Userbenchmark : trojan : Wacatac.B!ml et Sabsik.TE.A!ml

Sidjel -
bazfile Messages postés 58616 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention - 21 nov. 2021 à 16:53

Bonjour,

Windows defender détecte les Trojan Win32/Wacatac.B!ml et Win32/Sabsik.TE.A!ml lors de l'analyse des composants de mon PC avec le logiciel UserBenchMark.exe, téléchargé sur le site officiel https://www.userbenchmark.com

VirusTotal ne détecte rien à partir de l'adresse url de téléchargement mais en détecte à partir du logiciel lui même que j'upload directement à partir de mon PC.

Dans les commentaires de VirusTotal je vois un commentaire de Joe Sandbox Analysis:

Verdict: MAL
Score: 72/100
Classification: mal72.evad.win@12/88@2/2
Domains: www.userbenchmark.com
Hosts: 192.168.2.1 54.39.161.167

HTML Report: https://www.joesandbox.com/analysis/439522/0/html
PDF Report: https://www.joesandbox.com/analysis/439522/0/pdf
Executive Report: https://www.joesandbox.com/analysis/439522/0/executive
Incident Report: https://www.joesandbox.com/analysis/439522/0/irxml
IOCs: https://www.joesandbox.com/analysis/439 ... analysisid

Quand pensez vous ?

Merci d'avance pour votre retour

Configuration: Windows / Firefox 94.0

Afficher la suite

A voir également:

Desinstaller userbenchmark
Desinstaller application windows - Guide
Désinstaller mcafee - Guide
Desinstaller edge - Guide
Désinstaller onedrive - Guide
Désinstaller avast - Télécharger - Antivirus & Antimalwares

3 réponses

Réponse 1 / 3

bazfile Messages postés 58616 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 19 809

Bonjour,
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :

Clique sur Analyser

Attention de bien attendre que les messages disant que l'analyse est terminée s'affichent

À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition, .
Ensuite envoie les rapports FRST et ADDITION sur CJOINT voir CE TUTORIEL puis donne les deux liens générés par Cjoint dans ta réponse.

Réponse 2 / 3

Sidjel

Merci pour ta réponse.

Voici :

https://www.cjoint.com/c/KKvoZSI6Qub

https://www.cjoint.com/c/KKvo0tcdAjb

bazfile Messages postés 58616 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 19 809

Pas d'infection sur ton pc ce que trouve Windows Defender ce sont des fichiers temporaires qui ont été générés par l'installation de UserBenchMark, ils sont dans le dossier temporaire de UserBenchMark qui se trouve dans :

C:\Users\Windows 7\AppData\Local\Temp\UserBenchMarkTemp

.
Ces fichiers sont :

C:\Users\Windows 7\AppData\Local\Temp\UserBenchMarkTemp\

FLOCK.exe

C:\Users\Windows 7\AppData\Local\Temp\UserBenchMarkTemp\

UBMDriveBench.exe
Si tu es ceratin de la non dangerosité de ces fichiers tu peux les mettre dans les exceptions de Windows Defender.

Tu as entre autre pas mal de tâches planifiées obsolètes si tu veux les supprimer fait ce qui suit :
Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

Start::
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction ?
Policies: C:\ProgramData\NTUSER.pol: Restriction
ask: {7632141F-3500-4DD5-B57D-E144401EE667} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Pas de fichier 
Task: {7BD87668-6780-4A60-8BD0-6C5F526B9A02} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe -ObjectStoreRecoveryTask (Pas de fichier)
Task: {7BE7DBCB-A223-4980-B488-2ECAE153EB77} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\WINDOWS\ehome\mcupdate.exe $(Arg0) (Pas de fichier)
Task: {82504460-E93D-4F26-B188-26B2560B8A80} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe -PvrRecoveryTask (Pas de fichier)
Task: {84DB4040-2A91-4619-B5BD-329536F4C507} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe -SqlLiteRecoveryTask (Pas de fichier)
Task: {85DAE601-ED8B-4AAE-9BAB-843C47AE81C9} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Pas de fichier 
Task: {8DA1FE6B-1FF7-46BA-8B24-B65E9357AD2D} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\WINDOWS\ehome\ehPrivJob.exe /PBDADiscovery (Pas de fichier)
Task: {95DD5BC1-AA1C-4173-B6DA-0FB17C71A8DF} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\WINDOWS\ehome\ehPrivJob.exe /wait:7 /PBDADiscovery (Pas de fichier)
Task: {9972D6A4-2F67-4972-9B9B-2428FD2CA502} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\WINDOWS\ehome\ehPrivJob.exe /DoReindexSearchRoot (Pas de fichier)
Task: {A2BBB802-21B2-46F9-AD3D-13B9A0768191} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-450474933-1786605423-1336299282-1003 => C:\Users\Windows 7\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (Pas de fichier)
Task: {A44233F1-3FFD-49E0-848A-295658D4D3F2} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Pas de fichier 
Task: {A5BC4DAB-BE4E-4775-877D-B9C84F1E2E25} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\WINDOWS\ehome\ehPrivJob.exe /DoActivateWindowsSearch (Pas de fichier)
Task: {AE3E63C1-50F6-44CE-B168-BE8C0642B030} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\WINDOWS\ehome\MCUpdate.exe -pscn 0 (Pas de fichier)
Task: {B0A71F64-FC80-4D67-BA37-CB66907A4B08} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Pas de fichier 
Task: {BACE2040-08C4-45CA-86B9-AD83CEACDAED} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Pas de fichier 
Task: {BC4034BD-672A-4B30-B20F-5E4A2CCA0818} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\WINDOWS\ehome\ehPrivJob.exe /DoUpdateRecordPath $(Arg0) (Pas de fichier)
Task: {C0DF8419-B3C8-4FB7-9596-E0C73EFAFF66} - \Microsoft\Windows\UNP\RunCampaignManager -> Pas de fichier 
Task: {C18050A8-4EF9-4FE3-9533-7AE8A62080F3} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\WINDOWS\ehome\mcupdate.exe -crl -hms -pscn 15 (Pas de fichier)
Task: {C9F44D21-F11F-4506-9340-243F30CC1987} - System32\Tasks\Hewlett-Packard\HP Support Assistant\HP Support Solutions Framework Updater => C:\Program Files (x86)\Hewlett-Packard\HP Support Solutions\Modules\HPSSFUpdater.exe /f (Pas de fichier)
Task: {CB5C7E5D-1857-4323-ADB6-18D4EED03036} - System32\Tasks\Microsoft\Windows\rempl\shell-usoscan => C:\Program Files\rempl\remsh.exe /RunUsoScanOnly (Pas de fichier)
Task: {DB119577-E6DB-4DE9-B788-D9BF2ED6900B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Pas de fichier 
Task: {DE41BE60-C763-4A50-AC80-8CD64C854F94} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Pas de fichier 
Task: {E2DD5FE0-E711-4BE0-B205-DE795B8FCD97} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\WINDOWS\ehome\ehPrivJob.exe /OCURActivate (Pas de fichier)
Task: {E33E4C1D-D231-4F09-9215-3899F0292814} - System32\Tasks\MSIAfterburner => C:\Program Files (x86)\MSI Afterburner\MSIAfterburner.exe /s (Pas de fichier)
Task: {E37B050D-3E08-4A8C-9F4E-91DD252A434C} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe -MediaCenterRecoveryTask (Pas de fichier)
Task: {F17A8D26-A4B8-4123-9384-7EF64FA135E5} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\WINDOWS\ehome\mcupdate.exe -PvrSchedule (Pas de fichier)
Task: {F6AE7DC1-A1D9-42CE-8093-BF77C1C3E824} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Pas de fichier 
Task: {F86BD6D8-5D6B-4E3B-9A23-3E53E12D48B4} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-450474933-1786605423-1336299282-500 => C:\Users\Windows 7\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (Pas de fichier)
Task: {FFA91CD1-7D97-4E30-8A87-AF2897B35A0A} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\WINDOWS\ehome\ehPrivJob.exe /DoRegisterSearch $(Arg0) (Pas de fichier)
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Pas de fichier
ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} =>  -> Pas de fichier
ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} =>  -> Pas de fichier
Edge Extension: (Pas de nom) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [non trouvé(e)]
Edge Extension: (Pas de nom) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [non trouvé(e)]
Edge Extension: (Pas de nom) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [non trouvé(e)]
Edge Extension: (Pas de nom) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [non trouvé(e)]
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk]
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk]
cmd: netsh advfirewall reset
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.

Discussions similaires

Impossible d'installer jdownloader

protection contre virus et menaces non disponible

Windows defender: avertissement de sécurité

Mise à jour de la protection contre les virus et menaces NOK

"Protection contre les virus et menaces" non disponible

Affecté par Misleading:Win32/Lodi

Attention de bien attendre que les messages disant que l'analyse est terminée s'affichent

Votre réponse

Discussions similaires