Trojan Script/Wacatac.H!ml toujours détecté par Windows Defender - Switch - [Résolu]

[lek2020]

Ok. Je trouvais cela très suspicieux de perdre une vingtaine de Go en 48h alors que j'avais déjà fait la dernière mise à jour Windows Update il y a quelques jours. Je pensais que c'était lié à mon problème.

Je remarque que j'ai 6 points de restauration disponibles, dont 2 manuelles et 2 autres que Windows a crée automatiquement hier. Et mon dossier WinSxS pèse un peu plus de 11 Go.

Je verrai le ménage que je peux faire, merci pour le lien. En espérant que ce soit cela et pas un nouveau problème ^^

[Parisien_entraide]

Non c'est pour tout le monde pareil

Tu as tout ce qu'il faut ici pour nettoyer de manière sécurisée et fiable le dossier WinSxS
https://www.malekal.com/nettoyer-dossie ... s-windows/

Perso j'utilise Dism++ mais sur Windows 10 car sur Win11 du moins pour la dernière version je ne sais si il peut poser problème ou pas (faudrait que je teste) vu que l'auteur a disparu et que la dernière version date de mars 2023

[Malekal_morte]

PS : je viens d'effectuer une autre analyse avec windows defender et cette fois il me trouve autre chose, ça me rend fou...
Pourtant je n'ai rien fait de particulier avec mon pc depuis tout à l'heure, absolument rien.
Pour info je n'ai pas encore passé Privazer car je comptais le faire demain.
Que faire ??

Trojan-MalAgent.png

Si tu regardes bien, la détection à la fin, c'est le même fichier que celle au départ, qui étant dans Addition.txt.
Donc je pense que tu n'as pas vidé le cache.
Les autres détections portent sur la cache Chrome.
Il est donc à vider aussi.

[lek2020]

Non c'est pour tout le monde pareil

Tu as tout ce qu'il faut ici pour nettoyer de manière sécurisée et fiable le dossier WinSxS
https://www.malekal.com/nettoyer-dossie ... s-windows/

Perso j'utilise Dism++ mais sur Windows 10 car sur Win11 du moins pour la dernière version je ne sais si il peut poser problème ou pas (faudrait que je teste) vu que l'auteur a disparu et que la dernière version date de mars 2023

Ok ça me rassure alors ^^

Merci pour le lien, du coup je ferai le nettoyage par la suite !

Si tu regardes bien, la détection à la fin, c'est le même fichier que celle au départ, qui étant dans Addition.txt.
Donc je pense que tu n'as pas vidé le cache.
Les autres détections portent sur la cache Chrome.
Il est donc à vider aussi.

Pourtant j'avais réinitialisé Firefox. Mais je n'ai pas réinitialisé les autres navigateurs car au départ je pensais que seul Firefox était affecté au vu du résultat de l'analyse windows defender.
Du coup quelle est la méthode la plus efficace et radicale pour vider les caches, réinitialiser les navigateurs, passer Privazer ensuite, ou bien carrément réinstaller tous les navigateurs ?

[Parisien_entraide]

Au quotidien : Privazer (perso je le fais AVANT d'aller sur les sites d'achats, banque etc)
Mais normalement dans le cas présent cela devrait AUSSI agir

Sinon méthode radicale : Réinitilialiser (ce qui ne fait pas de mal)

[lek2020]

Au quotidien : Privazer (perso je le fais AVANT d'aller sur les sites d'achats, banque etc)
Mais normalement dans le cas présent cela devrait AUSSI agir

Sinon méthode radicale : Réinitilialiser (ce qui ne fait pas de mal)

D'acc, merci pour la réponse. Je pense que je vais tout réinitialiser, en espérant que ça réglera enfin le problème...

[Malekal_morte]

Tu n'as pas besoin de passer par une application tierce pour vider le cache.
Depuis le navigateur internet : CTRL+MAJ+Suppr
Tu choisis "Tout" dans la période
et tu coches cache internet.
Voir : https://www.malekal.com/vider-supprimer ... era-brave/

Si la détection revient, c'est peut-être une extension qui en est la source.

[Parisien_entraide]

Par expérience cela ne vide pas tout, pour ce qui est en lien avec ce qui a été déterminé comme données personnelles (sous l'angle Privazer)

Par défaut sous Firefox j'ai demandé à virer tout après fermeture de session, mais il y a d'autres caches, des sauvegardes, .. et c'est pire pour tout ce qui est chromuim (ce sont des centaines de Mo du moins pour certains navigateurs car je n'ai pas tout testé)

Pourtant :

2024-12-13_155826.jpg

Après faut se goinfrer les forums de Privazer, pour savoir ce qu'ils font exactement, mais l'équipe analyse et tout pendant des semaines ou mois avant de mettre en place les nettoyages

[lek2020]

Tu n'as pas besoin de passer par une application tierce pour vider le cache.
Depuis le navigateur internet : CTRL+MAJ+Suppr
Tu choisis "Tout" dans la période
et tu coches cache internet.
Voir : https://www.malekal.com/vider-supprimer ... era-brave/

Si la détection revient, c'est peut-être une extension qui en est la source.

C'est pourtant ce que j'avais fait hier sur Firefox avant même de réinitialiser. C'est bizarre que l'infection soit du coup revenue dans Firefox. Mais vous avez peut-être raison, ça doit être l'une des extensions. Par prévention je ne vais garder que Ublock Origin dans mes navigateurs et virer toutes les autres.

Par expérience cela ne vide pas tout, pour ce qui est en lien avec ce qui a été déterminé comme données personnelles (sous l'angle Privazer)

Par défaut sous Firefox j'ai demandé à virer tout après fermeture de session, mais il y a d'autres caches, des sauvegardes, .. et c'est pire pour tout ce qui est chromuim (ce sont des centaines de Mo du moins pour certains navigateurs car je n'ai pas tout testé)

Pourtant :

Après faut se goinfrer les forums de Privazer, pour savoir ce qu'ils font exactement, mais l'équipe analyse et tout pendant des semaines ou mois avant de mettre en place les nettoyages

Bizarrement je ne suis pas étonné que Chromium soit le pire...
Du coup un coup de Privazer après coup devrait tout vider ?
Et ensuite le réglage du firewall et l'application de Hardentools comme vous me l'avez indiqué hier ?

[Parisien_entraide]

Fais la mtéhode de Malekal et ensuite passe Privazer, tu verras ce qui reste

Ensuite pour les extensions, hormis un téléchargement HORS magasin de Firefox et hormis celles que j' ai indiqué à virer, elles sont saines (en tous les cas y a jamais eu de malwares détectés etc.. J'ai les mêmes en plus)

Si rien ne revient après nettoyage, tu peux en effet faire le reste

[lek2020]

Je télécharge toujours mes extensions sur le magasin des navigateurs. Du coup la solution n'a pas l'air aussi simple que cela, dommage pour moi ^^

Ok, je vais faire tout cela alors !
Au passage est-ce que le changement de DNS est utile ? Je suis actuellement sous Cloudfare mais j'ai entendu dire que Quad9 était plus sécurisé.

[Parisien_entraide]

Perso je ne conseille pas Quad9 :-)
A lire
https://www.malekal.com/les-meilleurs-d ... -complete/

Edit : Quelques détails à
https://www.malekal.com/comparatif-meilleurs-dns/

[lek2020]

Bon là je deviens définitivement fou...
J'ai supprimé tous les caches, supprimé toutes les extensions (j'ai uniquement réinstallé Ublock Origin), réinitialisé tous les navigateurs, passé un coup de Ccleaner, passé un coup de Privazer (scan en profondeur et nettoyage normal) puis redémarré le pc. (je n'ai pas configuré le firewall ni utilisé Hardentools)
J'ai navigué vite fait sur quelques sites, je lance une nouvelle analyse windows defender et v'là que ça revient !



Edit : je l'ai mit en quarantaine, fait une nouvelle analyse et Defender n'a rien détecté (pour le moment...)
Est-ce que ce serait du au fait qu"avant de redémarrer mon pc j'ai branché une clé usb afin de sauvegarder quelques documents ? Ou alors ça viendrait de mon casque sans fil que j'utilisais également sur mon ancien pc ? (à ce niveau je suspecte tout ce que je vois)

D'autre part ce souci me ralentit pas mal dans mes tâches au quotidien. Est-ce que je peux malgré tout utiliser mon pc normalement, me connecter à différents sites, à discord, à steam,... ? Ainsi que brancher des clés usb, transférer des fichiers de mon pc sans risque d'infection,... ? Ou alors c'est risqué ?

PS : merci pour l'info concernant Quad 9. Du coup CloudFlare reste efficace, ou vous me conseillez de switcher sur AdGuard ?

[Parisien_entraide]

- Tout dépend de ce qu'il y a sur la clé USB
- Cela peut être un script sur un site visité (tu as la liste ?)

Refais un scan FRST pour voir (histoire de voir si ce n'est que le cache) et ne passe pas divers programmes pour éradiquer la chose

Sinon télécharges https://notepad-plus-plus.org/downloads/
Et une fois lancé glisse le fichiers détecté
Au début c'est illisible mais à la fin du fichier on voit ce que c est

Le truc là c'est que Microsoft ne dit pas vraiment ce qu'il en est, c'est une détection de trojan generique

[lek2020]

Sur la clé USB il n'y a que des fichiers styles Bloc-Notes, pdf et images.
Les sites que j'ai visité sur firefox sont youtube, reddit, jeuxvideo.com, twitch, google, bilibili et xboxygen.

J'ai uniquement fait deux autres analyses windows defender par la suite (qui n'ont rien détecté car j'avais mit le fichier en quarantaine).

Voici les rapports FRST:
* FRST : https://pjjoint.malekal.com/files.php?i ... j13w9u9c13
* Shortcut : https://pjjoint.malekal.com/files.php?i ... 0u12m13o10
* Addition : https://pjjoint.malekal.com/files.php?i ... u8y12s15l9

Quel fichier exactement doit-être glissé dans notepad ? Celui contenant le trojan ?

Autrement en attendant, est-ce que je peux malgré tout utiliser mon pc normalement, me connecter à différents sites, à discord, à steam,... ? Ainsi que brancher des clés usb, transférer des fichiers de mon pc sans risque d'infection,... ? Ou alors c'est risqué ?