Trojan:Script/Wacatac.H!ml détecté dans C:\Windows\Temp\
Résolubazfile Messages postés 58616 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
Depuis le 24/03/23, je reçois des alertes Windows Defender (sous Windows 10) comme celle-ci :
Menace bloquée
26/03/2023 23:23
Détecté : Trojan:Script/Wacatac.H!ml
État : Supprimé
Une menace ou une application a été supprimée de cet appareil.
Date : 26/03/2023 23:23
Détails : Ce programme est dangereux et il exécute des commandes émanant d’une personne malveillante.
Éléments affectés : file: C:\Windows\Temp\{7E419F1B-A8FA-41DC-A0D8-2E4F89B01F60}-13337-ART6GG-573069c68dd56c16ff04dc1241aee89c.zip
Ou celle-ci :
Mise à jour incomplète
24/03/2023 20:37
Détecté : Trojan:Script/Wacatac.H!ml
État : Échec
Cette menace ou cette application n'est peut-être pas entièrement restaurée.
Date : 24/03/2023 20:38
Détails : Ce programme est dangereux et il exécute des commandes émanant d’une personne malveillante.
Éléments affectés :
file: C:\Windows\Temp\{8E198F8E-4B84-4282-BDFB-C8A328AD3A41}-13337-ART6GG-573069c68dd56c16ff04dc1241aee89c.zip
Elles se manifestent tous les deux jours et elles vont par deux : espacées d'une minute. La première est "mise à jour incomplète" et la seconde est "menace bloquée". Sauf celle d'aujourd'hui : deux "menace bloquée" à une minute d'intervalle.
Je précise aussi qu'elles se manifestent toujours quelques secondes après allumage du PC.
Je précise aussi que je n'ai rien installé ni téléchargé de suspect récemment. Je suis aussi très vigilant concernant mes mails reçus.
Mon hypothèse serait qu'un logiciel tente de se mettre à jour au démarrage, télécharge son fichier dans C:\Windows\Temp mais Windows Defender l'interprête à tort comme un trojan. Si c'est cela, comment savoir quel logiciel est à l'origine de ce souci ?
Que puis-je faire ?
Merci d'avance pour votre aide.
Windows / Firefox 111.0
- Trojan:win32/wacatac.h!ml
- Wacatac.h!ml - Meilleures réponses
- Trojan:script/wacatac.h!ml - Meilleures réponses
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Csrss.exe trojan ✓ - Forum Virus
- Trojan agent ✓ - Forum Virus
- [Virus] Trojan ou virus dans csrss.exe et spo - Forum Virus
- Trojan b901 system32 win config 34 ✓ - Forum Virus
3 réponses
C'est le fichier {233B7F60-09ED-402D-91D8-89B64052CDBF}-13337-ART6GG-573069c68dd56c16ff04dc1241aee89c.zip qui est détecté il est lié à un processus légitime (Asus Update).
Nom : Trojan:Script/Wacatac.B!ml
ID : 2147735503
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : file:_C:\Windows\Temp\{233B7F60-09ED-402D-91D8-89B64052CDBF}-13337-ART6GG-573069c68dd56c16ff04dc1241aee89c.zip
Nom du processus : C:\Program Files (x86)\ASUS\Update\<strong>AsusUpdate.exe</strong>
Il y a le logiciel X-Rite Device Services Manager qui est installé sur ton pc est-ce toi qui l'a installé ? Car il a des tâches planifiées un peu bizarre.
Donne moi ta réponse pour X-Rite Device Services Manager je te ferais un script en conséquence.
Bonjour.
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :
Clique sur Analyser
Attention, attendre que les messages disant que l'analyse est terminée s'affichent.
À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition.
Ensuite envoie les rapports FRST et ADDITION sur PJJOINT voir CE TUTORIEL puis donne les deux liens générés par PJJOINT dans ta réponse.
Bonjour bazfile,
Merci d'avoir pris le temps de me répondre. J'ai suivi tes instructions et voici les liens demandés :
https://pjjoint.malekal.com/files.php?id=FRST_20230328_i5s5j8y14e9
https://pjjoint.malekal.com/files.php?id=20230328_127l12o12o14
Merci beaucoup, me voilà rassuré.
Comment se fait-il qu'une mise à jour Asus soit détectée comme un cheval de Troie ?
X-Rite device manager est un logiciel que j'ai installé moi-même pour calibrer la colorimétrie de mon écran à l'aide d'une sonde. Il tourne en permanence pour corriger la couleur de l'écran, c'est un comportement normal.
Windows Defender comme tous les antivirus fait des faux positifs, le fichier qu'il a trouvé ne fait pas parti d'un processus actif vu que c'est un fichier compressé (zip) qui est dans le dossier temporaire, si tu le souhaites tu peux mettre AsusUpdate.exe dans les exceptions de Windows Defender il est dans C:\Program Files (x86)\ASUS\Update\AsusUpdate.exe.
Si tu souhaites supprimer le fichier détecté par Windows Defender, fait ce qui suit.
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur PJJOINT puis donne le lien généré par PJJOINT dans ta réponse.
5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT
J'ai choisi la première solution : ajouter Asus aux exceptions.
Je reviendrai si je rencontre à nouveau un souci mais ça devrait aller. Merci d'avoir passé du temps à m'aider à résoudre mon problème et surtout à me rassurer.
Bonne soirée.
De rien.
@+ sur CCM.