messages postés 56289 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 31 octobre 2024 19 245
23 sept. 2021 à 19:26

Le fixlog est bon, tout est OK.
Tu peux désinstaller FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.

Discussions similaires

Trojan:Win32/Wacatac.C!ml

Trojan Wacatac.B!ml

Trojan:Win32/Wacatac.B!ml

Trojan Trojan:Win32/Wacatac.B!ml

Trojan:Script/Wacatac.B!mlTrojan:Script/Wacatac.B!ml

Supprimer virus Wacatac.C!ml