Trojan détecté par windows defenders impossible de supprimé

Fermé
Tensekaii Messages postés 1 Date d'inscription jeudi 8 juin 2023 Statut Membre Dernière intervention 8 juin 2023 - 8 juin 2023 à 10:35
bazfile Messages postés 55997 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 30 septembre 2024 - 8 juin 2023 à 15:39

Bonjour il y a quelque jour j'ai voulu cracké un jeu mais je n'aurai pas du car le virus viens d'un iso

J'ai tenté une analyse malwarebyte mais rien n'y rien il ne bouge pas et je ne trouve rien sur ce virus

Trojan:win32/wacatac.H!ML j'ai donc fais une analyse FRST en esperant vraiment que quelqu'un puisse m'aider ou si d'autre personne on le même problème pour eux aussi 

FRST.txt: https://pjjoint.malekal.com/files.php?id=FRST_20230608_l12d5w6c15j11

Addition: https://pjjoint.malekal.com/files.php?id=20230608_t12b6f5d11x15

ShortCut.txt: https://pjjoint.malekal.com/files.php?id=20230608_v10g9d5w6e6

Voila en vous remerciant pour votre temps et votre patiente 

A voir également:

2 réponses

bazfile Messages postés 55997 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 30 septembre 2024 Ambassadeur 19 150
Modifié le 11 juin 2023 à 08:31

Bonjour @Tensekaii StatutMembre .

Ce que détecte Windows Defender c'est un jeu piraté (Only.Up-SKIDROW) que tu as téléchargé, il est dans le dossier temporaire de l'utilisateur, il y a été mis lors de la décompression de ce jeu qui était sous la forme d'une archive .rar .

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
Task: {3B63834B-45B9-4D89-AA85-970843C3EAFD} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Pas de fichier)
Task: {D22C26A5-38DD-44D8-9360-5CBC28040DEE} - System32\Tasks\CareCenter\Opera GX Browser Assistant_Reg_HKCURun_S-1-5-21-121884968-3309014936-3257964329-1001 => C:\Users\quent\AppData\Local\Programs\Opera GX\assistant\browser_assistant.exe  (Pas de fichier)
Task: {F5A44D57-3209-4CF1-BA26-7DB67DD92BA4} - System32\Tasks\CareCenter\EpicGamesLauncher_Reg_HKCURun_S-1-5-21-121884968-3309014936-3257964329-1001 => C:\Program Files (x86)\Epic Games\Launcher\Portal\Binaries\Win64\EpicGamesLauncher.exe  -silent -launchcontext=boot (Pas de fichier)
C:\Users\quent\AppData\Local\Temp\Rar$DRa20148.48318
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur PJJOINT puis donne le lien généré par PJJOINT dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT


0
MisteryBean Messages postés 8758 Date d'inscription jeudi 19 décembre 2019 Statut Modérateur, Contributeur sécurité Dernière intervention 23 septembre 2024 1 229
8 juin 2023 à 15:26
0
bazfile Messages postés 55997 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 30 septembre 2024 19 150
Modifié le 11 juin 2023 à 17:22

Doublon.

Bien vu ;) 

Le n'apache aurait du vérifier si la détection n'est pas simplement dans  l'historique de Windows Defender .

Doublon + pas de réponse, donc je ferme ce post.

0