Détection Trojan:Win32/Wacatac.B!ml et Virus Nashta [résolu]

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Pitt
Messages : 6
Inscription : 05 déc. 2024 21:51

Détection Trojan:Win32/Wacatac.B!ml et Virus Nashta [résolu]

par Pitt »

Bonsoir à tous,

Je vous écris car j'aurais besoin de conseils :

Windows Defender a détecté l'anomalie suivante sur mon PC fixe personnel (Windows 10) : Trojan:Win32/Wacatac.B!ml sur un fichier exécutable qui m'est inconnu, dans le dossier "Progam Files(x86)" du lecteur C:/, dans un dossier contenant ce seul fichier.

Par inconnu, j'entends que ce n'est ni un fichier que j'aurais pu programmer, ni que j'aurais installé consciemment.
De ce fait, je n'ai jamais exécuté ce fichier .exe volontairement (qui plus est, avec un nom relativement farfelu).

Je suppose avoir un comportement responsable sur internet : si je dois télécharger un logiciel, je le fais via le site internet officiel et non pas par un site tier. Je ne fais pas de visite de sites douteux, pas de téléchargement douteux, pas d'utilisation de version de logiciels crackés, et encore moins de cracks.

Ce que j'ai fait chronologiquement :

En 2 min après l'alerte :

- mise en quarantaine du fichier et suppression puisqu'il m'est inconnu, via Microsoft Defender
- mise à jour de la base de données de Windows Defender
- téléchargement de Malwarebytes Anti-Malware (MBAM)
- téléchargement d'AdwCleaner
- extinction de l'ordinateur

Après ces quelques minutes sportives :

- Démontage de ma carte réseau (Peut être extrême à votre goût, mais j'ai décrété mon PC comme étant en quarantaine), le PC n'est plus
physiquement connecté.

Redémarrage en mode sans échec :

- Scan Microsoft Defender hors connexion -> RAS
- Scan Microsoft Defender complet en mode sans échec -> RAS
- Scan MalewareByte en mode sans échec -> Détection de "Neshta.Virus.Infector.DDS" du fichier SETUPHLP.DLL dans les fichiers du logiciel
Daemon Tools sur le disque D:
- Mise en quarantaine de ce virus et suppression du fichier

Redémarrage du PC :

-Scan Microsoft Defender hors connexion -> RAS
-Scan Microsoft Defender complet -> RAS
-Scan MalewareByte -> RAS
-Scan Adwcleaner -> RAS.

Mon antivirus est Microsoft Defender par défaut, pas d'autre antivirus en arrière plan.

L'alerte s'est déroulée comme suit :

Une fois n'est pas coutume, je décide de faire un scan de mon PC avec le logiciel Spybot que j'utilisais il y a plusieurs années, une erreur sans doute. A l'instant où je mets à jour la base de donnée Spybot, Microsoft détecte le Trojan Wacatac (l'heure de mise à jour corresponds à l'heure de détection de Microsoft Defender). Curieusement, il s'avère que cet exécutable a été crée il y a 4 mois. Je m'étonne donc que Microsoft Defender ne l'ait pas détecté plus tôt. Dans tous les cas, et je me répète, je n'ai jamais exécuté ce fichier puisque je ne savais pas qu'il était là.

Suite aux différents scans, MalwareByte détecte le Virus Nashta, présent dans les fichiers Deamon Tools. Je constate que j'ai installé le logiciel à la date de création du fichier contenant le Trojan. Pourquoi avais-je besoin de Daemon Tools ? Là aussi, je l'utilisais il y a plusieurs années, deuxième erreur sans doute. Voulant archiver des documents .pdf, je voulais savoir si il était plus avantageux de compresser au format zip ou iso en terme de gain d'espace. Je n'ai donc pas extrait d'archive ISO, connues ou inconnues.

Origine des virus : Logiciel démodés ? Email frauduleux ? Clé USB contaminée ? Je ne sais pas, et dans tous les cas, le mal est fait.

Mes questions sont donc les suivantes :

- Peut il s'agir de faux positifs ?
-> Concernant le Trojan Wacatac.B!ml: le doute m'habite puisqu'un programme exécutable a été installé à mon insu.
-> Concernant le Virus Neshta : j'ai lu sur le blog de Malwarebyte que ce virus modifiait la clé de registre "exefile". La valeur est normale, rien
a été modifié.

- Peut on savoir si les malwares ont été actif, ou si ils dormaient et les antivirus les ont bloqués à temps. Je précise que je n'ai jamais constaté de comportement suspect de mon PC, ni ralentissement, ni fenêtre intempestive, ni processus énergivore, ni problème de démarrage. D'ailleurs aucun logiciel autres que ceux liés à Windows et liés à la configuration ne sont autorisé à se lancer au démarrage du PC.

- Mon PC est il désormais considéré comme sain où dois je faire d'autres vérifications ?
- En fait ça n'a pas trop d'importance. Je viens de recevoir des nouveaux composants pour une nouvelle configuration avec changement de carte-mère, de disque et de processeur afin de pouvoir migrer vers Windows 11. Merci le Black Friday. Donc réparer Windows m'importe peut puisqu'il était prévu que je le réinstalle sur un autre disque avec une nouvelle configuration.
- Ce qui m'importe, c'est que j'ai plusieurs fichiers que j'aurais souhaité conserver (.pdf, fichiers excel, word et j'en passe, mais surtout photos de souvenirs de famille). Est ce qu'il est possible que ces fichiers soient vecteur de malwares suite à cette infection ?

- Alors vous allez me dire "Il aurait été bon de faire des copies de sauvegardes". Entièrement d'accord, est d'ailleurs j'ai 3 disques externes de sauvegarde. Sauf que comme annoncés, les malwares étaient présent depuis possiblement 4 mois sur le PC, et ces disques je les ai connecté à mon PC depuis. Peuvent ils être infectés ?
-> Les seuls documents que je souhaiterais conserver sont les fichiers au format bureautique (.pdf, pack office, libre office), et les médias (photos et vidéos). Pas de logiciels ou autres fichiers executable.
- > J'avais pensé procéder comme suit : Installer hors connexion une version d'Ubuntu sur un autre PC. Copier mes disques sur ce PC, contrôler leur contenu et supprimer tous les fichiers autres que pdf, jpeg, xls, etc., formater les disques, et réinsérer les documents triés sur les disques formaté, le tout via Ubuntu. Serait-ce utile ou une perte de temps ? Peut être existe-il un utilitaire Ubuntu pour scanner mes disques ?

- En parcourant ce forum, j'ai vu que vous utilisiez l'utilitaire FRST. Le seul problème étant qu'il est hors de question pour moi de reconnecter mon PC à internet. Je ne vais pas risquer de propager les malwares à un autre appareil, ayant déjà potentiellement perdu mes données. Néanmoins, je l'ai installé à l'aide d'une clée USB neuve.
- Est-il possible d'être guidé dans l'interprétation des résultats ? Y a t'il des valeurs à contrôler, des choses qui doivent me paraître suspectes ? Je me répète, ce PC n'a pas vocation à être réparé puisqu'il était déjà voué être reconfiguré.

En conclusion, j'aimerais savoir si ce sont des faux positif, si il y a un moyen de savoir si ils ont étés actifs ou dormants, si mes documents sont perdus, si mes disques externes sont perdus, le tout sans contaminer mes autres appareils.


Je vous remercie, pour votre aide futur, mais surtout pour votre patiente pour avoir eu le courage de me lire jusqu'ici.

Je vous souhaite une excellente soirée !

Pitt.
Malekal_morte
Messages : 116544
Inscription : 10 sept. 2005 13:57

Re: Conseils suite détection Trojan:Win32/Wacatac.B!ml

par Malekal_morte »

Bonjour,

On a aucune information concrète.
On a pas le chemin de la détection Trojan:Win32/Wacatac.B!ml, on a pas les rapports MBAM.
Mais si la détection MBAM ne concerne qu'une clé du registre Windows, ce n'est pas une infection active.
Donc je ne vois pas comment répondre aux questions.

Pour FRST, tu peux utiliser une clé USB pour transmettre les rapports, cela ne craint rien.

Autres remarques :
- Spybot est inefficace, désinstalle le
- AdwCleaner vise seulement les PUP/AdwCleaner, pas les trojan, backdoor et autres, il ne sert à rien de l'utiliser pour tout autre infection. Si tu n'as pas de pubs intempestives, en clair ça n'est pas utile
- MBAM englobe les détections de AdwCleaner, donc si tu l'utilises, ça ne sert à rien d'utiliser AdwCleaner en amont
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Pitt
Messages : 6
Inscription : 05 déc. 2024 21:51

Re: Détection Trojan:Win32/Wacatac.B!ml et Virus Nashta

par Pitt »

Bonjour,
Merci pour votre réponse.
Je ne suis pas à mon domicile pour l'instant.
Qu'entendez-vous par chemin de la détection ?

Bonne journée,
Pitt
Malekal_morte
Messages : 116544
Inscription : 10 sept. 2005 13:57

Re: Détection Trojan:Win32/Wacatac.B!ml et Virus Nashta

par Malekal_morte »

L'emplacement du fichier complet (ou le chemin complet comme on dit) de l'élément détecté.
Ca permet au moins, via le nom de savoir si le fichier appartient à une application connue ou si le nom est suspicieux.

Tu peux l'avoir dans les détails de l'historique des menaces de Windows Defender, sur la détection en question.
Voir là : https://www.malekal.com/afficher-histor ... ows-10-11/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Pitt
Messages : 6
Inscription : 05 déc. 2024 21:51

Re: Détection Trojan:Win32/Wacatac.B!ml et Virus Nashta

par Pitt »

Re-Bonjour,

Le chemin du Trojan était le suivant : Win32/WacatacB!ml C:\Program Files (x86)\ThrillvdsUtil\ThrillaUtil.exe, détécté par Microsoft Defender,

Le rapport MBAM indique 1 fichier détecté :
Neshata.Virus.FileInfector.DDS, D:\PROGRAM FILES\DEAMON TOOLS LITE\INST\SETUPHLP.DLL,
En quarantaine, 100002, 0, 1.0.92550, 7102FB640F67E915B40F73FD, dds, 03115223, 19F8DFA291ECB6B32938BFA3310CF440, 7003BDBD6B5A2DFAB1A35E5B770FA27B537E29DF85765CA8113256AF067C6C33
Malekal_morte
Messages : 116544
Inscription : 10 sept. 2005 13:57

Re: Détection Trojan:Win32/Wacatac.B!ml et Virus Nashta

par Malekal_morte »

C'est un faux positif pour Windows Defender.

Pour MBAM, possible aussi.
Neshata.Virus.FileInfector.DDS - ça signifie que c'est un "vrai" virus qui infecte les exécutables.
Le fait qu'il n'y est qu'une seule détection laisse à penser qu'il s'agit d'un faux positif.

Tu peux rebrancher ton PC sur internet.
En plus des rapports FRST, tu peux faire cela : Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur https://pjjoint.malekal.com/ et donne le lien ici.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Pitt
Messages : 6
Inscription : 05 déc. 2024 21:51

Re: Détection Trojan:Win32/Wacatac.B!ml et Virus Nashta

par Pitt »

Merci Malekal_morte pour ce retour et pour avoir pris le temps d'étudier mon problème.
Je vais faire le scan.
Y a-t-il un risque à connecter un périphérique de stockage et récupérer mes documents ?
Malekal_morte
Messages : 116544
Inscription : 10 sept. 2005 13:57

Re: Détection Trojan:Win32/Wacatac.B!ml et Virus Nashta

par Malekal_morte »

Non par contre pour les documents, mais ne récupère pas d'exécutable (fichier EXE, DLL ou SRC).
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Pitt
Messages : 6
Inscription : 05 déc. 2024 21:51

Re: Détection Trojan:Win32/Wacatac.B!ml et Virus Nashta

par Pitt »

Bonsoir,
Le rapport du scan complet avec NOD32 :

06/12/2024 19:04:07
Fichiers analysés: 602062
Fichiers détectés: 0
Fichiers nettoyés: 0
Temps d'analyse total: 02:05:51
État de l'analyse: Terminé

Bonne soirée
Pitt.
Malekal_morte
Messages : 116544
Inscription : 10 sept. 2005 13:57

Re: Détection Trojan:Win32/Wacatac.B!ml et Virus Nashta

par Malekal_morte »

Cela répond à la question, ce sont des faux positifs.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Pitt
Messages : 6
Inscription : 05 déc. 2024 21:51

Re: Détection Trojan:Win32/Wacatac.B!ml et Virus Nashta

par Pitt »

Merci pour votre aide, me voilà rassuré.

Bonne continuation et bonne soirée !
Pitt.
Malekal_morte
Messages : 116544
Inscription : 10 sept. 2005 13:57

Re: Détection Trojan:Win32/Wacatac.B!ml et Virus Nashta [résolu]

par Malekal_morte »

De rien =)

Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »