Trojan Script/Wacatac.H!ml toujours détecté par Windows Defender - Switch - [Résolu]

[lek2020]

Bonjour,

J'ai un souci avec Windows Defender qui hier m'a détecté le trojan Script/Wacatac.H!ml , cependant il ne cesse de revenir malgré que je le mette en quarantaine.

Voici ce que j'ai fait chronologiquement jusque là:
* lors de la première analyse windows defender, j'ai mit le fichier problématique en quarantaine puis je l'ai supprimé
* j'ai ensuite fait une seconde analyse windows defender, qui n'a rien détecté
* j'ai fait une analyse avec antivir, qui n'a rien détecté
* j'ai fait une troisième analyse windows defender du pc, qui m'a trouvé le même fichier problématique et que j'ai à nouveau mit en quarantaine
* j'ai fait une quatrième analyse windows defender du pc, qui n'a rien détecté
* j'ai fait une analyse complète avec Malwarebytes Anti-Malware (MBAM), qui n'a rien détecté (au passage l'analyse a duré une bonne quinzaine d'heures, est-ce normal ?)
* j'ai fait une cinquième analyse windows defender du pc, qui m'a trouvé le même fichier problématique et que j'ai encore mit en quarantaine
* j'ai fait une sixième analyse windows defender du pc, qui n'a rien détecté
* j'ai lancé une analyse complète avec NOD32 (ESET Online Scanner), qui n'a rien détecté

Voici les rapports FRST:
* FRST : https://pjjoint.malekal.com/files.php?i ... m13h9u9o10
* Shortcut : https://pjjoint.malekal.com/files.php?i ... 8s15k5v5b5
* Addition : https://pjjoint.malekal.com/files.php?i ... 9i12o65q13

Apparemment le souci serait lié à Firefox, non ? Cela pourrait-il venir des extensions de mes navigateurs web ?
Car je ne comprends pas pourquoi il cesse de revenir et surtout d'où cela peut venir. Je fais des analyses de mon pc très régulièrement avec windows defender, il ne m'avait rien détecté les jours précédents. Et dernièrement je n'ai rien téléchargé ni installé de particulier.

La seule chose que j'ai constaté ces 2-3 derniers jours ce sont des ralentissements sur des vidéos youtube dont j'avais laissé ouvert les onglets plusieurs heures, m'obligeant ainsi à relancer Firefox. Ah et aussi, les analyses windows defender mettent dorénavant plus de temps à se faire, plus de 20 minutes au lieu d'une dizaine de minutes environ auparavant. Je ne sais pas si ces deux événements ont une quelconque importance dans mon problème.

PS : dans le rapport "Addition", je vois qu'il signale un problème dans la section "CodeIntegrity". Est-ce lié ou est-ce un autre problème ?

Merci par avance pour votre aide, et bonne journée.

[Malekal_morte]

Salut,

Ca ne sert à rien ce que tu as fait.
La détection porte sur un fichier dans le cache de Firefox.
Ce n'est pas une infection active.

~~

Désinstalle Antivir, encombrant. Laisse Windows Defender.
Pareil, désinstalle CCleaner, inutile et lourdingue.


~~

Vide le cache de Firefox ou réinitialise le : Réparer Mozilla Firefox (premier paragraphe)


~~

Date: 2024-12-11 16:50:13
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Nom : Trojan:Script/Wacatac.H!ml
ID : 2147814524
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : containerfile:_C:\Users\yass\AppData\Local\Mozilla\Firefox\Profiles\z9l86gna.default-release\cache2\entries\D8AFEEE1C4C063035E83B898B0AB2AFA3CAB3E63; file:_C:\Users\yass\AppData\Local\Mozilla\Firefox\Profiles\z9l86gna.default-release\cache2\entries\D8AFEEE1C4C063035E83B898B0AB2AFA3CAB3E63->(GZip)
Origine de la détection : Ordinateur local
Type de détection : Chemin rapide
Source de détection : Utilisateur
Utilisateur : DESKTOP-EK0P9HF\yass
Nom du processus : Unknown
Version de la veille de sécurité : AV: 1.421.733.0, AS: 1.421.733.0, NIS: 1.421.733.0
Version du moteur : AM: 1.1.24090.11, NIS: 1.1.24090.11

[Parisien_entraide]

Bonjour

Et pour compléter ce qu'indique Malekal, le journal de Defender, meme si il n'y a plus rien va continuer d'afficher "la chose" pendant encore 7 ou 10 jours

Quant au cache, par la suite, histoire de faire "propre" utilise PRIVAZER (faut faire les réglages. On peut mettre tout à fond, sauf pour les mots de passe de sites etc si tu as fais l'erreur de les coller dans les navigateurs
https://www.malekal.com/privazer-nettoyer-windows/ (Il remplacera CCleaner)

Sinon c'est quoi le but d'utiliser X navigateurs ?
Là aussi si tu ne fais pas le ménage, tout ce qui est gardé (même si on demande de vider à la fermeture un tas de trucs) va prendre de la place (perso j'ai 600 moi tous les jours pour 2 navigateurs)

[lek2020]

Salut,

Ca ne sert à rien ce que tu as fait.
La détection porte sur un fichier dans le cache de Firefox.
Ce n'est pas une infection active.

~~

Désinstalle Antivir, encombrant. Laisse Windows Defender.
Pareil, désinstalle CCleaner, inutile et lourdingue.


~~

Vide le cache de Firefox ou réinitialise le : Réparer Mozilla Firefox (premier paragraphe)

Salut,

Merci pour votre réponse rapide. Et désolé mes connaissances étant limités et face à la panique, j'ai essayé tout ce qui m'est passé par la tête ^^'
J'utilise Ccleaner uniquement pour pouvoir bloquer certains logiciels au démarrage.

Du coup j'ai réinitialisé Firefox et je viens à l'instant de relancer une analyse windows defender.
Edit : la réinitialisation a crée un dossier "Anciennes données de Firefox" sur mon bureau, est-ce utile ou est-ce que je peux le supprimer ?

J'ai plusieurs questions qui me viennent à l'esprit :
1 / Est-ce que malgré tout il y a un risque que mes mots de passe aient été compromis ? Dois-je les changer ?
2 / Y a-t-il un moyen de savoir comment ce trojan est arrivé dans le cache ? Ou de savoir de quelle page web il provient afin de ne plus la visiter ?
3 / Est-ce que je peux réinstaller toutes mes extensions Firefox ? J'en ai plusieurs mais je ne sais pas si elles sont toutes utiles et toutes "safe" ?

4 /Par ailleurs pouvez-vous m'indiquer à quoi correspond ceci dans le rapport "Addition" ?

CodeIntegrity:
===============
Date: 2024-12-12 12:24:56
Description:
Windows is unable to verify the image integrity of the file \Device\HarddiskVolume3\Program Files\Avira\Endpoint Protection SDK\amsi\x64\avamsi.dll because file hash could not be found on the system. A recent hardware or software change might have installed a file that is signed incorrectly or damaged, or that might be malicious software from an unknown source.

Désolé pour toutes ces questions, et encore merci !

==================

Bonjour

Et pour compléter ce qu'indique Malekal, le journal de Defender, meme si il n'y a plus rien va continuer d'afficher "la chose" pendant encore 7 ou 10 jours

Quant au cache, par la suite, histoire de faire "propre" utilise PRIVAZER (faut faire les réglages. On peut mettre tout à fond, sauf pour les mots de passe de sites etc si tu as fais l'erreur de les coller dans les navigateurs
https://www.malekal.com/privazer-nettoyer-windows/ (Il remplacera CCleaner)

Sinon c'est quoi le but d'utiliser X navigateurs ?
Là aussi si tu ne fais pas le ménage, tout ce qui est gardé (même si on demande de vider à la fermeture un tas de trucs) va prendre de la place (perso j'ai 600 moi tous les jours pour 2 navigateurs)

Bonjour,

Merci pour votre aide.

"le journal de Defender, meme si il n'y a plus rien va continuer d'afficher "la chose" pendant encore 7 ou 10 jours"
Est-ce que cela veut dire que Defender continuera à détecter le trojan même si il n'est plus là ?

Merci pour Privazer, je le téléchargerai !
Qu'entendez-vous par "si tu as fais l'erreur de coller les mots de passe dans les navigateurs" ?

Les plusieurs navigateurs c'est davantage par habitude, mais je ne les utilise pas tous. Je faisais cela sur mon ancien pc pour ne pas surcharger Firefox car à force il finissait par ramer. Puis également le fait que google est parti en guerre contre les adblockers depuis quelques temps, donc je switchais de navigateur en navigateur.

[Parisien_entraide]

Pour les mots de passe.. En général les gens les collent dans les navigateurs (c'est facile puisque les navigateurs proposent d'enregistrer login et mot de passe)

Deux problèmes si c'est le cas
- Un simple script d'un programme malveillant permet de tout récupérer
- Certains "nettoyeurs" proposent l'effacement des mots de passe, donc il suffit de cocher la mauvaise case ou d'un moment d' inattention et c'est le drame

Il vaut mieux utiliser un gestionnaire de mots de passe comme KEEPASS XC par ex (gratuit en plus et permet l'enregistrement de la base en local)
https://www.malekal.com/keepassxc-le-ge ... piratages/

Vu les vols de données tu peux toujours changer tes mots de passe, ca ne fait pas de mal :-) mais surtout si le site le suggère (ou steam etc) d'y coller une deuxième couche de protection dite 2FA (même si..)

Pour AVIRA ce n'est rien
C'est un grand classique (et pas que pour AVIRA)

Ensuite je note que tu utilises "HidHide" La sté derrière est Nefarius (même si on ne voit sur Github qu'un seul auteur)

Nefarius a créé une société appelée Nefarius Software Solutions, et en y approfondissant davantage, Nefarius Software Solutions a mis des logiciels "possiblement" malveillants dans leurs programmes
Je ne sais ce qu'il en est avec Hidhide, mais il est l'auteur de Vigem SCPToolkit (qui est inclus dans HidHide)
Sur Steam il était dit ;: https://steamcommunity.com/discussions/ ... 661312620/
Donc je ne sais si le programme est malveillant ou du fait que comme il s'agit d'un wrapper, il contourne certaines fonctions de Windows (C'est le cas souvent de nombre de ces programmes)
Par contre je ne sais si tu as un anticheat de type EasyAnticheat (j'avoue j'ai la flemme de regarder à nouveau tes rapports :-) pour certains jeux ou le VAC de Steam, car il peut effectuer un ban sur ces types de programmes (mais il prévient avant)

Firefox : Dans tes modules celui là ne sert à rien No Coin - Block miners on the web! car inclut dans les listes de Ublock Orign et pas assez mis à jour
De plus Firefox bloque avec le paramètre qui va bien https://coingeek.com/new-firefox-option ... g-scripts/

Si tu cherches des modules : viewtopic.php?t=71156 (classés par thèmes)

Par contre on ne peut pas te dire ce que tu as visité. On n'a pas accès à l'historique de ton PC sans compter que suivant les paramètres il peut etre effacé en quittant Firefox ou lors de la réinitiatlisation


Defender ne vas pas continuer à "détecter" il ne fait qu'afficher le journal ce n'est pas la meme chose

[lek2020]

Merci pour ces réponses.
Ah ok "coller" dans ce sens là, je comprends mieux. Perso je n'enregistre jamais mes mots de passe dans les navigateurs, mais merci pour l'info !
Et je pense que je changerai quelques mots de passe au cas où, du moins pour mes comptes les plus importants. Et j'utilise déjà la 2FA sur la plupart des sites.

Ok pour Avira. D'ailleurs je checkais Avira avant de le désinstaller et je n'avais même pas remarqué qu'il y avait ceci dans la quarantaine. J'imagine que je peux le supprimer de la quarantaine sans risque avant de désinstaller Avira ?


Concernant HidHide il avait été installé en même temps que DS4Windows, un logiciel pour faire fonctionner la manette PS4 sur Windows. Je ne savais pas que ce logiciel était crée par une société pareille... Du coup si je le désinstalle c'est bon ? Il n'y aura pas de risques à l'avenir ?
Et je joue peu en multijoueur mais je sais que quelques jeux installent des anticheats, du coup peut-être bien qu'il est installé sur mon pc (ou un autre).

Ça marche pour les extensions, merci pour la liste

Concernant Defender j'imagine que vous parlez de l'"Historique de protection". J'avais en effet remarqué qu'il garde un log de ce qu'il a détecté par le passé.

Pour finir j'aurai 2-3 questions rapides:
* la réinitialisation de Firefox m'a crée un dossier "Anciennes données de Firefox" sur mon bureau, est-ce utile ou est-ce que je peux le supprimer ?
* j'avais eu un problème similaire dans mon ancien pc (que je n'utilise plus). Windows Defender me détectait un "TrojanDownloader:HTML/Elshutilo.A" dans les caches de Chrome et de Brave. J'imagine que je dois suivre la même procédure et réinitialiser Chrome et Brave ?
* avez-vous un lien pour que l'on puisse vous faire un don ?

[lek2020]

PS : au passage je n'ai pas posé la question essentielle mais quand vous dites que "ce n'est pas une infection active", cela veut dire que ça ne présente aucun risque pour mon pc et que je n'ai pas subi de vol ou piratage de mes données et mots de passe ?

[Parisien_entraide]

Avira fait du zèle, mais il est vrai qu'utiliser un .vbs pour exécuter une tache de maitnenance (Eco d'énergie) avec un .vbs c'est d'un autre âge, du moins de la part d'uns sté comme Intel

Pour HidHide.. Il a été par le passé considéré comme "suspect" mais plus personne n'en parle
De plus je pense que les AV auraient déjà couiné depuis le temps (ou alors il a revu son code puisque HidHide est arrivé après)
Par contre pour les anti cheats.. du moins certains, que tu joues en solo ou multijoueurs ils ne font pas la différence

Firefox, oui tu peux virer les anciennes données si tout fonctionne

Pour les autres navigateurs, tu peux réinitialiser et passer Privazer
Néanmoins dans ces caches l'infection n est pas active (on ne la retrouve nulle part
Par sécurité vaut mieux réinitaliser

Pour les vols de données là aussi par sécurité, change tous les mots de passe, mais rien ne dit que tu as subis un vol de données
De plus vu que tu as passé un tas de programmes, il est impossible de savoir ce qu'il y avait puisque tu n'as pas regardé les journaux de scan

Lis ce qu'il y a sur ce sujet et avant et après si tu as le temps. Tu verras qu'outre le camouflage, les malwares actuelles effacent leurs traces après avoir volé les données
Ca parle de cracks mais cela peut arriver vie une pièce jointe dans un mail etc
viewtopic.php?p=544690#p544690

Sinon si tu veux sécuriser ton PC contre les scripts.. il y a des outils simples qui se laissent oublier si intéressé

[lek2020]

D'accord, alors je supprimerai le fichier vbs de la quarantaine vu que ça n'a pas l'air important.

J'ai désinstallé HidHide au cas où, et aussi un autre logiciel (ViGEm Bus Driver) qui était installé et fait par la même sté.

Ok je ferai cela pour les navigateurs de mon autre pc ainsi que pour mes mots de passe, merci.

Quand vous parlez de journaux de scan, vous parlez des journaux de antivir et malwarebytes ? Si oui alors y a-t-il un moyen de les récupérer pour que je puisse les envoyer ici ?

Merci pour le lien mais personnellement je n'utilise plus de cracks dorénavant, tous mes jeux sont légitimes et je continuerai ainsi. La dernière fois que j'en ai utilisé un sur ce pc c'était il y a environ deux ans, et ça fait presque aussi longtemps que je l'avais supprimé. Quant aux mails je n'utilise pas Firefox pour les consulter. Donc le souci doit certainement venir d'ailleurs...

Concernant le fait de sécuriser le pc contre les scripts, je suis toujours intéressé tant que ce n'est pas trop compliqué à mettre en place et que ça ne présente pas trop de risques ^^

Sinon j'imagine que je peux directement supprimer l'icone FRST de mon bureau ainsi que le dossier dans C: ?

PS : et je réitère ma question concernant les dons ? Vous faites de l'excellent travail et votre aide est précieuse, vous le méritez.

[lek2020]

PS : je viens d'effectuer une autre analyse avec windows defender et cette fois il me trouve autre chose, ça me rend fou...
Pourtant je n'ai rien fait de particulier avec mon pc depuis tout à l'heure, absolument rien.
Pour info je n'ai pas encore passé Privazer car je comptais le faire demain.
Que faire ??

Trojan-MalAgent.png

[Parisien_entraide]

Bizarre.. Tu n'as rien de synchronisé avec ton PC (partage de contacts, favoris etc) ?

Là aussi c'est dans le cache mais avec Chrome en plus

Passe PRIVAZER en mettant tout à fond (il est fiable) avec effacement des cookies bref la total etc r elance l'ordi,

Le truc c'est que tu dis avoir utilisé des cracks par le passé;.. Ca a peut etre laissé une faille, une porte d'entrée

Commence par
https://www.malekal.com/firewall-window ... -reglages/

Ensute Hardentools
https://www.malekal.com/hardentools-securiser-windows/

Il y a une case que je conseille de ne pas cocher
viewtopic.php?p=540871#p540871

Après tu relances l'ordi, tu navigues sur internet et refais un scan FRST

Edit : Pour le don (pas pour moi) tu peux à https://www.paypal.com/cgi-bin/webscr?c ... Z8MCQ4DBUQ

[lek2020]

Non je n'ai absolument rien de synchronisé avec mon pc...

Merci pour la procédure, je ferai cela demain car à vrai dire avoir passé la journée sur ce problème m'a épuisé et donné un début de mal de crâne...

C'est quand même bizarre qu'un crack aussi ancien puisse causer des soucis maintenant.
Personnellement je pensais que ça pouvait venir de l'une des extensions des navigateurs, mais je n'y connais pas grand chose donc bon.

En tout cas je continuerai demain et je vous tiendrai au courant, encore merci et bonne soirée à vous !

PS : merci pour le lien concernant le don, je ferai ça dès que ce souci sera réglé pour éviter toute complication...

[Parisien_entraide]

Attention je n'ai pas dis que le crack ancien est la cause actuelle, je dis juste que la partie malveillante "peut" laisser, puisque souvent le noyau de Windows est corrompu, une faille qui peut etre exploitée par la suite

Il est vu des cracks aussi qui patientent X jours/Semaines parfois plus.. Pour activer la charge malveillante (En fait la télécharger)

Dans tes extensions de Firefox il n'y a rien de malveillant
Il y en a juste une qui MAINTENANT semble avoir quelques soucis (différend Russe Ukrainien avec l'auteur) "Return YouTube Dislike"
Je conseillerait pour l'instant de virer cette extention
https://addons.mozilla.org/fr/firefox/a ... s/reviews/

L'autre ne sert à rien ;: No Coin - Block miners on the web!

Dans chrome c'est du connu aussi

[lek2020]

D'accord je comprends, merci pour ces explications.

Avant de faire la procédure que vous m'avez indiqué hier, j'ai constaté un truc : l'espace de mon disque C: diminue à vue d'oeil. Il y a 2/3 jours il était à environ 120/130 Go de libre. Ce matin en allumant le pc il était à 114 Go et là ce midi il est descendu à 106 Go ! Alors que je ne fais rien de particulier, je n'ai rien installé ni transféré de fichiers...

[Parisien_entraide]

L'espace libre n'est pas "fixe"
Par ex je note suivant les jours, une différence de parfois 3 Go alors que je n'ai rien installé, qu'il n'y a pas eu de mise à jour etc
De plus Windows même si on utilise son programme de nettoyage (ou un nettoyeur tiers comme CCleaner,) n'efface pas tout à un moment T

Par ex CCleaner par défaut garde tout pendant 48h
L'outil de nettoyage de Microsoft : Pendant 7 jours

Après il y a les points de restauration qui se font, les snapshots qui se font régulièrement ou quand Microsoft l'estime, ou suite à une maj mensuelle etc
Tu as certains dossiers qui se remplissent également comme WinSX etc

Par ex avec https://www.malekal.com/wise-disk-clean ... le_systeme et cet onglet particulier suite aux mises à jour et si tout fonctionne on peut faire pas mal de ménage dans le dossier software Distribution