Supprimer Trojan:Script/Wacatac.B!ml [résolu]

[Fasty27]

Bonsoir,

je vous contact aujourd'hui car j'ai installé un virus sans le savoir. Merci de bien vouloir m'aider et je suis désolé si je ne devais pas vous contacter ainsi.
Je crois que c'est un virus dit "Trojan" ou "Cheval de troie"

Voici les trois liens comme sur le tutoriel FRST :

FRST : https://pjjoint.malekal.com/files.php?i ... 7z7o10u159
Addition : https://pjjoint.malekal.com/files.php?i ... 12w9s12j15
Shortcut : https://pjjoint.malekal.com/files.php?i ... 14r5o8u7u9

Code : Tout sélectionner

Date: 2022-04-27 17:34:11
Description: 
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Nom : Trojan:Script/Wacatac.B!ml
ID : 2147735503
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : clsid:_HKCU@S-1-5-21-3183337316-3821782573-710669081-1001\SOFTWARE\CLASSES\CLSID\{2e7c0a19-0438-41e9-81e3-3ad3d64f55ba}; clsid:_HKCU@S-1-5-21-3183337316-3821782573-710669081-1001\SOFTWARE\CLASSES\CLSID\{5999E1EE-711E-48D2-9884-851A709F543D}; clsid:_HKCU@S-1-5-21-3183337316-3821782573-710669081-1001\SOFTWARE\CLASSES\CLSID\{6bb93b4e-44d8-40e2-bd97-42dbcf18a40f}; clsid:_HKCU@S-1-5-21-3183337316-3821782573-710669081-1001\SOFTWARE\CLASSES\CLSID\{7B37E4E2-C62F-4914-9620-8FB5062718CC}; clsid:_HKCU@S-1-5-21-3183337316-3821782573-710669081-1001\SOFTWARE\CLASSES\CLSID\{A3CA1CF4-5F3E-4AC0-91B9-0D3716E1EAC3}; clsid:_HKCU@S-1-5-21-3183337316-3821782573-710669081-1001\SOFTWARE\CLASSES\CLSID\{AB807329-7324-431B-8B36-DBD581F56E0B}; file:_C:\Users\Luca\AppData\Local\Microsoft\OneDrive\OneDrive.exe; file:_C:\Users\Luca\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk; process:_pid:21880,ProcessStart:132955470349209240; regkey:_HKCU@S-1-5-21-3183337316-3821782573-710669081-1001\SOFTWARE\CLASSES\CLSID\{2e7c0a1
Origine de la détection : Ordinateur local
Type de détection : Chemin rapide
Source de détection : Utilisateur
Utilisateur : PC-DE-LUCA\Luca
Nom du processus : C:\Users\Luca\AppData\Local\Microsoft\OneDrive\OneDrive.exe

Dans l'attente d'une réponse.
Cordialement,
Fasty27.

[Parisien_entraide]

Bonsoir,

Tu as cliqué sur les liens que tu as posté ?
Redonnes les bons liens

[Fasty27]

Addition : https://pjjoint.malekal.com/files.php?i ... o814h6u6e5
FRST : https://pjjoint.malekal.com/files.php?i ... z13z155r11
Shortcut : https://pjjoint.malekal.com/files.php?i ... 14n14c9n13

Logiquement ce sont les "bons" lien comme vous dites.
Et non, je n'ai pas cliqué dessus.

[Malekal_morte]

Salut,

Les rapports FRST sont incomplets.
Tu n'as pas laissé le scan aller au bout.
Relance le scan FRST et attends bien la fin qu'un message te le notifie.
Ensuite donne les nouveaux rapports.

[Fasty27]

Addition : https://pjjoint.malekal.com/files.php?i ... p12v6y11v9
FRST : https://pjjoint.malekal.com/files.php?i ... g5p5s13j15
Shortcut : https://pjjoint.malekal.com/files.php?i ... 14p12c9k14

J'espère que ça va marcher... ça fait trois fois que je fais exactement la même chose ! je fais exactement comme dans le tuto...

[Fasty27]

Est ce que ça marche ?
Ou il y a toujours un problème ?

[Malekal_morte]

Oui et je confirme ton PC est très infecté.

Désinstalle :

Bing Search Engine
TotalAV -- A lire : https://www.malekal.com/antivirus-total ... sentation/

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-3183337316-3821782573-710669081-1001\...\Run: [Cortana] => C:\Program Files\WindowsApps\Microsoft.x64__8wekyb3gfdfdgd8bbwe\Cortana.exe (Pas de fichier)
HKU\S-1-5-21-3183337316-3821782573-710669081-1001\...\Run: [MicrosoftEdgeUpd] => C:\Program Files\WindowsApps\Microsoft.x64__8wekyb3gfdfdgd8bbwe/file.exe (Pas de fichier)
HKU\S-1-5-21-3183337316-3821782573-710669081-1001\...\Run: [OneDriveService] => C:\Program Files\WindowsApps\Microsoft.x64__8wekyb3gfdfdgd8bbwe/file.exe (Pas de fichier)
HKU\S-1-5-21-3183337316-3821782573-710669081-1001\...\Run: [NvStray] => C:\Program Files\WindowsApps\Microsoft.x64__8wekyb3gfdfdgd8bbwe / file.exe (Pas de fichier)
HKU\S-1-5-21-3183337316-3821782573-710669081-1001\...\Run: [dllhost] => C:\ProgramData\SystemFiles\dllhost.exe [0 0000-00-00] (Microsoft® Windows® Operating System) [Accès refusé] <==== ATTENTION
 C:\ProgramData\SystemFiles
 Task: {0391DCFF-1BBA-4ED4-986C-06F625C9AE7B} - System32\Tasks\MicrosoftUpdateServices\MicrosoftUpdateServicesService_bk4810 => C:\ProgramData\SystemFiles\dllhost.exe [0 0000-00-00] (Microsoft® Windows® Operating System) [Accès refusé] <==== ATTENTION
Task: {0DE01A9A-63A2-4DB5-87D8-A9143D58A9CE} - System32\Tasks\WindowsDefender => C:\ProgramData\SystemFiles\dllhost.exe [0 0000-00-00] (Microsoft® Windows® Operating System) [Accès refusé] <==== ATTENTION
Task: {11D73813-2BDD-4319-B8F4-0A5AC3E17B6B} - System32\Tasks\AntiMalwareSericeExecutable\AntiMalwareSericeExecutableService_bk4563 => C:\ProgramData\SystemFiles\dllhost.exe [0 0000-00-00] (Microsoft® Windows® Operating System) [Accès refusé] <==== ATTENTION
Task: {373BDC03-32F2-42AA-96AF-1FDCFD53BB4D} - System32\Tasks\AntiMalwareServiceExecutable => C:\ProgramData\SystemFiles\dllhost.exe [0 0000-00-00] (Microsoft® Windows® Operating System) [Accès refusé] <==== ATTENTION
Task: {42B733D6-08F0-49A5-ACFA-8A14B65991DE} - System32\Tasks\SecurityHealthSystray => C:\ProgramData\SystemFiles\dllhost.exe [0 0000-00-00] (Microsoft® Windows® Operating System) [Accès refusé] <==== ATTENTION
Task: {49232614-446A-4750-96BA-5B80BE1A8441} - System32\Tasks\intimateintimate => C:\Program Files (x86)\Sanguinis\trixie.exe cdsaawcdsaawcdsaawcdsaa.cdsaaycdsaamcdsaaycdsaa.cdsaapcdsaawcdsaa/cdsaab2rn0rn1rncdsaa9rn0q6q0b3cdsaabrnhtml1vgcdsaayhD8yLHvEYcdsaatfmV2IK (Pas de fichier)
Task: {4D54342B-99F2-4689-B00B-E34DC4C2E947} - System32\Tasks\WindowsDefenderServices\WindowsDefenderServicesService_bk2351 => C:\ProgramData\SystemFiles\dllhost.exe [0 0000-00-00] (Microsoft® Windows® Operating System) [Accès refusé] <==== ATTENTION
Task: {5B7CBC17-0FC5-48AF-ACE6-BA7C1C10291C} - System32\Tasks\NvStray => C:\ProgramData\SystemFiles\dllhost.exe [0 0000-00-00] (Microsoft® Windows® Operating System) [Accès refusé] <==== ATTENTION
Task: {63981652-C56F-421D-838D-5AAFD3FAADE9} - System32\Tasks\MicrosoftUpdateServices\MicrosoftUpdateServicesService_bk6191 => C:\ProgramData\SystemFiles\dllhost.exe [0 0000-00-00] (Microsoft® Windows® Operating System) [Accès refusé] <==== ATTENTION
Task: {68A0FFBA-D026-453D-9CB1-D0702FCF09AD} - System32\Tasks\Microsoft\Office\Office ClickToRun Service Monitor => C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeC2RClient.exe [22866896 2022-04-24] (Microsoft Corporation -> Microsoft Corporation)
Task: {75DD419D-F394-4131-BFBE-AEF5A3662419} - System32\Tasks\Outbyte\PC Repair\Start PC Repair оn logon => C:\Program Files (x86)\Outbyte\PC Repair\PCRepair.exe [9578376 2022-02-22] (Outbyte Computing Pty Ltd -> Outbyte) <==== ATTENTION
Task: {7B692E5A-6ECC-441E-8EEA-73DCCAACCAF3} - System32\Tasks\WmiPrvSE => C:\ProgramData\SystemFiles\dllhost.exe [0 0000-00-00] (Microsoft® Windows® Operating System) [Accès refusé] <==== ATTENTION
Task: {8E166569-9814-4472-9C00-50528050B85E} - System32\Tasks\OneDriveService => C:\ProgramData\SystemFiles\dllhost.exe [0 0000-00-00] (Microsoft® Windows® Operating System) [Accès refusé] <==== ATTENTION
Task: {A28808AB-0B9C-44CE-A98B-2EEB547C2AAC} - System32\Tasks\SettingSysHost\SettingSysHostService_bk2793 => C:\ProgramData\SystemFiles\dllhost.exe [0 0000-00-00] (Microsoft® Windows® Operating System) [Accès refusé] <==== ATTENTION
Task: {B16F0215-E147-43D1-86F8-0FF0D7BE4B3C} - System32\Tasks\dllhost => C:\ProgramData\SystemFiles\dllhost.exe [0 0000-00-00] (Microsoft® Windows® Operating System) [Accès refusé] <==== ATTENTION
Task: {CEA6A358-F2E5-4B1B-9A6C-300BFFA79FB5} - System32\Tasks\SettingSysHost\SettingSysHostService_bk4449 => C:\ProgramData\SystemFiles\dllhost.exe [0 0000-00-00] (Microsoft® Windows® Operating System) [Accès refusé] <==== ATTENTION
Task: {D68FA8A0-12F2-41BC-A2FC-10BA8AB1D69C} - System32\Tasks\WindowsDefenderServices\WindowsDefenderServicesService_bk6982 => C:\ProgramData\SystemFiles\dllhost.exe [0 0000-00-00] (Microsoft® Windows® Operating System) [Accès refusé] <==== ATTENTION
Task: {E05E502C-AB7C-4DD4-92D8-272F18050F38} - System32\Tasks\Opera scheduled Autoupdate 1589327650 => C:\Users\Luca\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Pas de fichier)
Task: {F9BECF82-D6E6-4F75-8FCC-179ACCCBF4A4} - System32\Tasks\MicrosoftEdgeUpd => C:\ProgramData\SystemFiles\dllhost.exe [0 0000-00-00] (Microsoft® Windows® Operating System) [Accès refusé] <==== ATTENTION
2022-04-27 17:04 - 2022-04-27 17:04 - 000000000 ____D C:\WINDOWS\system32\Tasks\Outbyte
2022-04-27 17:03 - 2022-04-27 17:03 - 000000000 ____D C:\ProgramData\Outbyte
2022-04-27 17:03 - 2022-04-27 17:03 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outbyte
2022-04-27 17:03 - 2022-04-27 17:03 - 000000000 ____D C:\Program Files (x86)\Outbyte
2022-04-27 16:46 - 2022-04-27 16:47 - 000000000 ___HD C:\Users\Luca\AppData\Local\90d5561634e3a9467ae6dddf18232916
2022-04-27 16:41 - 2022-04-27 19:41 - 000000000 ____D C:\WINDOWS\system32\Tasks\WindowsDefenderServices
2022-04-27 16:41 - 2022-04-27 19:41 - 000000000 ____D C:\WINDOWS\system32\Tasks\SettingSysHost
2022-04-27 16:41 - 2022-04-27 19:41 - 000000000 ____D C:\WINDOWS\system32\Tasks\MicrosoftUpdateServices
2022-04-27 16:41 - 2022-04-27 19:41 - 000000000 ____D C:\WINDOWS\system32\Tasks\AntiMalwareSericeExecutable
2022-04-27 16:41 - 2022-04-27 16:41 - 000003572 _____ C:\WINDOWS\system32\Tasks\AntiMalwareServiceExecutable
2022-04-27 16:41 - 2022-04-27 16:41 - 000003558 _____ C:\WINDOWS\system32\Tasks\SecurityHealthSystray
2022-04-27 16:41 - 2022-04-27 16:41 - 000003548 _____ C:\WINDOWS\system32\Tasks\MicrosoftEdgeUpd
2022-04-27 16:41 - 2022-04-27 16:41 - 000003546 _____ C:\WINDOWS\system32\Tasks\WindowsDefender
2022-04-27 16:41 - 2022-04-27 16:41 - 000003546 _____ C:\WINDOWS\system32\Tasks\OneDriveService
2022-04-27 16:41 - 2022-04-27 16:41 - 000003532 _____ C:\WINDOWS\system32\Tasks\WmiPrvSE
2022-04-27 16:41 - 2022-04-27 16:41 - 000003530 _____ C:\WINDOWS\system32\Tasks\NvStray
2022-04-27 16:41 - 2022-04-27 16:41 - 000003530 _____ C:\WINDOWS\system32\Tasks\dllhost
2022-04-27 16:40 - 2022-04-27 19:41 - 000000000 ___HD C:\ProgramData\SystemData
2022-04-27 16:40 - 2022-04-27 16:41 - 000000000 ___HD C:\ProgramData\SystemFiles
2022-04-27 03:21 - 2022-04-27 03:21 - 000000000 ____D C:\Users\Luca\Documents\TotalAV
2022-04-27 03:18 - 2022-04-27 19:07 - 000001158 _____ C:\Users\Luca\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TotalAV.lnk
2022-04-27 03:18 - 2022-04-27 03:18 - 000001060 _____ C:\Users\Public\Desktop\TotalAV.lnk
2022-04-27 03:18 - 2022-04-27 03:18 - 000000000 ____D C:\Users\Luca\AppData\Local\GUI
2022-04-27 03:18 - 2022-04-27 03:18 - 000000000 ____D C:\ProgramData\TotalAV
2022-04-27 03:18 - 2022-04-27 03:18 - 000000000 ____D C:\ProgramData\SecuritySuite
2022-04-27 03:18 - 2021-11-09 18:51 - 000096264 _____ (Windows (R) Win 7 DDK provider) C:\WINDOWS\system32\Drivers\webshieldfilter.sys
2022-04-27 03:18 - 2021-11-09 18:51 - 000017864 _____ (TODO: <Company name>) C:\WINDOWS\system32\Drivers\protected_elam.sys
2022-04-27 03:17 - 2022-04-27 19:07 - 000000000 ____D C:\Program Files (x86)\TotalAV
2022-04-27 03:17 - 2022-04-27 03:17 - 057545744 _____ C:\Users\Luca\Desktop\TotalAV_Setup.exe
2022-04-27 01:36 - 2022-04-27 01:36 - 000000000 ____D C:\Rage
R1 webshieldfilter; C:\WINDOWS\System32\drivers\webshieldfilter.sys [96264 2021-11-09] (Microsoft Windows Hardware Compatibility Publisher -> Windows (R) Win 7 DDK provider) <==== ATTENTION
R2 SecurityService; C:\Program Files (x86)\TotalAV\SecurityService.exe [264032 2021-11-09] (Protected Antivirus Limited -> TotalAV) <==== ATTENTION
2022-04-26 23:24 - 2022-04-26 23:24 - 000000000 ____D C:\Users\Luca\AppData\Local\Yandex
2022-04-25 16:57 - 2022-04-25 16:57 - 000000000 ____D C:\Users\Luca\AppData\Roaming\Hertz
2022-04-25 16:57 - 2022-04-25 16:57 - 000000000 ____D C:\1
2021-09-20 12:16 - 2021-09-20 12:16 - 000000013 _____ () C:\Users\Luca\AppData\Roaming\EPW.txt
2021-09-20 12:16 - 2021-09-20 12:16 - 000000011 _____ () C:\Users\Luca\AppData\Roaming\EUser.txt
2020-05-11 20:40 - 2020-05-11 20:43 - 040300544 _____ (                                                            ) C:\Users\Luca\AppData\Roaming\InLog_setup.exe
2019-02-13 18:57 - 2019-02-14 13:56 - 000000096 _____ () C:\Users\Luca\AppData\Roaming\LauncherSettings_live.cfg
2019-02-13 21:37 - 2019-02-14 13:03 - 000015782 _____ () C:\Users\Luca\AppData\Roaming\TheHunterSettings_live.bin
2019-02-13 21:37 - 2019-02-13 21:37 - 000000048 _____ () C:\Users\Luca\AppData\Roaming\TheHunterSettings_live.cfg
2020-05-11 20:41 - 2020-05-11 20:44 - 048903224 _____ (WebDiscover Media                                           ) C:\Users\Luca\AppData\Roaming\WebDiscovery_setup.exe
2022-04-26 23:24 - 2022-04-26 23:24 - 001938944 _____ (www.xmrig.com) C:\Users\Luca\AppData\Roaming\Microsoft\OneDrive.exe
2022-04-26 23:24 - 2022-04-26 23:24 - 000151552 _____ () C:\Users\Luca\AppData\Roaming\Microsoft\RegData.exe
2022-04-26 23:24 - 2022-04-26 23:24 - 005493520 _____ () C:\Users\Luca\AppData\Roaming\Microsoft\RegModule.exe
2020-05-22 15:35 - 2020-05-22 15:35 - 000007606 _____ () C:\Users\Luca\AppData\Local\Resmon.ResmonCfg
2020-01-18 18:34 - 2020-01-18 18:34 - 000000003 _____ () C:\Users\Luca\AppData\Local\updater.log
2020-01-18 18:34 - 2022-03-05 02:26 - 000000424 _____ () C:\Users\Luca\AppData\Local\UserProducts.xml

Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)


2) réinitialiser les navigateurs:
==================================
Réinitialise/Répare les navigateurs WEB concerné(s) par les problèmes :

• Réparer Mozilla Firefox (premier paragraphe)
• Réparer Google Chrome (premier paragraphe)
• Comment réparer ou réinitialiser Microsoft Edge

3)
Faire un nettoyage Malwarebytes Anti-Malware (MBAM ) version gratuite

4)
Refais un scan FRST et donne les nouveaux rapports via pjjoint

[Fasty27]

Dans les nouveaux rapport, dois-je également vous passer le bloc note fixlog ?

et merci de m'avoir aidé ! je vous envoie ça dès que j'ai fini.

[Fasty27]

Addition : https://pjjoint.malekal.com/files.php?i ... 4t9n15v6f7
FRST : https://pjjoint.malekal.com/files.php?i ... 8n5e9s12f9
Shortcut : https://pjjoint.malekal.com/files.php?i ... p7b5e12k10
voilà les liens !

[Malekal_morte]

Ca aurait été bien d'avoir tous les rapports.
Change les mots de passe des sites internet et autres.
Fais une analyse MBAM ces prochains jours, voir s'il détecte encore des choses.

[Fasty27]

Très bien.
Merci encore pour votre aide !

[Malekal_morte]

De rien =)


Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?