Trojan:Script/Wacatac.B!ml / Trojan:Script/Phonzy.A!ml

[BabX]

Bonjour à tous,

Windows Defender m'annonce ce matin avoir trouvé un cheval de Troie dans mon système, qu'il appelle Trojan:Script/Phonzy.A!ml. Je le laisse agir et lance une analyse complète : il retrouve le même cheval de Troie, et un autre, Trojan:Script/Wacatac.B!ml, dans ce qui me semble des fichiers pdf temporaires de Windows (ex : "file: C:\Windows\Temp\PFBC4F.pdf") ou dans des pdf que j'avais créés moi-même ou téléchargés de sources sûres (le site des impôts, par exemple) il y a plusieurs mois.

Il en trouve de nouveaux régulièrement, dans le même type de fichiers.

Les fichiers "temp" sont supprimés d'office, pour les pdfs, il me laisse le choix. Sauf que dans trois cas, qu'il dit "actifs" (des pdfs "temp" et des documents persos), il m'annonce "action nécessaire" mais n'applique pas mes choix, que j'appuie sur "supprimer" ou sur "quarantaine". Ces "menaces détectées" me sont signalées comme "actives" à chaque nouvelle analyse (même quand je choisis l'analyse hors ligne).

Je constate toutefois que les fichiers persos en question semblent avoir été supprimés de mon SSD, ou du moins qu'ils n'apparaissent plus dans l'explorateur fichiers. Je n'arrive pas à localiser les fichiers "temp".

J'ai aussi lancé Malwarebytes Anti-Malware (MBAM) qui ne détecte jamais aucune nouvelle menace, contrairement à Windows Defender, qui m'en signale donc régulièrement de nouvelles (toujours des trojan Wacatac ou Phonzy).

J'ai téléchargé FRST (bien qu'il ait lui aussi été signalé comme un Trojan Wacatac) et obtenu ces deux rapports :

https://pjjoint.malekal.com/files.php?i ... w7h13w12i6
https://pjjoint.malekal.com/files.php?i ... 10j10k15u6

Je me demande ce que je dois faire et serais reconnaissant pour votre aide.

Par ailleurs, je me demande vraiment où j'ai pu attraper ça : je ne pirate rien, je ne télécharge pas n'importe quoi et Windows (10) est, à ce qui me semble, parfaitement à jour.

Merci d'avance !

[BabX]

J'ai refait une analyse FRST, qui n'était pas sur le bureau la première voici.
Voici les résultats :
https://pjjoint.malekal.com/files.php?i ... 1x6g7w9v12
https://pjjoint.malekal.com/files.php?i ... 7p6y6l7w12
Et je continue d'avoir des alertes de Windows Defender, qui me signale, par rafales, des fichiers type C:\Windows\Temp\PFFB74.pdf ainsi que des fichiers perso, qui n'avaient jusque là jamais posé problème.
Au secours !

[Malekal_morte]

Salut,

Sur les rapports, il n'y a pas l'air d'y avoir de Trojan actif.
Autant les détections des PDF dans les dossiers documents, cela semble être des faux positif.
Autant la présence d'un fichier PDF dans C:\Windows\Temp est suspicieux... A moins que tu aies une application PDF ouverte ?

Tu peux aller dans C:\Windows\Temp et surveiller le dossier ?
Quand tu y vois un Pdf avec ce nom aléatoire, faudrait l'envoyer sur le portail VirusTotal et donner le lien ici.
Si Windows Defender émet des alertes dessus, mets en exception le fichier temporairement.

Date: 2024-02-19 13:56:50
Description:
Antivirus Microsoft Defender a rencontré une erreur critique lors d’une action sur un logiciel malveillant ou potentiellement indésirable.
Nom : Trojan:Script/Wacatac.B!ml
ID : 2147735503
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : file:_C:\Windows\Temp\PFBC4F.pdf; file:_C:\Windows\Temp\PFC07E.pdf; file:_D:\rtk79\Documents\Affaires\Avis d'imposition\Avis_d_impot_2022_sur_les_revenus_2021.pdf; file:_D:\rtk79\Documents\Affaires\Logement\Avis d'imposition\Martin Richet Avis_d_impot_2022_sur_les_revenus_2021.pdf; file:_D:\rtk79\Documents\Comment vivre\Economie des causes\Petite économie des causes dans le bruit 4.pdf
Origine de la détection : Ordinateur local
Type de détection : Concret
Source de détection : Utilisateur
Utilisateur : DESKTOP-IO71RHF\rtk79
Nom du processus : Unknown
Action : Inconnu
État de l’action : No additional actions required
Code d’erreur : 0x80508032
Description de l’erreur : Un problème inattendu s’est produit. Installez toutes les mises à jour disponibles, puis essayez de redémarrer le programme. Pour plus d’informations sur l’installation des mises à jour, voir Aide et support.
Version de la veille de sécurité : AV: 1.405.265.0, AS: 1.405.265.0, NIS: 1.405.265.0
Version du moteur : AM: 1.1.24010.10, NIS: 1.1.24010.10

[BabX]

Merci d'avoir jeté un oeil !
J'ai regardé tout ça ce matin pendant quelques minutes, après l'allumage du PC. Les fichiers pdf qui apparaissent dans Windows/Temp ont un comportement qui me paraît très bizarre : un fichier pdf apparaît puis disparaît immédiatement, immédiatement suivi par un autre fichier pdf portant un nom différent. Et ça se fait si vite que je ne peux pas agir dessus. Puis quelques minutes après, plus rien, plus de pdf temporaires. Et je ne peux rien envoyer à Virustotal.
Sur mon PC, actuellement, c'est Microsoft Edge qui ouvre les fichiers pdf par défaut. Est-ce que le problème viendra de là ? Je n'utilise vraiment pas beaucoup ce navigateur et ne prends jamais le moindre risque avec lui. Je viens quand même d'y installer Ublock Origin par prudence

[Malekal_morte]

Ok c'est plutôt suspicieux.

Tu peux refaire un scan FRST et décocher liste blanche/whitelist.
Donne les rapports.

~~

Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur https://pjjoint.malekal.com/ et donne le lien ici.

[BabX]

Ok, voici :

FRST :
https://pjjoint.malekal.com/files.php?i ... 5r14y14l12
https://pjjoint.malekal.com/files.php?i ... 3z13m13p11

NOD32 (qui me dit n'avoir rien détecté) :
https://pjjoint.malekal.com/files.php?i ... v10y5u11i9

Pendant ce temps, Windos Defender continue de mettre en quarantaine des pdfs qu'il trouve dans OneDrive, Windows/Temp, Recycle.Bin et mes Documents (dans le disque D)

[Malekal_morte]

Bha écoute, rien de vraiment anormal sur les rapports et NOD32 ne détecte rien.
Éventuellement, on peut faire une prise en main à distance, si tu m'autorises à regarder.
Sinon faudra réinitialiser.


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
2024-02-19 13:55 - 2020-01-15 21:21 - 000000000 ____D C:\Users\rtk79\AppData\Roaming\Qobuz
2024-02-19 12:20 - 2024-02-19 14:30 - 000000000 ____D C:\WINDOWS\Microsoft Antimalware
2024-02-17 22:54 - 2024-02-17 22:54 - 000000000 ____D C:\Users\rtk79\AppData\Local\Dust
2023-12-13 22:21 - 2023-12-13 22:21 - 000005374 _____ () C:\Users\rtk79\AppData\Local\91887170374
HKLM-x32\...\Run: [ISUSPM] => C:\ProgramData\FLEXnet\Connect\11\isuspm.exe [2075480 2013-06-24] (Flexera Software LLC -> Flexera Software LLC.)
C:\ProgramData\FLEXnet
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

[BabX]

Merci, je vais essayer la manip. En attendant, autre bizarrerie, Windows Defender me signale toujours quatre menaces Wacatac actives (datant d'hier), avec une croix rouge, en me demandant d'intervenir mais ne fait rien quand je lui demande la suppression ou la mise en quarantaine.

[Malekal_morte]

Tu peux vider l'historique des détections Windows Defender en mode sans échec, en suivant ce tuto : https://www.malekal.com/comment-supprim ... -defender/

[BabX]

Alors, j'ai suivi la procédure de correction de FRST64 (dont voici le Fixlog : https://pjjoint.malekal.com/files.php?i ... 6j9b12x9o6) et suivi le tuto pour vider l'historique de Windows Defender en mode sans échec mais ça n'a pas marché, je ne sais pourquoi : Windows Defender me signale encore des menaces Wacatac et Phonzy en Windows/Temp et dans mes documents (sur One Drive et sur sur le disque D) (et j'ai toujours les mêmes croix rouges portant sur les signalement d'hier.

[Malekal_morte]

ok à part te proposer une prise en main pour voir si je peux trouver d'où ça vient...
Sinon faudra certainement réinitialiser le PC : comment réinitialiser le PC