Trojan:Win32/Wacatac.D!ml [résolu]

[iamluke]

Bonjour,

Aujourd'hui, Windows defender m'alerte sur : Trojan:Win32/Wacatac.D!ml

L'élément infecté serait "file: C:\Users\iamlu.PC-DE-SEB\AppData\Roaming\loader.exe" … mais je ne sais même pas de quoi c'est un loader …

Est-ce grave ? Comment s'en débarrasser ?

Merci beaucoup pour votre aide.

IamLuke

[Malekal_morte]

Bonsoir,


Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Attendre la fin du scan, un message indique que l'analyse est terminée.
Télécharge et lance le scan FRST,

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut.
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).

[iamluke]

Voici les fichiers en question :

https://pjjoint.malekal.com/files.php?i ... 6k5p9f12u6
https://pjjoint.malekal.com/files.php?i ... 8v14m14p11
https://pjjoint.malekal.com/files.php?i ... y12h5q5j14

Bien amicalement
IamLuke

[Malekal_morte]

Tu infectes ton PC en téléchargement des cracks.

HackTool:Win32/AutoKM et HackTool:Win32/Keygen en téléchargent KMSPico.

Date: 2020-04-27 08:59:23.815
Description:
Antivirus Windows Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Nom : HackTool:Win32/AutoKMS
ID : 2147685180
Gravité : Élevée
Catégorie : Outil
Chemin : file:_C:\MES TRANSFERTS\Microsoft Office 2016 Pro Plus VL x86 x64 fr-FR FEB 2019 {Gen2}\KMS Tools Portable 01.03.2018 by Ratiborus\KMSTools.exe
Origine de la détection : Ordinateur local


Date: 2020-04-27 08:59:23.813
Description:
Antivirus Windows Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Nom : HackTool:Win32/Keygen
ID : 2147593794
Gravité : Élevée
Catégorie : Outil
Chemin : containerfile:_C:\SEB DIVERS\Office Pro 2010\2- Office Pro + 2010 64bits.iso; containerfile:_C:\SEB DIVERS\Office Pro 2010\Office pro+ 2010 64bits.rar; file:_C:\SEB DIVERS\Office Pro 2010\2- Office Pro + 2010 64bits.iso->Activateur\mini-KMS_Activator_v1.052.exe; file:_C:\SEB DIVERS\Office Pro 2010\Office pro+ 2010 64bits.rar->2- Office Pro + 2010 64bits.iso->Activateur\mini-KMS_Activator_v1.052.exe
Origine de la détection : Ordinateur local

et cet autre malware détecté en Trojan:Win32/Wacatac:

Date: 2020-04-27 00:10:08.413
Description:
Antivirus Windows Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Nom : Trojan:Win32/Wacatac.D!ml
ID : 2147749373
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : file:_C:\Users\iamlu.PC-DE-SEB\AppData\Roaming\loader.exe
Origine de la détection : Ordinateur local
Type de détection : Chemin rapide
Source de détection : Protection en temps réel
Utilisateur : PC-DE-SEB\iamlu
Nom du processus : C:\Users\iamlu.PC-DE-SEB\AppData\Roaming\curl.exe

~~

Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
Ils encombrent Windows et peuvent le ralentir.
Tu peux donc les désinstaller.
Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :

Avast Update Helper
CCleaner
iCloud (sauf si tu synchronises avec)
MEGAsync (sauf si tu synchronises avec)
Wondershare Video Repair

PS : CCleaner n'est pas vraiment utile, même si on le recommande de partout.
Si tu tiens à le garder, désactive la surveillance de CCleaner, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : [https://www.malekal.com/supprimer-cclea ... e-windows/]
Pense aussi à désactiver l'envoie de données dans les options de CCleaner. Elles remontent des informations aux serveurs Avast!





Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:

2020-04-05 23:56 - 2018-06-20 14:29 - 000596992 _____ (curl, https://curl.haxx.se/) C:\Users\iamlu.PC-DE-SEB\AppData\Roaming\curl.exe
2019-08-02 22:23 - 2019-08-02 22:23 - 000001595 _____ () C:\Users\iamlu.PC-DE-SEB\AppData\Roaming\SAS7_000.DAT
2019-06-05 22:31 - 2019-06-05 22:31 - 000000000 ___SH () C:\Users\iamlu.PC-DE-SEB\AppData\Local\LumaEmu
2019-07-03 17:42 - 2019-07-03 17:42 - 000000000 _____ () C:\Users\iamlu.PC-DE-SEB\AppData\Local\oobelibMkey.log
2020-04-03 21:26 - 2020-04-03 21:26 - 000000153 _____ () C:\Users\iamlu.PC-DE-SEB\AppData\Local\{0BBABF71-309A-4EE7-B804-D2CDC41872A7}
RemoveProxy:
Hosts:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

[iamluke]

Voici le rapport en question :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 26-04-2020
Exécuté par iamlu (27-04-2020 14:11:18) Run:1
Exécuté depuis C:\Users\iamlu.PC-DE-SEB\Desktop
Profils chargés: iamlu (Profils disponibles: Sébastien & iamlu)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Start:
CloseProcesses:
CreateRestorePoint:

2020-04-05 23:56 - 2018-06-20 14:29 - 000596992 _____ (curl, https://curl.haxx.se/) C:\Users\iamlu.PC-DE-SEB\AppData\Roaming\curl.exe
2019-08-02 22:23 - 2019-08-02 22:23 - 000001595 _____ () C:\Users\iamlu.PC-DE-SEB\AppData\Roaming\SAS7_000.DAT
2019-06-05 22:31 - 2019-06-05 22:31 - 000000000 ___SH () C:\Users\iamlu.PC-DE-SEB\AppData\Local\LumaEmu
2019-07-03 17:42 - 2019-07-03 17:42 - 000000000 _____ () C:\Users\iamlu.PC-DE-SEB\AppData\Local\oobelibMkey.log
2020-04-03 21:26 - 2020-04-03 21:26 - 000000153 _____ () C:\Users\iamlu.PC-DE-SEB\AppData\Local\{0BBABF71-309A-4EE7-B804-D2CDC41872A7}
RemoveProxy:
Hosts:
Reboot:
End:
*****************

Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
C:\Users\iamlu.PC-DE-SEB\AppData\Roaming\curl.exe => déplacé(es) avec succès
C:\Users\iamlu.PC-DE-SEB\AppData\Roaming\SAS7_000.DAT => déplacé(es) avec succès
C:\Users\iamlu.PC-DE-SEB\AppData\Local\LumaEmu => déplacé(es) avec succès
C:\Users\iamlu.PC-DE-SEB\AppData\Local\oobelibMkey.log => déplacé(es) avec succès
C:\Users\iamlu.PC-DE-SEB\AppData\Local\{0BBABF71-309A-4EE7-B804-D2CDC41872A7} => déplacé(es) avec succès

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3138438964-769959213-2325951951-1013\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3138438964-769959213-2325951951-1013\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========

C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.


Le système a dû redémarrer.

==== Fin de Fixlog 14:14:11 ====

Bien amicalement
IamLuke

[Malekal_morte]

Supprime le dossier C:\FRST
Vois si les alertes s'arrêtent..
Sachant que pour les cracks, faut les supprimer à la main.

[iamluke]

OK

Merci beaucoup,

J'ai vu sur les rapports de FRST qu'il y a beaucoup de "scories" de programmes désinstallée depuis longtemps … Existe-t-il un moyen de nettoyer correctement la base de registre ?

Bien amicalement
IamLuke

[Malekal_morte]

Ca ne sert à rien ces nettoyages du registre à part causer des problèmes.

[iamluke]

OK Merci beaucoup pour l'aide apportée.

Comme d'habitude, vous êtes des interlocuteurs rapides, attentifs et efficaces.

Bonne continuation à vous tous.

Bien amicalement
IamLuke

[Malekal_morte]

De rien =)

et attention aux cracks !

Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?
Tu peux améliorer les protections et sécurité de Windows en suivant ces indications :

[military]

Bonjour,
Voici les 3 liens, je n'ai pas bien compris la procédure une fois que les fichiers vous ont été envoyées

https://pjjoint.malekal.com/files.php?i ... 0e10y13u10
https://pjjoint.malekal.com/files.php?i ... 14b6w7o6o8
https://pjjoint.malekal.com/files.php?i ... 14p6p711x9

Merci

[Malekal_morte]

Salut,

La détection vise un fichier D:\Application\MSTech Office Home\MSTechWord.exe
Suffit de supprimer le dossier MSTech Office Home
Si c'est une version officielle, alors c'est un faux positif, sinon tu as dû utiliser un un cracks

Date: 2020-12-17 18:35:27.7010000Z
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Nom : Trojan:Win32/Wacatac.D2!ml
ID : 2147757781
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : file:_D:\Application\MSTech Office Home\MSTechWord.exe
Origine de la détection : Ordinateur local
Type de détection : Chemin rapide
Source de détection : Protection en temps réel
Utilisateur : DESKTOP-V6IFQBB\Erwan
Nom du processus : C:\Windows\explorer.exe

Date: 2020-12-17 18:35:26.2900000Z
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Nom : Trojan:Win32/Wacatac.D2!ml
ID : 2147757781
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : file:_C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MSTech Office Home\MSTech Words.lnk; file:_D:\Application\MSTech Office Home\MSTechWord.exe; startup:_C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MSTech Office Home\MSTech Words.lnk
Origine de la détection : Ordinateur local
Type de détection : Chemin rapide
Source de détection : Protection en temps réel
Utilisateur : DESKTOP-V6IFQBB\Erwan
Nom du processus : C:\Windows\explorer.exe
Version de la veille de sécurité : AV: 1.329.553.0, AS: 1.329.553.0, NIS: 1.329.553.0
Version du moteur : AM: 1.1.17700.4, NIS: 1.1.17700.4

[military]

J'avais supprimé le fichier mais le problème était encore là, alors j'ai fait une remise usine de Windows. Maintenant j'ai plus le cheval de trois, merci.

[Malekal_morte]

Ce n’était pas nécessaire, à mon avis.
Mais soit =)