Trojan Script/Wacatac.H!ml toujours détecté par Windows Defender - Switch - [Résolu]

[lek2020]

Bonjour,

Bon je pense avoir trouvé la source du problème (ou du moins l'une des sources, à voir si il y en a plusieurs). J'avais déjà un soupçon concernant twitch car l'autre jour quand Defender m'avait fait une détection positive dans le cache de Chrome, il faisait parti des trois sites que j'avais visité juste avant que je lance l'analyse.
Ce matin j'ai fait une série d'analyses avec différentes configurations (je peux les décrire si besoin) et les seules fois où Defender m'a trouvé quelque chose dans le cache de Firefox, c'était uniquement après que j'ai visité twitch et pas les autres sites. J'ai également tenté une analyse en visitant twitch après avoir désactivé Ublock pour voir si ça pouvait venir de là, mais Defender a quand même eu une détection positive après coup. Donc mon pc n'aime pas twitch, et ça m'embête car j'aimerai bien continuer à utiliser ce site là.

L'autre truc c'est que même avec Ublock Origin j'ai des pubs sur twitch, ça ne veut peut-être rien dire mais c'est le seul site sur lequel j'ai cela.

Au passage le fichier détecté est catégorisé différemment sous Defender comparé au premier jour mais dans toutes les détections (8 au total depuis mercredi), le nom du fichier problématique est exactement le même.

Bref, du coup pour le moment je ne sais pas quoi faire mis à part éviter d'aller sur twitch, en espérant que je ne rencontre pas à nouveau le même problème sur un autre site.

J'ai quelques questions qui me viennent à l'esprit:
*est-ce que le fichier dans le cache de firefox a pu contaminer le cache d'autres navigateurs ou même d'autres fichiers de mon pc ?
*est-ce que c'est ok de juste laisser les fichiers en quarantaine dans Defender ? Il n'y a aucun risque ?
*est-ce que je peux malgré tout utiliser mon pc normalement, me connecter à différents sites, à discord, à steam,... ? Ainsi que brancher des clés usb, transférer des fichiers de mon pc sans risque d'infection,... ? Ou alors est-ce risqué ?

[Parisien_entraide]

A désinstaller

- HD Sentinel : Tu as des SSD pas des disques durs et pour une analyse de base CrystalDisk et sinon les outils constructeurs qui sont les seuls à vraiment tout déterminer. De plus il est limité dans le temps sauf si cracké
- CCleaner
- Hwinfo (ou alors le mettre à jour)
- Crucial Storage Executive (Ca ne sert que pour vérifier les maj de firmware et etat SSD, sinon c'est un mouchard et ca prend des ressources pour rien)


Pour HWINFO tu as une versions "202" (?) la dernière version en date est la 8.16 et tu es en 7.36
https://www.hwinfo.com/download/
De plus il est fait état d'un pilote en lien
HWiNFO_202; \??\C:\Users\yass\AppData\Local\Temp\HWiNFO_x64_202.sys [X] <==== ATTENTION
Depuis déjà quelques temps en "temp" c'est la version 203 qui devrait apparaitre


WinRar toujours pas à jour. Tu es en version 6.11
A lire : viewtopic.php?p=554708

Mettre à jour 7zip
La raison viewtopic.php?p=561871#p561871


La tache VBS a été viré par AVIRA mais il reste un .bat
le script task.vbs exécute task.bat donc il ne sert plus à rien

Task: {C95BF4CB-ECF9-4E3F-9C9C-690E5CDE7A65} - System32\Tasks\USER_ESRV_SVC_QUEENCREEK => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [455680 2024-09-12] (Microsoft Windows -> Microsoft Corporation) -> C:\Program Files\Intel\SUR\QUEENCREEK\x64\-Command "Start-Process -WindowStyle Hidden task.bat"

J'avoue je ne connais pas ce programme, donc je ne sais si il est vraiment utile et si tu peux le désinstaller (normalement oui)



Ce que je demande de lire dans Notepad++ c'est le fichier qui apparait dans ta capture dans le cache2 de type
"D8AFEE00839EED1DFDCCC3BFC2F5B363 " (ce n'est pas le même car j ai la flemme de taper ce qui apparait dans ta capture :-)


Avira n'est plus l'Avira d'il y a quelques années tu peux le virer et revenir à Defender


Tu as FlashIntegro VSDC Free Video Editor que l'on trouve sur le site www.videosoftdev.com
Sur le site on ne sait pas QUI est derrière, ni où ils sont etc
En fait derrière on a la sté FLASH-INTEGRO LLC située en Ouzbékistan
C'est une version légitime ?


AstonSoft DeepBurner : (gravure CD/DVD) Regarde si tu as une version 1.8.0 ou 1.9.0.228
Il y a une faille connue et exploitée par les malwares (dépassement de tampon mémoire)
Cela n'a pas été corrigé je conseille FORTEMENT de le désinstaller
De plus c'est un logiciel payant. C'est une version légitime ?


AoA Audio Extractor version platinum : Déjà la version platinum est.. payante
C'est une version légitime ?
A savoir le site auteur n'existe plus https://www.aoamedia.com/


SSDlife Pro est un programme limité dans le temps (15 jours)
C'est une version légitime ?


Je ne connais pas les 2 derniers site cités, mais concernant TWITCH :

le Programme de partenariat de Twitch permet aux créateurs de contenu populaires de partager leurs passions tout en générant des revenus grâce aux publicités.... 74 000 partenaires en 2023
En plus vu la notoriété cela attire les malveillants (pas mal d'attaques sans compter le vol intégral du code source en 2021..)

Il y a eu des cas de pubs etc avec Dofus wit twitch sur le forum par le passé

[Parisien_entraide]

Je vois que pour Twitch ca semble confirmer la chose

Donc fait les manips (firewall hardentools, ..)
Je conseille l'usage de NoScript https://addons.mozilla.org/en-US/firefo ... /noscript/

Alors OUI, c'est contraignant au début (voir la partie pour NoScript)
viewtopic.php?p=527443/

Les règles :

- Si tout s'affiche , tout fonctionne, sur la page Web tu ne touches à rien
- Si le site est authentique de bon niveau tu peux positionner le curseur en "fiable" (Site de la banque, son fournisseur internet, messagerie du fournisseur internet, site d'achats connus comme AMAZON etc

- Un site fiable n'est pas synonyme d'un site sur lequel on a l'habitude d'aller, c'est différent
- Si il y a des problèmes d'affichage, de lecture, mettre au fur et à mesure de ce qui apparait dans no script en temporairement fiable jusqu'à trouver le coupable

Cela prend du temps, mais au final on ne risque pas de se faire infecter par une régie de pubs foireuse ou un script malveillant par ex

[lek2020]

Merci pour toutes ces informations ! Je ferai ces procédures en fin d'après-midi ou demain car je vais être occupé cette après-midi.

Mais pour répondre rapidement:
- J'utilise HD Sentinel pour avoir un suivi de la condition des SSD, et il n'est pas cracké
- Je n'ai aucun logiciel cracké sur ce pc
- Je mettrai à jour et désinstallerai les logiciels que vous m'avez indiqué, merci
- Je ne sais pas ce qu'est Crucial Storage Executive, peut-être que je l'avais installé lors de l'achat de mon SSD ou bien il s'est installé par lui-même

Concernant HW INFO, je le mettrai à jour. Mais je n'ai pas comprit l'histoire du pilote.

Ok je viderai la quarantaine d'Avira alors, puis je désinstallerai pour ne laisser que Defender

Concernant le fichier à lire dans Notepad, il est désormais dans la quarantaine de Defender donc comment faire.
Puis est-ce que ce n'est pas risqué de le lire ainsi ? J'avoue avoir une petite crainte à faire cela ^^'

VSDC Free Video Editor est une version légitime oui (enfin c'est la version gratuite). Vous me conseillez de le désinstaller ?

Deepburner est également une version légitime.

AoA Audio Extractor version platinum est une version légitime, mais en le lançant je viens de constater que la période d'essai est terminée.
Et idem pour SSDlife Pro, la période d'essai est terminée.

Ok pour Twitch. Je ferai la procédure firewall et hardentools puis NoScript.
Avec NoScript le site deviendra safe à visiter de base ou bien il faut passer au préalable par les étapes et réglages que vous m'indiquez ?
Mais du coup est-ce que ce problème avec twitch arrive à tout le monde ? Ou bien qu'à moi (et si oui, pourquoi ?) ?

PS : j'en profite pour réitérer mes questions précédentes car elles me taraudent ^^ :
*est-ce que le fichier dans le cache de firefox a pu contaminer le cache d'autres navigateurs ou même d'autres fichiers de mon pc ?
*est-ce que c'est ok de juste laisser les fichiers en quarantaine dans Defender ? Il n'y a aucun risque ?
*est-ce que je peux malgré tout utiliser mon pc normalement, me connecter à différents sites, à discord, à steam,... ? Ainsi que brancher des clés usb, transférer des fichiers de mon pc sans risque d'infection,... ? Ou alors est-ce risqué ?

[Stonix]

Bonjour, Non vous n'etes pas le seul j'ai aussi remarqué ce trojan jeudi dernier et je n'avais aucune piste jusqu'a ce que je tombe sur ce forum

[lek2020]

Bonjour, Non vous n'etes pas le seul j'ai aussi remarqué ce trojan jeudi dernier et je n'avais aucune piste jusqu'a ce que je tombe sur ce forum

Bonjour. Merci pour votre témoignage. C'est une véritable honte que des grosses compagnies comme twitch ne fassent aucune vérification au préalable...

[Parisien_entraide]

- J'utilise HD Sentinel pour avoir un suivi de la condition des SSD, et il n'est pas cracké
- Je ne sais pas ce qu'est Crucial Storage Executive, peut-être que je l'avais installé lors de l'achat de mon SSD ou bien il s'est installé par lui-même
- Concernant HW INFO, je le mettrai à jour. Mais je n'ai pas comprit l'histoire du pilote.
- Concernant le fichier à lire dans Notepad, il est désormais dans la quarantaine de Defender donc comment faire.
- Puis est-ce que ce n'est pas risqué de le lire ainsi ? J'avoue avoir une petite crainte à faire cela ^^'
- VSDC Free Video Editor est une version légitime oui (enfin c'est la version gratuite). Vous me conseillez de le désinstaller ?
- AoA Audio Extractor version platinum est une version légitime, mais en le lançant je viens de constater que la période d'essai est terminée.
- Et idem pour SSDlife Pro, la période d'essai est terminée.

Ok pour Twitch. Je ferai la procédure firewall et hardentools puis NoScript.
Mais du coup avec NoScript le site deviendra safe à visiter de base ou bien il faut passer au préalable par les étapes et réglages que vous m'indiquez ?

-------------------------------------

PS : j'en profite pour réitérer mes questions précédentes car elles me taraudent ^^ :
*est-ce que le fichier dans le cache de firefox a pu contaminer le cache d'autres navigateurs ou même d'autres fichiers de mon pc ?
*est-ce que c'est ok de juste laisser les fichiers en quarantaine dans Defender ? Il n'y a aucun risque ?
*est-ce que je peux malgré tout utiliser mon pc normalement, me connecter à différents sites, à discord, à steam,... ? Ainsi que brancher des clés usb, transférer des fichiers de mon pc sans risque d'infection,... ? Ou alors est-ce risqué ?

HD sentinel il me semble de mémoire que c'est une version limitée dans le temps
Crucial .. C'est une programme lié à tes SSD CRUCIAL
- HWINFO.. Je voulais signifier qu'il est lancé pour que le pilote apparaisse lors du scan FRST. C'est le cas ? Sinon le reste ca indique qu'il n'est pas à jour
- Pour le fichier en quarantaine.. Laisse tomber
- Aucun risque, c'est une lecture pas une exécution du contenu. Notepadd n'exécute pas les scripts si il y en a, contenu dans les fichiers
- VSDC Free Video Editor ; Garde le
- AoA Audio Extractor tu peux donc le désinstaller
Du reste je le trouve curieux ce prog. (perso je ne connais pas).. On ne sait pas non plus pourquoi le site a disparu (une copie d'un prog existant ?)
La meilleure alternative payante est https://www.poikosoft.com/music-converter (Il a un nouveau nom EZ CD extractor car autrefois connu sous le nom de Easy CD-DA Extractor )
Problème : Je l'ai connu et acheté lorsqu'il coutait autour de 15 euros (licence à vie) mais maintenant il est à 43 euros mais il n'y a pas mieux
Sinon tu as Extract audio copy gratuit non testé https://www.exactaudiocopy.de/

Pour le site twitch avec hardentools, et no script,essaie ce réglage dans un premier temps (j'ai juste mis le site en temporairement fiable.. les vidéos s'affichent, mais je n'ai pas testé le reste

2024-12-14_132803.jpg

- Les fichiers en quarantaine ca ne craint rien tant que tu ne les sors pas de la quarantaine pour neutraliser le blocage
- Les scripts d'infection peuvent contaminer les navigateurs qu'ils trouvent et pas seulement celui qui est ouvert

Une fois que tu auras nettoyé le PC et mis en place les protections, tu pourras utiliser ton PC pour aller sur les autres sites avec login et mot de passe
Juste par précaution

Sinon je conseille d'installer et d'utiliser Quick Installer pour garder les programmes à jour viewtopic.php?t=74245 (il y a dans le lien celui de l'article de Malekal sur le site)
En tant que gratuit il n'y a pas mieux pour l'instant et suffit à 99% des gens

[lek2020]

HD sentinel il me semble de mémoire que c'est une version limitée dans le temps
Crucial .. C'est une programme lié à tes SSD CRUCIAL
- HWINFO.. Je voulais signifier qu'il est lancé pour que le pilote apparaisse lors du scan FRST. C'est le cas ? Sinon le reste ca indique qu'il n'est pas à jour
- Pour le fichier en quarantaine.. Laisse tomber
- Aucun risque, c'est une lecture pas une exécution du contenu. Notepadd n'exécute pas les scripts si il y en a, contenu dans les fichiers
- VSDC Free Video Editor ; Garde le
- AoA Audio Extractor tu peux donc le désinstaller
Du reste je le trouve curieux ce prog. (perso je ne connais pas).. On ne sait pas non plus pourquoi le site a disparu (une copie d'un prog existant ?)
La meilleure alternative payante est https://www.poikosoft.com/music-converter (Il a un nouveau nom EZ CD extractor car autrefois connu sous le nom de Easy CD-DA Extractor )
Problème : Je l'ai connu et acheté lorsqu'il coutait autour de 15 euros (licence à vie) mais maintenant il est à 43 euros mais il n'y a pas mieux
Sinon tu as Extract audio copy gratuit non testé https://www.exactaudiocopy.de/

Pour le site twitch avec hardentools, et no script,essaie ce réglage dans un premier temps (j'ai juste mis le site en temporairement fiable.. les vidéos s'affichent, mais je n'ai pas testé le reste

2024-12-14_132803.jpg

- Les fichiers en quarantaine ca ne craint rien tant que tu ne les sors pas de la quarantaine pour neutraliser le blocage
- Les scripts d'infection peuvent contaminer les navigateurs qu'ils trouvent et pas seulement celui qui est ouvert

Une fois que tu auras nettoyé le PC et mis en place les protections, tu pourras utiliser ton PC pour aller sur les autres sites avec login et mot de passe
Juste par précaution

Sinon je conseille d'installer et d'utiliser Quick Installer pour garder les programmes à jour viewtopic.php?t=74245 (il y a dans le lien celui de l'article de Malekal sur le site)
En tant que gratuit il n'y a pas mieux pour l'instant et suffit à 99% des gens

Un immense merci à vous ! Là je dois partir urgemment mais je ferai tout cela d'ici la fin du weekend et je vous tiendrai au courant. Encore merci et bonne après midi à vous.

[Parisien_entraide]

Bonjour, Non vous n'etes pas le seul j'ai aussi remarqué ce trojan jeudi dernier et je n'avais aucune piste jusqu'a ce que je tombe sur ce forum

Bonjour. Merci pour votre témoignage. C'est une véritable honte que des grosses compagnies comme twitch ne fassent aucune vérification au préalable...

C'est .. TRES difficile
Je te donne l'exemple de la diffusion de malwares par Yahoo (où je ne conseille surtout pas de créer des comptes dont de messagerie car régulièrement volés)

Yahoo comme de nombreux sites est lié à des sociétés de diffusion de publicités

Des malfaisant avaient crée une société de pubs, tout à fait légale il y a quelques années
Ils ont eu des contrats (normal ils se positionnaient en étant les moins chers du marché, mais à ce niveau ils se moquaient de gagner de l'argent car le but n'était pas là)

Au bout d'un certain temps vu le nombre de contrats, dont certains pouvaient être liés à des stés connues, ils apparaissaient comme "sérieux" et fiables
Ils ont donc approché Yahoo qui ne pouvait donc pas se méfier

Au bout de 6 mois ou un peu plus (je ne me rappelle plus) ils ont commencé à diffuser des pubs malveillantes (usage de .js - scripts javascript)
Des gens se sont aperçus qu'ils étaient infectés mais n'en trouvaient pas la cause

En fait les malveillants ne diffusaient pas les pubs malveillantes en continu, mais en aléatoire (une personne sur cent par ex) sans compter qu'ils stoppaient la diffusion pendant 15 jours, puis reprenaient ensuite

Il a fallu presque un an avant que Yahoo trouve l'origine

Pendant ce temps là ils ont volé plusieurs millions de comptes (login et mot de passe) de comptes et messageries Yahoo où ils se sont servis pour ce qui pouvait être intéressant, sans compter que nombre de gens se servaient du meme mot de passe sur plusieurs sites, services, jeux, réseaux sociaux

Une vraie mine d'or pour eux

Là TWITCH rien qu'en 2023 étaient en lien avec 74 000 partenaires (dont une majorité liés à la pub)
Ca doit etre pire en 2024 et c'est donc impossible de vérifier

De toutes les façons vu qu'est Twitch, sa notoriété, ca ne peut qu'attirer les malveillants,

[Stonix]

De ce que je viens de lire sur la page reddit de twitch nous ne sommes clairement pas les seuls à etre touché par ce truc

[Parisien_entraide]

Bonjour

Tu peux donner le lien ?

[Stonix]

Voila https://www.reddit.com/r/Twitch/comment ... om_twitch/

[Stonix]

Je sais pas si l'information peux etre utile mais j'ai appris que depuis quelques jours une mise à jour sur le site etait en déploiment visant à mettre les titres des lives au dessus du lecteur.
Je sais pas trop si ça peux avoir une incidence sur nous qui regardont

[Parisien_entraide]

Merci :-)
Bon là on est entre le faux positif et la réelle infection
Si c'était le cas tout le monde serait infecté (sauf si ca fait dans l'alétoire etc comme dans l'exemple yahoo)
Après si ils ont mis à jour il y a peut etre des fichiers qui ne figurent pas dans la base de Defender qui peut agir par précaution

Comme je l'ai dit on peut isoler le fichier cache pour en voir le contenu

[lek2020]

C'est .. TRES difficile
Je te donne l'exemple de la diffusion de malwares par Yahoo (où je ne conseille surtout pas de créer des comptes dont de messagerie car régulièrement volés)
....

Je comprends un peu mieux la complexité dorénavant. Merci pour ces explications !

De ce que je viens de lire sur la page reddit de twitch nous ne sommes clairement pas les seuls à etre touché par ce truc

Merci beaucoup. Je suis allé voir et en effet pas mal de monde a eu le même souci. D'un côté c'est rassurant de voir qu'on n'est pas seuls et également de trouver la source du problème. Mais j'espère que l'on aura une information de Windows indiquant d'où ça vient et si c'est un faux positif ou non.

Après concernant Defender je commence à me demander si il ne multiplie pas les fausses alertes. En faisant plus de recherches sur reddit j'ai constaté que l'autre problème que j'ai eu il y a quelques semaines était vraisemblablement du à Defender détectant une extension d'avira dans les navigateurs comme une menace...

HD sentinel il me semble de mémoire que c'est une version limitée dans le temps
Crucial .. C'est une programme lié à tes SSD CRUCIAL
[...]

Bonsoir,

- Concernant HD Sentinel : il n'est pas cracké mais il continue de fonctionner. Je le trouve pratique car il donne les données des SSD sur une longue période de temps.
- HWINFO n'était pas lancé mais je l'ai désinstallé car en vrai je ne l'utilisais pas
- Concernant Crucial Storage Executive : du coup vaut mieux que je le garde pour faire les maj de mes SSD et voir leur état, non ?

- Concernant Notepadd je ne vous cache pas que mon côté parano prend le dessus malgré le fait que vous me rassuriez. Et honnêtement je n'ai pas envie de retourner sur twitch jusqu'à ce que twitch ou Microsoft règle ce problème. Ça fait 5 jours consécutifs que je suis sur ce problème et la seule envie que j'ai est juste de pouvoir utiliser mon pc normalement ^^ Même si ça peut induire le fait que je n'irai plus jamais sur twitch, tant pis.

- Merci pour les alternatives à AoA Audio Extractor !
- Concernant CCleaner je sais que vous m'avez conseillé de le désinstaller mais je veux le garder car je le trouve pratique pour désactiver les logiciels que je veux au démarrage de Windows.
- Noscript : j'ai installé l'extension mais j'imagine qu'il faut aller sur twitch pour pouvoir accèder aux réglages et qu'on ne peut pas le régler sans aller sur le site ?

Du coup j'ai désinstallé et mis à jour le reste des logiciels que vous m'avez indiqué.
J'ai ensuite réinitialisé tous les navigateurs, j'ai passé un coup de Privazer, j'ai fait les réglages Firewall et appliqué Hardentools comme vous me l'avez indiqué l'autre jour.
J'ai fait une analyse windows Defender (qui n'a rien trouvé), j'ai navigué très rapidement sur le net et j'ai fait un scan FRST.

Voici les rapports:
* FRST : https://pjjoint.malekal.com/files.php?i ... 4w11w15x15
* Shortcut : https://pjjoint.malekal.com/files.php?i ... 2k715b1015
* Addition : https://pjjoint.malekal.com/files.php?i ... 0k12y13r14

J'ai quelques questions:
* votre tutoriel de 7-Zip mène à une page sur Sourceforge pour le téléchargement du logiciel. Est-ce que ce site est bien safe ?
* maintenant que j'ai désinstallé avira, comment être sûr que Defender est bel et bien actif à la place ?
* j'ai un point d'exclamation dans un triangle jaune sur l'icone de Defender, quand je vais dessus ça correspond à la protection du compte et au fait d'avoir un compte Microsoft (que je n'ai pas), est-ce recommandé d'en faire un ?
* et la question la plus importante : est-ce que maintenant avec toutes les procédures de nettoyage et de protections que vous m'avez conseillé je peux à nouveau utiliser mon PC sans risque et me connecter à mes comptes ?