Sujet Précédent Sujet Suivant

Trojan:Script/Wacatac.H!ml détecté dans C:\Windows\Temp\

Résolu/Fermé
Lenny_Ghost Messages postés 4 Date d'inscription mardi 28 mars 2023 Statut Membre Dernière intervention 29 mars 2023 - Modifié le 28 mars 2023 à 01:54
bazfile Messages postés 57191 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 2 février 2025 - 29 mars 2023 à 21:22

Bonjour,

Depuis le 24/03/23, je reçois des alertes Windows Defender (sous Windows 10) comme celle-ci :

Menace bloquée
26/03/2023 23:23

Détecté : Trojan:Script/Wacatac.H!ml
État : Supprimé
Une menace ou une application a été supprimée de cet appareil.
Date : 26/03/2023 23:23
Détails : Ce programme est dangereux et il exécute des commandes émanant d’une personne malveillante.

Éléments affectés : file: C:\Windows\Temp\{7E419F1B-A8FA-41DC-A0D8-2E4F89B01F60}-13337-ART6GG-573069c68dd56c16ff04dc1241aee89c.zip

Ou celle-ci :

Mise à jour incomplète
24/03/2023 20:37

Détecté : Trojan:Script/Wacatac.H!ml
État : Échec
Cette menace ou cette application n'est peut-être pas entièrement restaurée.

Date : 24/03/2023 20:38
Détails : Ce programme est dangereux et il exécute des commandes émanant d’une personne malveillante.

Éléments affectés :
file: C:\Windows\Temp\{8E198F8E-4B84-4282-BDFB-C8A328AD3A41}-13337-ART6GG-573069c68dd56c16ff04dc1241aee89c.zip

Elles se manifestent tous les deux jours et elles vont par deux : espacées d'une minute. La première est "mise à jour incomplète" et la seconde est "menace bloquée". Sauf celle d'aujourd'hui : deux "menace bloquée" à une minute d'intervalle.
Je précise aussi qu'elles se manifestent toujours quelques secondes après allumage du PC.

Je précise aussi que je n'ai rien installé ni téléchargé de suspect récemment. Je suis aussi très vigilant concernant mes mails reçus.

Mon hypothèse serait qu'un logiciel tente de se mettre à jour au démarrage, télécharge son fichier dans C:\Windows\Temp mais Windows Defender l'interprête à tort comme un trojan. Si c'est cela, comment savoir quel logiciel est à l'origine de ce souci ?

Que puis-je faire ?

Merci d'avance pour votre aide.


Windows / Firefox 111.0

A voir également:

3 réponses

Réponse 1 / 3
bazfile Messages postés 57191 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 2 février 2025 19 445
Modifié le 29 mars 2023 à 08:19

C'est le fichier {233B7F60-09ED-402D-91D8-89B64052CDBF}-13337-ART6GG-573069c68dd56c16ff04dc1241aee89c.zip qui est détecté il est lié à un processus légitime (Asus Update).

 
Nom : Trojan:Script/Wacatac.B!ml
ID : 2147735503
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : file:_C:\Windows\Temp\{233B7F60-09ED-402D-91D8-89B64052CDBF}-13337-ART6GG-573069c68dd56c16ff04dc1241aee89c.zip
Nom du processus : C:\Program Files (x86)\ASUS\Update\<strong>AsusUpdate.exe</strong>

Il y a le logiciel X-Rite Device Services Manager qui est installé sur ton pc est-ce toi qui l'a installé ? Car il a des tâches planifiées un peu bizarre.

Donne moi ta réponse pour X-Rite Device Services Manager je te ferais un script en conséquence.
1
Lenny_Ghost Messages postés 4 Date d'inscription mardi 28 mars 2023 Statut Membre Dernière intervention 29 mars 2023
29 mars 2023 à 00:58

Merci beaucoup, me voilà rassuré.

Comment se fait-il qu'une mise à jour Asus soit détectée comme un cheval de Troie ?


X-Rite device manager est un logiciel que j'ai installé moi-même pour calibrer la colorimétrie de mon écran à l'aide d'une sonde. Il tourne en permanence pour corriger la couleur de l'écran, c'est un comportement normal.

0
bazfile Messages postés 57191 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 2 février 2025 19 445 > Lenny_Ghost Messages postés 4 Date d'inscription mardi 28 mars 2023 Statut Membre Dernière intervention 29 mars 2023
Modifié le 29 mars 2023 à 08:37

Comment se fait-il qu'une mise à jour Asus soit détectée comme un cheval de Troie ?

Windows Defender comme tous les antivirus fait des faux positifs, le fichier qu'il a trouvé ne fait pas parti d'un processus actif vu que c'est un fichier compressé (zip) qui est dans le dossier temporaire, si tu le souhaites tu peux mettre AsusUpdate.exe dans les exceptions de Windows Defender il est dans C:\Program Files (x86)\ASUS\Update\AsusUpdate.exe.
 

Si tu souhaites supprimer le fichier détecté par Windows Defender, fait ce qui suit.
 

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
C:\Windows\Temp\{233B7F60-09ED-402D-91D8-89B64052CDBF}-13337-ART6GG-573069c68dd56c16ff04dc1241aee89c.zip
GroupPolicy: Restriction ? 
Policies: C:\ProgramData\NTUSER.pol: Restriction
cmd: netsh advfirewall reset 
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur PJJOINT puis donne le lien généré par PJJOINT dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

1
Lenny_Ghost Messages postés 4 Date d'inscription mardi 28 mars 2023 Statut Membre Dernière intervention 29 mars 2023 > bazfile Messages postés 57191 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 2 février 2025
29 mars 2023 à 21:02

J'ai choisi la première solution : ajouter Asus aux exceptions.

Je reviendrai si je rencontre à nouveau un souci mais ça devrait aller. Merci d'avoir passé du temps à m'aider à résoudre mon problème et surtout à me rassurer.

Bonne soirée.

0
bazfile Messages postés 57191 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 2 février 2025 19 445 > Lenny_Ghost Messages postés 4 Date d'inscription mardi 28 mars 2023 Statut Membre Dernière intervention 29 mars 2023
29 mars 2023 à 21:22

De rien.

@+ sur CCM.

0
Réponse 2 / 3
bazfile Messages postés 57191 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 2 février 2025 19 445
28 mars 2023 à 10:01

Bonjour.

Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :

Clique sur Analyser

Attention, attendre que les messages disant que l'analyse est terminée s'affichent.

À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition.

Ensuite envoie les rapports FRST et ADDITION sur PJJOINT voir CE TUTORIEL puis donne les deux liens générés par PJJOINT dans ta réponse.
0
Réponse 3 / 3
Lenny_Ghost Messages postés 4 Date d'inscription mardi 28 mars 2023 Statut Membre Dernière intervention 29 mars 2023
Modifié le 28 mars 2023 à 22:10

Bonjour bazfile,

Merci d'avoir pris le temps de me répondre. J'ai suivi tes instructions et voici les liens demandés :

https://pjjoint.malekal.com/files.php?id=FRST_20230328_i5s5j8y14e9 

https://pjjoint.malekal.com/files.php?id=20230328_127l12o12o14 
0

Discussions similaires

Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Aide pour un virus
cerise92700 -
MisteryBean -

41 réponses
Trojan impossible à supprimer!
Gridouu -
Malekal_morte- -

12 réponses
Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses
Comment éliminer manuellement virus trojan?
ballag -
RClog -

12 réponses