Trojan bien bloqué et supprimé ?

Résolu/Fermé
RaidenLite Messages postés 4 Date d'inscription dimanche 11 juin 2023 Statut Membre Dernière intervention 12 juin 2023 - Modifié le 12 juin 2023 à 11:22
bazfile Messages postés 56741 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 28 décembre 2024 - 12 juin 2023 à 11:22

Bonjour tout le monde,

Voila, ce matin je jouais tranquillement à Diablo 4 avec Opera GX qui tournait derrière avec seulement Twitch, FB, et une boîte mail d'ouverte quand tout à coup Windows Defender me sort une notification pour me dire qu'il vient de bloquer et supprimer un fichier "wacatac.b!ml" dans le dossier de cache d'Opera.

J'ai directement déconnecté mon cable ethernet (on sait jamais), j'ai fait une analyse rapide de l'ordi via WD (rien trouvé), j'ai ensuite fait une analyse complète (il m'a trouvé de vieux .exe que je n'avais pas touché depuis longtemps mais en menace "basse") et j'ai ensuite fait une analyse complète hors-ligne avec WD toujours (qui n'a rien trouvé de plus).

J'ai ensuite lancé Malwarebytes free qui m'a ressorti les fameux .exe comme menaces, j'ai donc tout supprimé, relancé des analyses rapides entre MB et WD et rien de détecté.

Ma question est : est-ce que le fait que WD ait bloqué le wacatac m'a évité le pire ? Reste-t-il quelque chose de dangeureux ? J'ai lu tout et n'importe quoi (faux positif, menace bien réelle etc). Pour l'instant l'ordi n'a été connecté à internet que pour l'installation de MB, mieux vaut prévenir que guérir.

Je mets ici les fichiers frst pour avoir les lumières des connaisseurs (Bazfile par exemple :) ) :

FRST: https://pjjoint.malekal.com/files.php?id=FRST_20230611_w15u15f8c9w13 
Addition: https://pjjoint.malekal.com/files.php?id=20230611_c913w7g8y13 
Shortcut :  https://pjjoint.malekal.com/files.php?id=20230611_l612h512b15 

Ps: au cas où j'ai changé mes mdp dans la foulée.
Windows / Opera 99.0.0.0

A voir également:

2 réponses

RaidenLite Messages postés 4 Date d'inscription dimanche 11 juin 2023 Statut Membre Dernière intervention 12 juin 2023
12 juin 2023 à 09:30

Hello,

Au final j'ai opté pour unr reinstallation de windows 11 via usb en supprimant et formattant le ssd et les 2 hdd.

MB avait détecté des zip de minage troyens qui residaient dans le dossier filehistory et ils revenaient sans cesse.

Merci quand même la compagnie, si jamais vous voulez jeter un oeil aux frst je suis tout de même preneur ????

0
bazfile Messages postés 56741 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 28 décembre 2024 19 345
Modifié le 12 juin 2023 à 10:56

Bonjour.

Ce que détectait Windows Defender c'était :

- Un fichier que tu avais téléchargé (xmrig-6.18.0-gcc-win64.zip) sa suppression aurait suffit, ce fichier était dans dans 

C:\Users\Dimitri\Downloads\xmrig-6.18.0-gcc-win64.zip

- Un autre fichier était détecté il était dans le cache du navigateur Opéra, il suffisait de supprimer le cache d'Opéra.

Il y avait aussi des choses qui se lançaient au démarrage du pc je ne sais pas si elles étaient de ton fait ou pas exemple :

Startup: C:\Users\Dimitri\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\hide_cmd_window2.vbs [2015-01-24] 

Vu que tu as réinstallé Windows il n'y a désormais plus rien de tout ça.


0
RaidenLite Messages postés 4 Date d'inscription dimanche 11 juin 2023 Statut Membre Dernière intervention 12 juin 2023
12 juin 2023 à 11:16

Hello Bazfile et merci pour tes lumières !

Oui xmrig je l'avais utilisé et desinstallé très rapidement l'an dernier mais pas le zip (erreur idiote).

Pour le cache j'avais déjà bien tout vidé dans la journée.

Pour ce qui est du dernier fichier il me semble bien que c'est le script que j'avais pour bloquer le volume de mon micro (il augmentait et se baisser par défaut sur windows c'était infernal sa façon de compenser).

Désolé du dérangement mais me voilà tout de même rassuré, encore merci !

0
bazfile Messages postés 56741 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 28 décembre 2024 19 345 > RaidenLite Messages postés 4 Date d'inscription dimanche 11 juin 2023 Statut Membre Dernière intervention 12 juin 2023
12 juin 2023 à 11:22

De rien.

@+ sur CCM.

0