Trojan:Win32/Wactact.B!ml et double accents circonflexes

[Dustuf]

Hello,
je n'arrive pas à réinitialiser mon navigateur chrome mais j'ai parcouru les extensions et en ai trouvée une que je n'avais pas installer moi même et qui semblait visiblement malveillante et je l'ai donc désinstallée.
Il n'a plus le "bug" du double accent circonflexe et du tréma.
D'autre part, Windows Defender a trouver des malwares après avoir réalisé une analyse complète des fichiers. Je n'arrive cependant pas à les mettre en quarantaine ou à les supprimer…
J'ai aussi trouvé en recherchant "Trojan:Win32/Wacatact.B!ml" dans windowssearch un lien internet que j'imagine être la passerelle entre mon ordi et le malfaiteur mais je ne m'y connais vraiment pas assez pour savoir…

Clipboard02.png

Je ne sais pas si cela a un lien mais qqn a tenté de se connecter à mon compte Instagram à Kiev en Ukraine. Windows m'envoie aussi régulièrement des notifications sur mon ordi pour me dire que mon mdp de telle ou telle adresse microsoft va expirer et qu'il faut que je la change alors qu'il est mis comme paramètre qu'elle ne périme jamais :

Clipboard03.png

(c'est si ca trouve complètement normal mais je n'ai jamais eu ce genre de msg sur mon ancien ordi)

Mais du coup, que penses-tu qu'il serait préférable de faire ?
*recommencer le processus que tu m'as expliqué plus haut depuis le début
*continuer la procédure sans avoir spécifiquement reset mes navigateurs
*reset complètement réinitialiser mon ordi en faisant un backup sécurisé (+consignes stp )
*une autre solution

Aussi, dois-je avoir peur pour mes comptes, mes mots de passes etc ? :(


Merci d'avance !

[Malekal_morte]

Bonjour Dustuf,

Pas bon signe tout cela.
Il faudrait cliquer sur détails sur la détections Trojan:Win32/Wactact.B!ml et donner le fichier détecté.


Puis :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Attendre la fin du scan, un message indique que l'analyse est terminée.
Télécharge et lance le scan FRST,

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).

[Dustuf]

Salut,

J'ai donc cliqué sur voir les détails dans windows defender et il m'a donné une adresse de fichier. j'ai été voir "manuellement" dans le dossier en question mais il n'y a que des captures d'écran chargée à moitié d'Hitman III. :/

Clipboard03.png

FRST : https://pjjoint.malekal.com/files.php?i ... 14c7e15h14

Shortcut : https://pjjoint.malekal.com/files.php?i ... k12v5d12i5

Addition : https://pjjoint.malekal.com/files.php?i ... 5p8i5g7c14


Merci beaucoup !

[Dustuf]

resalut,
J'ai fait toutes les étapes que tu avais dites mais sans ton analyse des fichiers de FRST, je ne sais plus avancer et ma session d'examen arrive à grand pas et je n'aurai plus vraiment le temps de régler ce genre de problèmes.
Je me vois cependant assez mal laisser mon ordi tout infesté et mes comptes lentement se faire hacker sans essayer au moins de réparer tout ca…
(il y a même eu une commande sur mon compte Amazon de 80€ de chèques cadeau (que j'ai pu annulé grâce au SAV étonnamment très efficace d'Amazon), bref ca commence a vraiment être chiant et surtout dangereux en terme de sécurité).

Ce serait donc pour relancer le sujet :D (désolé de forcer mais ca commence vraiment à m'inquiéter)

merci d'avance et bonne soirée ;)

[Malekal_morte]

Désolé, je n'avais pas vu la réponse.
En effet, c'est un logiciel malveillant.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
Task: {485528DC-6CCC-45C6-80C8-2A4FD8E62395} - System32\Tasks\Microsoft\Windows\Live\Roaming\Idbquj => C:\Windows\microsoft.net\framework\v4.0.30319\RegSvcs.exe /nologo "C:\Program Files (x86)\Common Files\PortsSnap\DqovidirsEdge\mrxdsqs_chs.dll"
C:\Program Files (x86)\Common Files\PortsSnap
S2 AppServicea; C:\Windows\system32\L5VRC222N3.tmp [6144 2021-12-04] (Microsoft Corporation) [Fichier non signé] <==== ATTENTION
S2 AppServiceb; C:\Windows\system32\L5VRC222N3.tmp [6144 2021-12-04] (Microsoft Corporation) [Fichier non signé] <==== ATTENTION
S2 AppServicec; C:\Windows\system32\L5VRC222N3.tmp [6144 2021-12-04] (Microsoft Corporation) [Fichier non signé] <==== ATTENTION
S2 AppServiced; C:\Windows\system32\L5VRC222N3.tmp [6144 2021-12-04] (Microsoft Corporation) [Fichier non signé] <==== ATTENTION
S2 AppServicee; C:\Windows\system32\L5VRC222N3.tmp [6144 2021-12-04] (Microsoft Corporation) [Fichier non signé] <==== ATTENTION
S2 AppServicef; C:\Windows\system32\L5VRC222N3.tmp [6144 2021-12-04] (Microsoft Corporation) [Fichier non signé] <==== ATTENTION
S2 AppServiceg; C:\Windows\system32\L5VRC222N3.tmp [6144 2021-12-04] (Microsoft Corporation) [Fichier non signé] <==== ATTENTION
S2 AppServiceh; C:\Windows\system32\L5VRC222N3.tmp [6144 2021-12-04] (Microsoft Corporation) [Fichier non signé] <==== ATTENTION
S2 AppServicei; C:\Windows\system32\L5VRC222N3.tmp [6144 2021-12-04] (Microsoft Corporation) [Fichier non signé] <==== ATTENTION
S2 AppServicej; C:\Windows\system32\L5VRC222N3.tmp [6144 2021-12-04] (Microsoft Corporation) [Fichier non signé] <==== ATTENTION
S2 AppServicek; C:\Windows\system32\L5VRC222N3.tmp [6144 2021-12-04] (Microsoft Corporation) [Fichier non signé] <==== ATTENTION
S2 AppServicel; C:\Windows\system32\L5VRC222N3.tmp [6144 2021-12-04] (Microsoft Corporation) [Fichier non signé] <==== ATTENTION
S2 AppServicem; C:\Windows\system32\L5VRC222N3.tmp [6144 2021-12-04] (Microsoft Corporation) [Fichier non signé] <==== ATTENTION
S2 AppServicen; C:\Windows\system32\L5VRC222N3.tmp [6144 2021-12-04] (Microsoft Corporation) [Fichier non signé] <==== ATTENTION
S2 AppServiceo; C:\Windows\system32\L5VRC222N3.tmp [6144 2021-12-04] (Microsoft Corporation) [Fichier non signé] <==== ATTENTION
S2 AppServicep; C:\Windows\system32\L5VRC222N3.tmp [6144 2021-12-04] (Microsoft Corporation) [Fichier non signé] <==== ATTENTION
S2 AppServiceq; C:\Windows\system32\L5VRC222N3.tmp [6144 2021-12-04] (Microsoft Corporation) [Fichier non signé] <==== ATTENTION
S2 AppServicer; C:\Windows\system32\L5VRC222N3.tmp [6144 2021-12-04] (Microsoft Corporation) [Fichier non signé] <==== ATTENTION
S2 AppServices; C:\Windows\system32\L5VRC222N3.tmp [6144 2021-12-04] (Microsoft Corporation) [Fichier non signé] <==== ATTENTION
S2 AppServicet; C:\Windows\system32\L5VRC222N3.tmp [6144 2021-12-04] (Microsoft Corporation) [Fichier non signé] <==== ATTENTION
S2 AppServiceu; C:\Windows\system32\L5VRC222N3.tmp [6144 2021-12-04] (Microsoft Corporation) [Fichier non signé] <==== ATTENTION
S2 AppServicev; C:\Windows\system32\L5VRC222N3.tmp [6144 2021-12-04] (Microsoft Corporation) [Fichier non signé] <==== ATTENTION
S2 AppServicew; C:\Windows\system32\L5VRC222N3.tmp [6144 2021-12-04] (Microsoft Corporation) [Fichier non signé] <==== ATTENTION
S2 AppServicex; C:\Windows\system32\L5VRC222N3.tmp [6144 2021-12-04] (Microsoft Corporation) [Fichier non signé] <==== ATTENTION
S2 AppServicey; C:\Windows\system32\L5VRC222N3.tmp [6144 2021-12-04] (Microsoft Corporation) [Fichier non signé] <==== ATTENTION
S3 wuauserv; C:\Windows\system32\svchost.exe [57360 2020-11-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)
S3 wuauserv; C:\Windows\SysWOW64\svchost.exe [47016 2020-11-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)
Hosts:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)


2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :
* Réinitialiser et réparer Mozilla Firefox
* Réinitialiser et réparer Google Chrome
* Réinitialiser et réparer Microsoft Edge
(Ne pas utiliser Zeok)

3)
Faire un nettoyage Malwarebytes Anti-Malware (MBAM ) version gratuite

4)
Refais un scan FRST et donne les nouveaux rapports via pjjoint

[Dustuf]

Bonjour.

Encore merci pour l'aide précieuse.

J'ai suivi les étapes,
- appliqué la correction avec FRST
- réinitalisé les paramètres par défaut de Chrome
- téléchargé et lancé Malwarebytes antimalware

L'anti malware a encore détecté 78 entrées de registres, de type :
- 'Backdoor Farfli',
- 'Trojan.Glubteba.E,
- 'Trojan.BrowserHijack',
- 'PUP.Optional.GarbageCleaner

Il les a mises en quarantaine. J'imagine que je peux les supprimer.

Ci-joint les fichiers résultats de l'analyse FRST.

Merci pour ton aide et ton temps.

https://pjjoint.malekal.com/files.php?r ... 5z13e10l12
https://pjjoint.malekal.com/files.php?r ... b7r13g13x8

[angelique]

Salut,

Tu n'as pas mis le rapport de correction frst, fixlist de malekal, ça aurait été bien car sur les derniers rapports que tu fournis, ça n'a pas l'air!

donc:

Bonjour/Bonsoir





Télécharge à coté de FRST64.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST64(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît peut être nommé fixlog.txt au même endroit que frst64.exe et que fixlist.txt, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

[Dustuf]

Ah oui en effet, les voici ;)


FRST : https://pjjoint.malekal.com/files.php?i ... 5o7t7w8p14

FRST.txt

Addition : https://pjjoint.malekal.com/files.php?i ... 8k11w14j13

Shortcut : https://pjjoint.malekal.com/files.php?i ... 5y13v9s9q9

Fixlog : https://pjjoint.malekal.com/files.php?i ... 0o12z15m11

Fixlog.txt

Merci encore énormément pour ta compétence et ta disponibilté !

[angelique]

Vu la dernière correction, ça devrait être bon.