INFECTION Trojan:Win32/Wacatac.B!ml, Trojan:VBS/Mutuodo.A et BrowserModifier:Win32/Prifou [résolu]

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Elfen
Messages : 4
Inscription : 29 nov. 2020 08:26

INFECTION Trojan:Win32/Wacatac.B!ml, Trojan:VBS/Mutuodo.A et BrowserModifier:Win32/Prifou [résolu]

par Elfen »

Bonjour,

suite à un téléchargement, j'ai eu une alerte sécurité concernant le cheval de Troie Trojan Trojan:Win32/Wacatac.B!ml. Pourriez vous m'aider à me sortir de ce bazar pour rester poli ?

J'ai procédé à l'analyse par FRST dont voici les rapports

https://pjjoint.malekal.com/files.php?i ... 15m96z9s13
https://pjjoint.malekal.com/files.php?i ... 6l10i12l13
https://pjjoint.malekal.com/files.php?i ... 13t7s11s11

En vous remerciant par avance.
Malekal_morte
Messages : 108312
Inscription : 10 sept. 2005 13:57

Re: INFECTION Trojan:Win32/Wacatac.B!ml, Trojan:VBS/Mutuodo.A et BrowserModifier:Win32/Prifou

par Malekal_morte »

Bonjour,

Ouaip tu as téléchargé des malwares : Trojan:Win32/Wacatac.B!ml, Trojan:VBS/Mutuodo.A et rowserModifier:Win32/Prifou
Il y a aussi pas mal de détections et alertes Windows Defender sur App:Utorrent.

Date: 2020-11-28 21:14:55.6430000Z
Description:
Antivirus Microsoft Defender a rencontré une erreur critique lors d’une action sur un logiciel malveillant ou potentiellement indésirable.
Pour plus d’informations, reportez-vous aux éléments suivants :
ID : 2147735505
Gravité : Grave
Catégorie : Cheval de Troie
Nom : Trojan:Win32/Wacatac.B!ml
Chemin : file:_C:\Users\ANDRE\Downloads\Setup.exe

Origine de la détection : Ordinateur local
Type de détection : Chemin rapide
Source de détection : Système
Utilisateur : DESKTOP-UD75NCK\ANDRE
Nom du processus : Unknown
Action : Inconnu
État de l’action : No additional actions required
Code d’erreur : 0x80508032
Description de l’erreur : Un problème inattendu s’est produit. Installez toutes les mises à jour disponibles, puis essayez de redémarrer le programme. Pour plus d’informations sur l’installation des mises à jour, voir Aide et support.

Date: 2020-11-29 08:01:31.9240000Z
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Nom : Trojan:VBS/Mutuodo.A
ID : 2147724374
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : file:_C:\Users\ANDRE\AppData\Roaming\Facubi\Guletoho.dat; file:_C:\Users\ANDRE\AppData\Roaming\Hokaco\Guletoho.dat
Origine de la détection : Ordinateur local
Type de détection : Concret
Source de détection : Protection en temps réel
Utilisateur : DESKTOP-UD75NCK\ANDRE
Nom du processus : C:\Users\ANDRE\Desktop\esetonlinescanner.exe


Date: 2020-11-29 08:01:04.6490000Z
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Pour plus d’informations, reportez-vous aux éléments suivants :
Nom : BrowserModifier:Win32/Prifou
ID : 224074
Gravité : Élevée
Catégorie : Modificateur de navigateur
Chemin : file:_C:\Users\ANDRE\AppData\Roaming\Dorosoda\synhelper.exe; file:_C:\Users\ANDRE\AppData\Roaming\Facubi\synhelper.exe; file:_C:\Users\ANDRE\AppData\Roaming\Katefabobu\synhelper.exe
Origine de la détection : Ordinateur local
Type de détection : Concret
Source de détection : Protection en temps réel
Utilisateur : DESKTOP-UD75NCK\ANDRE
Nom du processus : C:\Users\ANDRE\Desktop\esetonlinescanner.exe
Tu t'es aussi fait avoir par InstallCore
Attention à ce que tu installes.
Tu t'es fait avoir par un installer InstallCore, une plateforme de PUP (programmes potentiellement indésirables) qui est proposé sur des sites de téléchargement ou à travers de fausses mises à jour Java, Flash.
Cela propose d'installer Chromium pour forcer Yahoo!, ByteFence, Segurazo Avast!, McAfee Security Advisor ou McAfee LiveSafe.
Pour ne plus te faire avoir à lire : PUPs InstallCore





~~



Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
Ils encombrent Windows et peuvent le ralentir.
Tu peux donc les désinstaller.
Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :
Search the Web (Yahoo)
Secured Yahoo Powered
Web Search (Yahoo! Provided)
WebAdvisor par McAfee (sert à rien)
Wondershare
Yahoo! Powered

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-3037481456-692558157-266702076-1001\...\Run: [Chromium] => "c:\users\andre\appdata\local\chromium\application\chrome.exe" --auto-launch-at-startup --profile-directory="Default" --restore-last-session
Task: {0FB1E401-406E-428B-81F1-D7C46BAFCBDC} - System32\Tasks\synhelper\{370F1B82-A325-2EF2-9CB9-1DADC720E032} => C:\Program Files (x86)\Common Files\Sehefihapi\synhelper.exe [0 2013-05-06] () <==== ATTENTION
Task: {17A451A0-F893-4B9F-A1E0-96CF01A1A0B3} - System32\Tasks\syncversion\{370F1B82-A325-2EF2-9CB9-1DADC720E032} => C:\PROGRA~2\COMMON~1\Balapopu\SYNCVE~1.EXE
Task: {21F7E41D-D2E6-4190-8D63-60F9DB9594E5} - System32\Tasks\Bing Search Engine retot => C:\Windows\system32\wscript.exe "C:\ProgramData\{DA581F3B-501A-95FD-D6DC-0BBF4C9E8071}\dede.txt" "687474703a2f2f77617662736c792e636f6d"
Task: {49D7CFAA-97AE-41D5-930F-F4692FCF8C2C} - System32\Tasks\SyncVersion\{438C070F-83C8-E29B-45D8-789953957598} => C:\PROGRA~2\COMMON~1\438C07~1\SYNCVE~1.EXE
Task: {8BDBAEEA-85FC-4FFD-8B8B-E3F2FB179330} - System32\Tasks\{558E78AF-CF05-FE72-32FB-1581D1FDB77F} => C:\Users\ANDRE\AppData\Local\558E78~1\SYNHEL~1.EXE <==== ATTENTION
Task: {8D45C726-D251-4770-8BA5-1691BA2DD714} - System32\Tasks\{4EAFC415-F673-7CFF-5A78-5473C60350F9} => C:\Users\ANDRE\AppData\Local\Polakad\SYNCVE~1.EXE
Task: {6786AA5E-02A7-4CF5-88DE-16C6EDD4849C} - System32\Tasks\{781092D6-6583-9ECD-B4B1-628A5B348AC5} => C:\Users\ANDRE\AppData\Roaming\Hokaco\SYNHEL~1.EXE
Task: {9FCAA052-6A72-4837-B1CB-659FDB444AB6} - System32\Tasks\Lulorulil\{438C070F-83C8-E29B-45D8-789953957598} => C:\PROGRA~2\COMMON~1\Barinaga\LULORU~1.EXE
Task: {C6D9D7FC-61D7-4661-B07A-A7417E5F3C05} - System32\Tasks\{1A8C7F03-14B0-23ED-1C50-50269BD847D2} => C:\Users\ANDRE\AppData\Roaming\bodor\SYNHEL~1.EXE
Task: {E51D43FD-D86C-4631-9C63-FD7A7FF74732}
2016-09-22 21:11 - 2016-09-22 21:11 - 000003340 _____ () C:\Users\ANDRE\installshield_scm.reg
2017-05-12 17:34 - 2017-05-12 17:34 - 000421888 _____ () C:\Users\ANDRE\lame_enc.dll
2016-09-22 21:11 - 2016-09-22 21:11 - 000001854 _____ () C:\Users\ANDRE\scm.reg
2019-08-27 20:44 - 2019-08-27 20:44 - 000217790 _____ () C:\Users\ANDRE\AppData\Roaming\Cosogoguri
2019-04-27 18:37 - 2019-04-27 18:37 - 000362736 _____ () C:\Users\ANDRE\AppData\Roaming\Komafubimad
2019-06-27 12:37 - 2019-06-27 12:37 - 000165279 _____ () C:\Users\ANDRE\AppData\Roaming\Kubelag
2019-09-05 00:58 - 2019-09-05 00:58 - 000194506 _____ () C:\Users\ANDRE\AppData\Roaming\Kudadibuce
2019-05-23 19:37 - 2019-05-23 19:37 - 000305031 _____ () C:\Users\ANDRE\AppData\Roaming\Luhigilotece
2019-07-28 07:37 - 2019-07-28 07:37 - 000320318 _____ () C:\Users\ANDRE\AppData\Roaming\Lulorab
2019-06-08 23:37 - 2019-06-08 23:37 - 000286757 _____ () C:\Users\ANDRE\AppData\Roaming\Nagelisobima
2020-10-20 16:46 - 2020-11-08 11:20 - 000000016 _____ () C:\Users\ANDRE\AppData\Roaming\obs-virtualcam.txt
2019-06-27 12:37 - 2019-06-27 12:37 - 000165279 _____ () C:\Users\ANDRE\AppData\Roaming\Pigokerere
2019-09-05 00:58 - 2019-09-05 00:58 - 000165862 _____ () C:\Users\ANDRE\AppData\Roaming\Rohehepepo
2019-04-08 17:37 - 2019-04-08 17:37 - 000287568 _____ () C:\Users\ANDRE\AppData\Roaming\Ruberilok
2016-09-22 18:21 - 2020-01-18 07:27 - 000000613 _____ () C:\Users\ANDRE\AppData\Roaming\WB.CFG
2017-12-15 20:13 - 2017-12-15 20:13 - 000000068 _____ () C:\Users\ANDRE\AppData\Local\2k5n8qbwh2
2019-06-09 15:25 - 2019-06-09 15:25 - 000001707 _____ () C:\Users\ANDRE\AppData\Local\recently-used.xbel
2019-04-26 21:26 - 2019-04-26 21:26 - 000359254 _____ () C:\Users\ANDRE\AppData\Local\UVWX
2019-08-07 16:26 - 2020-01-14 18:24 - 000326427 _____ () C:\Users\ANDRE\AppData\Local\UVWXY
2019-08-07 16:24 - 2019-08-07 16:24 - 000145105 _____ () C:\Users\ANDRE\AppData\Local\UVWXYZ
2019-04-26 21:24 - 2020-04-02 16:33 - 000100618 _____ () C:\Users\ANDRE\AppData\Local\UVWXYZa
2020-01-14 18:35 - 2020-04-01 21:26 - 000201236 _____ () C:\Users\ANDRE\AppData\Local\UVWXYZah
2017-12-14 19:03 - 2017-12-18 18:35 - 000000068 _____ () C:\Users\ANDRE\AppData\Local\UVWXYZahov
C:\Users\ANDRE\AppData\Roaming\Facubi
C:\Users\ANDRE\AppData\Roaming\Hokaco
Hosts:
Reboot:
End:
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)


2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :
* Réinitialiser et réparer Mozilla Firefox
* Réinitialiser et réparer Google Chrome
(Ne pas utiliser Zeok)

3)
Faire un nettoyage Malwarebytes Anti-Malware (MBAM ) version gratuite

4)
Refais un scan FRST et donne les nouveaux rapports via pjjoint
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 108312
Inscription : 10 sept. 2005 13:57

Re: INFECTION Trojan:Win32/Wacatac.B!ml, Trojan:VBS/Mutuodo.A et BrowserModifier:Win32/Prifou

par Malekal_morte »

De rien,

Tu as encore des alertes Windows Defender ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Elfen
Messages : 4
Inscription : 29 nov. 2020 08:26

Re: INFECTION Trojan:Win32/Wacatac.B!ml, Trojan:VBS/Mutuodo.A et BrowserModifier:Win32/Prifou

par Elfen »

Apparemment Trojan n'est plus détecté par Defender. Il reste juste App:UTorrent
Malekal_morte
Messages : 108312
Inscription : 10 sept. 2005 13:57

Re: INFECTION Trojan:Win32/Wacatac.B!ml, Trojan:VBS/Mutuodo.A et BrowserModifier:Win32/Prifou [résolu]

par Malekal_morte »

Ouaip faut ajouter une exception : Comment ajouter une exception sur Windows Defender.
Mais uTorrent est assez lourdingue.
Tu as des clients BiTTorent plus léger, voir cette page : Les meilleurs clients BiTTorrent

Supprime C:\FRST et et le reste.

Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Elfen
Messages : 4
Inscription : 29 nov. 2020 08:26

Re: INFECTION Trojan:Win32/Wacatac.B!ml, Trojan:VBS/Mutuodo.A et BrowserModifier:Win32/Prifou [résolu]

par Elfen »

Ca marche. Encore merci PDT_003

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »