Menaces Trojan:Win32/Casur.A, Trojan:Win32/Wacatac autorisées persistentes

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

TurbidtheToad
Messages : 7
Inscription : 11 févr. 2021 15:18

Menaces Trojan:Win32/Casur.A, Trojan:Win32/Wacatac autorisées persistentes

par TurbidtheToad »

Bonjour,

je viens demander de l'aide sur ce forum car je ne sais pas trop comment m'y prendre concernant une possible infection de mon PC.

Mon problème est que j'ai plusieurs "menaces autorisées" reconnus par Windows Defender et que je n'arrive pas à les supprimer; j'ai essayé en les désactivant directement dans la rubrique menaces autorisées de Windows Defender mais elles reviennent sans cesse.
J'ai analysé mon pc avec Defender ( en analyse rapide, complète et hors ligne), MSE, ESET online scanner et Malewarebytes, et aucune analyse ne trouve les trojans/malwares. J'imagine que c'est dû au fait qu'elles soient autorisées, mais par contre je ne sais pas d’où vient ces autorisations et surtout je n'arrive pas à changer leur statut.

Les trojans et malwares sont les suivants :

Trojan:Script/Wacatac.B!ml

Trojan:Win32/Casur.A!cl
Trojan:Win32/Wacatac.D!ml
Trojan:Win32/Wacatac.G!ml

Behavior:Win32/Execution.LR!ml
Behavior:Win32/Execution.LU!ml
Behavior:Win32/Persistence.EA!ml

BrowserModifier:Win32/Neobar

Program:Win32/Unwaders.A!ml
Program:Win32/Beareuws.A!ml

J'espère que ce n'est pas trop grave et que vous pourrez m'aider à trouver une solution, je vous remercie par avance !
Malekal_morte
Messages : 108312
Inscription : 10 sept. 2005 13:57

Re: MenacesTrojan:Win32/Casur.A, Trojan:Win32/Wacatac autorisées persistentes

par Malekal_morte »

Salut,

Il faudrait voir sur quels fichiers cela pointe.

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Attendre la fin du scan, un message indique que l'analyse est terminée.
Télécharge et lance le scan FRST,

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
TurbidtheToad
Messages : 7
Inscription : 11 févr. 2021 15:18

Re: MenacesTrojan:Win32/Casur.A, Trojan:Win32/Wacatac autorisées persistentes

par TurbidtheToad »

Avatar de l’utilisateur
angelique
Messages : 31021
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: MenacesTrojan:Win32/Casur.A, Trojan:Win32/Wacatac autorisées persistentes

par angelique »

Bonjour/Bonsoir





Image Télécharge à coté de FRST64.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST64(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\
--------------

Puis va dans Parametres/mises à jour et sécurité et installe la 20H2
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image
TurbidtheToad
Messages : 7
Inscription : 11 févr. 2021 15:18

Re: MenacesTrojan:Win32/Casur.A, Trojan:Win32/Wacatac autorisées persistentes

par TurbidtheToad »

Bonsoir,

merci pour vos réponses à tous les 2 !

voici le contenu du Fixlog :


Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 08-02-2021 01
Exécuté par Omar Kozbari (11-02-2021 20:16:35) Run:1
Exécuté depuis C:\Users\Omar Kozbari\Desktop
Profils chargés: Omar Kozbari
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
KLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction - Chrome <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {DAB53120-63DF-4735-8FE8-525CB5762CE9} - \FZqnNQePTKfqtPeDh -> Pas de fichier <==== ATTENTION
FF Extension: (Pas de nom) - C:\Program Files\Mozilla Firefox\browser\features\{C88885B5-B83F-46B8-82BE-1DAFE7E74E30}.xpi [2021-02-09] [non signé]
C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service
StartPowershell:
DISM /Online /Cleanup-image /Restorehealth
sfc /scannow
EndPowershell:
Hosts:
EmptyTemp:


*****************

Erreur: (0) Impossible de créer un point de restauration.
"HKU\KLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION\SOFTWARE\Policies\Microsoft\Internet Explorer" => non trouvé(e)
C:\WINDOWS\system32\GroupPolicy\Machine => déplacé(es) avec succès
C:\WINDOWS\system32\GroupPolicy\GPT.ini => déplacé(es) avec succès
C:\ProgramData\NTUSER.pol => déplacé(es) avec succès
HKLM\SOFTWARE\Policies\Mozilla => supprimé(es) avec succès
HKLM\SOFTWARE\Policies\Google => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{DAB53120-63DF-4735-8FE8-525CB5762CE9}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DAB53120-63DF-4735-8FE8-525CB5762CE9}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\FZqnNQePTKfqtPeDh" => non trouvé(e)
C:\Program Files\Mozilla Firefox\browser\features\{C88885B5-B83F-46B8-82BE-1DAFE7E74E30}.xpi => déplacé(es) avec succès
C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service => déplacé(es) avec succès

========= Fin de Powershell: =========

C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

=========== EmptyTemp: ==========

BITS transfer queue => 11034624 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 45494090 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 63689460 B
Edge => 34608 B
Chrome => 696688 B
Firefox => 114658233 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 19662181 B
systemprofile32 => 19662181 B
LocalService => 19662181 B
NetworkService => 141351732 B
Omar Kozbari => 166091277 B

RecycleBin => 0 B
EmptyTemp: => 574.1 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 20:29:33 ====
Avatar de l’utilisateur
angelique
Messages : 31021
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: MenacesTrojan:Win32/Casur.A, Trojan:Win32/Wacatac autorisées persistentes

par angelique »

C'est mieux ?
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image
TurbidtheToad
Messages : 7
Inscription : 11 févr. 2021 15:18

Re: Menaces Trojan:Win32/Casur.A, Trojan:Win32/Wacatac autorisées persistentes

par TurbidtheToad »

Et bien à priori non, j'ai toujours les mêmes menaces autorisées.

J'ai fait la màj Windows, j'ai eu 2 détection par Defender, une dû au Frst que j'ai autorisé ainsi qu'une autre
"Accès à la mémoire bloqué : application bloqué svchost.exe
dossier protégé : \Device\HarddiskVolume1" qui est resté non autorisé.

Sinon j'ai ces mêmes menaces autorisées, mais pas de détection de ces menaces sur aucun antivirus ou quoi.
Malekal_morte
Messages : 108312
Inscription : 10 sept. 2005 13:57

Re: Menaces Trojan:Win32/Casur.A, Trojan:Win32/Wacatac autorisées persistentes

par Malekal_morte »

Ces alertes n'ont rien à voir avec des malwares (enfin faut voir la source).
C'est la protection contre les ransomwares et ou intégrité de l'appareil.
Voir : https://www.malekal.com/modifications-n ... indows-10/

Quel processus est à la source des alertes ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
TurbidtheToad
Messages : 7
Inscription : 11 févr. 2021 15:18

Re: Menaces Trojan:Win32/Casur.A, Trojan:Win32/Wacatac autorisées persistentes

par TurbidtheToad »

Ok merci pour le tuto (ils sont tous très utiles d'ailleurs, content de découvrir ce site malgré mon souci).

Je ne sais pas trop si tu parles des alertes cités dans le dernier message ou biens celles concernant tous les trojans/malwares du coup,double réponse:

Pour les alertes protections ransomware c'est arrivé au redémarrage après la MàJ Windows, une fois que le fix Frst ait été appliqué.
Pour les trojans/malwares je pense que c'est après avoir installé un programme qui ne venait pas de source sûr, à ce moment je pense avoir autorisé une alerte (pas sur, j'ai cliqué sans regarder...).
Vu que le programme ne s'installait pas, j 'ai fais un check sur windows defender et me suis rendu compte de ces menaces autorisées.

La suite se trouve ici; j'espère pas avoir trop déconner avec cette histoire et je me demandais si je pouvais avoir une idée des dégâts causés ou pas ?

Merci encore !
Malekal_morte
Messages : 108312
Inscription : 10 sept. 2005 13:57

Re: Menaces Trojan:Win32/Casur.A, Trojan:Win32/Wacatac autorisées persistentes

par Malekal_morte »

ok mais ce n'est pas clair et tu ne réponds pas à la question.
Les alertes Trojan:Win32/Casur.A, Trojan:Win32/Wacatac en général, c'est que tu as utilisé un cracks

Ensuite les alertes "Accès à la mémoire bloqué" ... on a pas d'infos.
Vers quoi pointent ces alertes ?
Ca revient tout le temps ?
Si c'est arrivé lors de l'installation d'un logiciel, c'est normal.
A ce moment là rien est à faire.

Si c'est systématique, il faut voir ce qui provoque ces modifications du système.
Donc regarde les détails et donne une capture d'écran
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
TurbidtheToad
Messages : 7
Inscription : 11 févr. 2021 15:18

Re: Menaces Trojan:Win32/Casur.A, Trojan:Win32/Wacatac autorisées persistentes

par TurbidtheToad »

Ok, je vais essayer d'être plus précis.
Déja voici les liens pour les screenshots:

https://pjjoint.malekal.com/files.php?i ... 0d5p13g6g7
https://pjjoint.malekal.com/files.php?i ... 5y5e8z9j12
https://pjjoint.malekal.com/files.php?i ... 5j14i12t12

Pour les alertes Trojan, j'ai eu une alerte suite à un crack et je pense avoir autorisé l’accès.
J'ai eu à ce moment là quelques alertes d'accés à la mémoire/au dosssier protégée bloqué, tout est dans les screenshots.Elles ne sont pas systématiques.
Depuis j'ai ces fameuses menaces autorisées et j'évite un max d'utiliser le pc par peur de faire n'importe quoi.
A part quelques déconnexions Wifi et moteurs de recherches changés de force, le pc à l'air de tourner normalement.
Je n'ai eu aucune autre alerte concernant les trojans et malwares.

Ensuite les autres alertes " Accès à la mémoire bloquée".. ne sont pas systématiques, c'est arrivé juste une fois après l'installation de FRST et une fois après la Maj Windows. C'est dans les screenshots aussi.

voila voila, j’espère que c'est plus clair. Désolé de pas répondre forcément comme il faut, c'est pas ma tasse de thé ces histoires !
Malekal_morte
Messages : 108312
Inscription : 10 sept. 2005 13:57

Re: Menaces Trojan:Win32/Casur.A, Trojan:Win32/Wacatac autorisées persistentes

par Malekal_morte »

ok c'est en effet plus clair.
Alors sur tes captures, c'est que des fichiers seins genre CCleaner etc.
https://pjjoint.malekal.com/files.php?r ... 5y5e8z9j12 <= ça c'est bien la protection anti-ransomware toujours provenant de processus sains.
En clair donc aucune activé malveillante.

Donc faut autoriser, à terme tu auras moins d'alerte puisque tes programmes seront autorisées.
Le jour où un ransomware déboule, il ne devrait pas pouvoir chiffrer tes documents.
Si ça te gonfle tout ça, tu désactives ces protections.
Voir ces explications : https://www.malekal.com/activer-protect ... indows-10/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
TurbidtheToad
Messages : 7
Inscription : 11 févr. 2021 15:18

Re: Menaces Trojan:Win32/Casur.A, Trojan:Win32/Wacatac autorisées persistentes

par TurbidtheToad »

Oh ok super, donc si j'ai bien compris, j'ai pas d'infections du tout même concernant les menaces autorisées type Trojan etc ?

Je vais faire un petit tour sur les tutos pour bien protéger le pc en amont.

Merci pour tout mille fois et demie ! :D
Malekal_morte
Messages : 108312
Inscription : 10 sept. 2005 13:57

Re: Menaces Trojan:Win32/Casur.A, Trojan:Win32/Wacatac autorisées persistentes

par Malekal_morte »

voila.
Ce sont des alertes liées à l'activité de programmes donc à autoriser.
Faut bien regarder la source de l'alerte pour statuer (autoriser/interdire).
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »