Menace "Trojan:Script/Wacatac.B!ml" detectée !

Résolu/Fermé
Sabine_001 - Modifié le 22 sept. 2021 à 23:19
bazfile Messages postés 43381 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 5 octobre 2022 - 23 sept. 2021 à 20:09
Bonsoir,

En faisant une analyse rapide, Windows Defender vient de mettre la main sur une menace intitulée "Trojan:Script/Wacatac.B!ml" située dans un sous-dossier du logiciel "Adobe Audition 2018" que j'avais récupéré sur internet. Étant donné que ça fait quelques années que je possède ce dernier (transféré de mon ancien PC) et que je n'ai eu aucun signalement, j'ai tout de suite pensé à un faux positif mais je n'en suis pas sûr sachant que ça fait quelques temps maintenant que mon PC est victime d'anomalies comme des freeze de quelques seconde etc. (Ca n'a peut-être rien à voir mais la corrélation est vite faite.) Pour l'heure, le fichier est en quarantaine en attendant une action de ma part mais je ne suis pas sûr que mon PC soit entièrement protégé et qu'une simple suppression procède définitivement à son élimination.

Si quelqu'un pouvait donc me venir en aide.

Merci,
Sabine

4 réponses

bazfile Messages postés 43381 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 5 octobre 2022 17 114
23 sept. 2021 à 00:51
Bonjour,
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis ouvre-le tu auras ceci:

Clique sur Analyser à la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition, .
Attention de bien attendre que les messages disant que l'analyse est terminée s'affichent
, ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne les deux liens générés par Cjoint dans ton prochain message.
0
Bonjour,

Voici les deux fichiers comme convenu :

FRST : https://www.cjoint.com/c/KIwxkhwTRyB

Addition : https://www.cjoint.com/c/KIwxk22p2nB
0
bazfile Messages postés 43381 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 5 octobre 2022 17 114
23 sept. 2021 à 09:56
Ton pc n'est pas infecté, tu as juste cette alerte de Windows Defender pour le logiciel Adobe Audition, logiciel qui n'est pas installé sur ton pc vu que c'est une version portable d'Audition enregistrée sur le disque E:\.

Windows Defender détecte comme infectieux le fichier ChKQft4D.bat qui se trouve dans le cache d'Abobe Audition dont le chemin est : E:\Adobe Audition CC 2018\Required\data\cache\ChKQft4D.bat, donc par prudence supprime ce fichier.

Tu peux supprimer ce fichier manuellement ou via le script qui suit, qui supprime en plus des processus obsolètes et un adware :
Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
E:\Adobe Audition CC 2018\Required\data\cache\ChKQft4D.bat
GroupPolicy: Restriction ?
Policies: C:\ProgramData\NTUSER.pol: Restriction
S3 intaud_WaveExtensible; \SystemRoot\system32\drivers\intelaud.sys [X]
Edge Extension: (Pas de nom) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => chemin non trouvé(e)
Edge Extension: (Pas de nom) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => chemin non trouvé(e)
Edge Extension: (Pas de nom) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => chemin non trouvé(e)
Edge Extension: (Pas de nom) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => chemin non trouvé(e)
Task: {67D9DCDF-D019-4479-BCAB-0F07416FF820} - System32\Tasks\CMPCUAC => C:\Program Files\CleanMyPC\CleanMyPC.exe
C:\Program Files\CleanMyPC
CustomCLSID: HKU\S-1-5-21-1202742764-3842216079-579860077-1001_Classes\CLSID\{233525e0-5434-46ef-b464-fd7e45e2e145}\localserver32 -> "C:\Program Files (x86)\Intel\Driver and Support Assistant\DSATray.exe" -ToastActivated => Pas de fichier
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Pas de fichier
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

0
Bonsoir,

Voici le fichier "Fixlog" : https://www.cjoint.com/c/KIxqHFJgPgB

Après analyse de Windows Defender" et vérification manuelle via le dossier concerné, aucun problème : il ne me détecte rien et le fichier infecté n'est plus présent.
0
bazfile Messages postés 43381 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 5 octobre 2022 17 114
23 sept. 2021 à 19:26
Le fixlog est bon, tout est OK.
Tu peux désinstaller FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.
0
Ok, c'est fait.
Tout est rentré dans l'ordre. Encore merci pour votre aide !
0
bazfile Messages postés 43381 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 5 octobre 2022 17 114
23 sept. 2021 à 20:09
De rien.
@+ sur CCM. :)
0