Trojan wacatac , que dois-je faire ?

Résolu
NGin89 - 4 févr. 2024 à 11:32
bazfile Messages postés 56442 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 21 novembre 2024 - 4 févr. 2024 à 19:51

J’ai voulu obtenir une version de Photoshop sur emule. Me voilà infecté par un trojan.

Ma première réaction était de démarrer en safe mode, mais je peux pas télécharger malwarebyte en safe mode et defender fonctionne pas non plus.

Ma première question est ; est-ce que je peux redémarrer en mode normal et activer internet pour télécharger malwarebyte sans transformer mon pc en grille-pain?

2 réponses

bazfile Messages postés 56442 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 21 novembre 2024 19 285
Modifié le 4 févr. 2024 à 15:40

L'alerte vient d'un fichier que tu as téléchargé avec Emule, donc ce n'est pas un processus actif, depuis tu as désinstallé Emule mais son dossier de stockage des téléchargements est toujours présent.

Par contre tu as une infection qui n'a pas été vue par l'antivirus, ton pc doit être plutôt ralenti.

Désinstalle WebAdvisor par McAfee c'est un adware.

Pour supprimer l'infection et le fichier Emule qui provoque l'alerte fait ce qui suit :

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
Task: {4C70C8A1-23FF-4D95-A386-65006F4931C6} - System32\Tasks\GoogleSystem\GoogleUpdater\GoogleUpdaterTaskSystem123.0.6268.0{BDCE3032-433A-4218-8778-5FE2DC803A2B} => C:\Program Files (x86)\Google\GoogleUpdater\123.0.6268.0\updater.exe [4638496 2024-01-27] (Google LLC -> Google LLC) 
S2 GoogleUpdaterInternalService123.0.6268.0; C:\Program Files (x86)\Google\GoogleUpdater\123.0.6268.0\updater.exe [4638496 2024-01-27] (Google LLC -> Google LLC) 
S2 GoogleUpdaterService123.0.6268.0; C:\Program Files (x86)\Google\GoogleUpdater\123.0.6268.0\updater.exe [4638496 2024-01-27] (Google LLC -> Google LLC)
HKU\S-1-5-21-3475074838-1142741655-3746517992-1001\...\Run: [EADM] => "C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EALauncher.exe" -silent (Pas de fichier)
HKU\S-1-5-21-3475074838-1142741655-3746517992-1001\...\Run: [GalaxyClient] => [X]
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Pas de fichier)
S3 cpuz148; \??\C:\Windows\temp\cpuz148\cpuz148_x64.sys [X]
ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} =>  -> Pas de fichier
AlternateDataStreams: C:\Windows\system32\Drivers\rnevijag.sys:changelist [306]
FirewallRules: [{35B81B59-0A81-41E8-8F64-1A4D85E6CF09}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EAConnect_microsoft.exe => Pas de fichier
FirewallRules: [{73360C20-4DE1-45B3-A693-BE2E63CA66E5}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EAConnect_microsoft.exe => Pas de fichier
FirewallRules: [{AF9F85C9-78EF-4C33-BA90-79B911F7FE0D}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EADesktop.exe => Pas de fichier
FirewallRules: [{F3A14C33-215E-48E5-804E-CFB080EC3B8B}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EADesktop.exe => Pas de fichier
FirewallRules: [{A3128FE0-3A27-45B0-9E74-03B96FF750CF}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EAGEP.exe => Pas de fichier
FirewallRules: [{C4149105-DEB0-4234-A2EE-50079DE77590}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EAGEP.exe => Pas de fichier
FirewallRules: [{0DDBC504-EA70-4C47-89AE-A680E0D77A80}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EALocalHostSvc.exe => Pas de fichier
FirewallRules: [{EC829A5A-058F-4EAD-A288-9BFD78BC5B29}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EALocalHostSvc.exe => Pas de fichier
FirewallRules: [{3BCA6712-4BD1-4D84-B97F-64659DAE5900}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EALaunchHelper.exe => Pas de fichier
FirewallRules: [TCP Query User{3925A497-ED9F-4886-86F0-E19AEEF051FA}C:\program files (x86)\steam\steamapps\common\grand theft auto v\gta5.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\grand theft auto v\gta5.exe => Pas de fichier
FirewallRules: [UDP Query User{A074A089-6363-41AB-B2FD-14A1FB27B477}C:\program files (x86)\steam\steamapps\common\grand theft auto v\gta5.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\grand theft auto v\gta5.exe => Pas de fichier
FirewallRules: [TCP Query User{18B54912-BF30-4BC2-B3A1-B865C901519B}C:\program files (x86)\steam\steamapps\common\baldurs gate 3\bin\bg3.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\baldurs gate 3\bin\bg3.exe => Pas de fichier
FirewallRules: [UDP Query User{9986DF70-D10D-4AF1-94B6-D3E8302EA8BD}C:\program files (x86)\steam\steamapps\common\baldurs gate 3\bin\bg3.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\baldurs gate 3\bin\bg3.exe => Pas de fichier
FirewallRules: [TCP Query User{D837B5A6-43E3-42BB-999A-C276D3C6EB23}C:\program files (x86)\steam\steamapps\common\spyro reignited trilogy\falcon\binaries\win64\spyro-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\spyro reignited trilogy\falcon\binaries\win64\spyro-win64-shipping.exe => Pas de fichier
FirewallRules: [UDP Query User{59B44CF6-D961-4126-87BE-B2B2F83A5E70}C:\program files (x86)\steam\steamapps\common\spyro reignited trilogy\falcon\binaries\win64\spyro-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\spyro reignited trilogy\falcon\binaries\win64\spyro-win64-shipping.exe => Pas de fichier
FirewallRules: [TCP Query User{5B350E4C-2500-49A4-91F5-3200A72F992B}C:\program files (x86)\steam\steamapps\common\red dead redemption 2\rdr2.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\red dead redemption 2\rdr2.exe => Pas de fichier
FirewallRules: [UDP Query User{5669EEB7-3109-4A1C-B8AF-7FDC588AFA8D}C:\program files (x86)\steam\steamapps\common\red dead redemption 2\rdr2.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\red dead redemption 2\rdr2.exe => Pas de fichier
FirewallRules: [TCP Query User{132261FA-D329-410B-9A0D-B525BD4D8DBB}C:\program files (x86)\emule\emule.exe] => (Allow) C:\program files (x86)\emule\emule.exe => Pas de fichier
FirewallRules: [UDP Query User{6B4FCBE0-10A3-4FB4-9980-A284D77ED1E7}C:\program files (x86)\emule\emule.exe] => (Allow) C:\program files (x86)\emule\emule.exe => Pas de fichier
FW: McAfee (Enabled) {2FDD6819-222E-5E9F-F5E7-E13A2241D502}
FF Homepage: Mozilla\Firefox\Profiles\49wwxk00.default-release -> hxxps://www.bing.com/?PC=M866
HR StartupUrls: Default -> "hxxps://www.bing.com/?PC=M866"
C:\ProgramData\eMule 
C:\Users\Sylva\Downloads\eMule\Temp\010.part
C:\Program Files (x86)\Google\GoogleUpdater\123.0.6268.0\updater.exe
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://www.cjoint.com/ puis donne le lien généré par https://www.cjoint.com/ dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT.


1

https://www.cjoint.com/c/NBeqch7IBPh - Fixlog

Merci beaucoup pour votre aide, entre temps j'avais installé et fait tourner malwarebytes qui ne détectait aucune menace (alors que defender oui).

j'ai exécuté votre script et refait tourner malwarebytes qui ne détecte aucune menace.

J'avais aussi supprimé le dossier temp de emule...

Tout semble aller, reste à voir dans le temps si je n'ai pas d'intrusions/vol de données.

0
bazfile Messages postés 56442 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 21 novembre 2024 19 285 > NGin89
Modifié le 4 févr. 2024 à 19:52

Le fixlog est OK, ton pc est propre.

Change tes mots de passe en ligne sensibles et importants pour toi, ils ont pu être dérobés non pas par Wacatac trouvé par Windows Defender mais par l'autre infection qui elle était active via des services et une tâche planifiée.



IMPORTANT :

Désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.

1
bazfile Messages postés 56442 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 21 novembre 2024 19 285
4 févr. 2024 à 11:34

Bonjour.

Télécharge FRST .

Une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :

Attend que le message l'outil est prêt à fonctionner s'affiche puis clique sur Analyser


Attention, attendre que les messages disant que l'analyse est terminée s'affichent.

À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition.

Ensuite envoie les rapports FRST et ADDITION sur https://www.cjoint.com/ puis donne les deux liens générés par https://www.cjoint.com/ dans ta réponse. 


0

Bonjour merci de me répondre aussi vite :-)

Croyez-vous vraiment que je puisse réactiver le wifi?

Car pour l’instant j’utilise mon smartphone.

0
bazfile Messages postés 56442 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 21 novembre 2024 19 285 > NGin89
4 févr. 2024 à 12:45

Ne t'affole pas il ne vas pas te sauter au visage, il me faut les rapports FRST sans eux je ne peux rien voir et donc rien faire.

0
NGin89 > bazfile Messages postés 56442 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 21 novembre 2024
Modifié le 4 févr. 2024 à 14:15
0