Infection, savoir si la machine est encore infecté

[Wolfgaltier]

Bonjour,

Alors premièrement c'est la première fois depuis que j'ai un pc que ce genre de chose m'arrive (une première fois a tout aha) et j'aimerais beaucoup l'avis et la confirmation de personne plus qualifié que moi sur le sujet.


Je travail avec une personne qui s'est fait pirater (je le savais pas a ce moment là) et qui m'as envoyé des fichiers que j'attendais en format zip.

Le problème, j'ai ouvert ce fichier (le zip) et là, Windows defender à directement notifié qu'une menace a été spotted. Donc j'ai voulu mettre en quarantaine etc, mais il semblerait que les fichiers se soient supprimés seuls.

J'ai analyser complètement le pc, (Malwarebyte, Windows defender en analyse rapide, complète, hors connexion) et j'ai 0 problème trouvé.

Mais... Je suis un peu parano dans le sens ou j'ai toujours et depuis toujours fais très attention donc je suis frileux surtout que j'ai beaucoup de chose personnel sur ce PC et je sais pas du coup si il est contaminer encore.

Les notions "Mise a jour incomplète" et " Etat : échec" me font douter fortement.

Voici un screen de l'historique windows defender :



Donc je viens juste savoir comment je peux vérifié/être sur que tout est good et que je peux continuer a utiliser mon pc en toute sérénité !

Merci d'avance pour ceux qui apporteront les réponses nécessaire a mon problème !

[angelique]

Salut,

Normalement quand Windows defender notidie une menace il la bloque.

Pour vérifier






Télécharge à coté de FRST64.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST64(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît peut être nommé fixlog.txt au même endroit que frst64.exe et que fixlist.txt, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

[Wolfgaltier]

Salut,

Normalement quand Windows defender notidie une menace il la bloque.

Pour vérifier






Télécharge à coté de FRST64.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST64(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît peut être nommé fixlog.txt au même endroit que frst64.exe et que fixlist.txt, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

Hello Angélique merci pour ton message !

Le problème, je ne trouve pas le fichier joint à ton message ! Désolé, première fois sur ce forum

[angelique]

Je me suis trompé de canned, désolé.

• Télécharge sur ton Bureau pas ailleurs FRST.EXE:
  
  
  
  La page de téléchargement : le tutoriel FRST ou FRST
  
  
  
  !! Placez le programme sur le bureau et pas ailleurs!! Par commodité
  
  -------------
• Exécute FRST.EXE, accepte le disclaimer , Cochez tous les options et cliquez sur le bouton Scan.
  Le scan se lance, les éléments scannés apparaissent en haut.
  
  -------------
• Une fois le scan terminé, une popup vous le signale et deux rapports sont générés : FRST.txt et Addition.txt ( Ces deux rapports se trouvent sur le bureau avec le programme FRST. )
  
  -------------
  
  Utilise le site http://pjjoint.malekal.com/ pour envoyer tes rapports, et poste les liens dans ta prochaine réponse pour analyse.

[Wolfgaltier]

Pendant que j'ai lancé ce que vous m'avez demander je pouvais pas sans désactiver smartscreen car il considère farbar comme mauvais, puis d'un coup un autre pop up s'est activé de windows defender avec cette fois un trojan, j'ai directement activé smartscreen et mis en quarantaine la menace mais ça m'inquiète fortement. J'ai chercher ce fichier dans download mais introuvable et ça me dis vraiment rien.

Trojan-script-Wacatac.jpg

[Wolfgaltier]

J'ajoute aussi que j'ai fais les scan :

- Adition : https://pjjoint.malekal.com/files.php?i ... z5k12e11c5
- FRST : https://pjjoint.malekal.com/files.php?i ... 15t11j8d15

[Malekal_morte]

La détection Trojan:Script:Wacatac porte sur un fichier RAR qui est dans ton dossier de téléchargement.
Il faut le supprimer ou le mettre en quarantaine.

Il n'y a pas de malware actif.

Pour faire du ménage, tu peux désinstaller ça :

CCleaner (pas très utile)
Figma (sauf si tu t'en sers vraiment)
PhotoDirector (sauf si tu t'en sers vraiment)

[Wolfgaltier]

Salut Malekal, merci pour ta réponse supplémentaire ! Ok déjà bonne nouvelle que ce soit pas actif ça me rassure fortement.

Le .rar s'est fait delete directement par Windows defender mais je me demande, si je l'ai ouvert (juste dezipper mais rien extrait et rien exécuté) il a pu infecter ou récupéré des infos ? Windows defender a régait quand j'ai dezipé (donc quans j'était dans la fenetre winrar) et a alerter + supprimer le fichier sans que j'extrait/execute.

Juste encore quelques question et je vais essayer de résumé pour pas trop vous assommer.

Le malware peux ne pas être actif et se réveiller a un moment ou les scans effectués l'aurais trouver peu importe son état ?

Juste dézippé n'as pas de risque ?

J'ai trouvé un article qui explique exactement l'attaque que j'ai subit au besoin d'ailleurs pour les personnes qui se retrouveront dans le même cas. "Malware SCR"

Merci a ce forum qui est là depuis des années (je l'avais déjà consulter depuis très longtemps quand j'avais quelques soucis externe) impressionant travail d'entraide de votre part.

[Malekal_morte]

Si tu as exécuté le fichier à l'intérieur du fichier RAR, le mieux est de changer tes mots de passe.
Comme ça, tu seras tranquille.

[Wolfgaltier]

Si tu as exécuté le fichier à l'intérieur du fichier RAR, le mieux est de changer tes mots de passe.
Comme ça, tu seras tranquille.

Non justement, j'ai rien exécuté manuellement, juste dézipper le .rar et ça s'est supprimer directement par windows defender sans que j'extrait ou exécute quoi que ce soit.

Du coup le pc est safe je peux continuer mes activités ? Impossible que le malware soit caché et s'active a un moment donné ?

Merci pour toutes vos réponses !

[Wolfgaltier]

Si tu as exécuté le fichier à l'intérieur du fichier RAR, le mieux est de changer tes mots de passe.
Comme ça, tu seras tranquille.

Non justement, j'ai rien exécuté manuellement, juste dézipper le .rar et ça s'est supprimer directement par windows defender sans que j'extrait ou exécute quoi que ce soit.

Du coup le pc est safe je peux continuer mes activités ? Impossible que le malware soit caché et s'active a un moment donné ?

Merci pour toutes vos réponses !

Je demande ça car c'est surtout que ce serait des screensaver etc, donc je voudrais être sur que ce soit pas infecté. Et pour mon info personnel on peux savoir si des infods sont prises ou c'est imperceptible par un logiciel ou une analyse ?

[Malekal_morte]

Les fichiers des screensaver sont avec l'extension .SCR et sont, en effet, des exécutables donc vecteur de malware.
Les rapports ne montrent pas de malware actif.
Par prévention, si tu l'as exécuté, change les mots de passe.

[Wolfgaltier]

Les fichiers des screensaver sont avec l'extension .SCR et sont, en effet, des exécutables donc vecteur de malware.
Les rapports ne montrent pas de malware actif.
Par prévention, si tu l'as exécuté, change les mots de passe.

Non aucune exécution, simplement un "dezip" du .rar, sans extraction/exécution, et après tout s'est fait supprimer quand j'ai eu l'alerte windows defender.

C'était comme ça (c'est pas le même dossier mais une restitution de la scène ) :



Donc tout est good ??? Impossible qu'il puisse être sur ma machine ou recuperer des infos avec scans que nous avons fait ?

Me voilà donc rassurer si ma machine n'est pas infecté. J'avais surtout peur de pas pouvoir me connecter a mes comptes, et autre en ayant peur qu'il puisse recuperer ce que j'écrivais sur mon pc mais si vous me dites que c'est bon, je vous fait confiance

[Wolfgaltier]

Les fichiers des screensaver sont avec l'extension .SCR et sont, en effet, des exécutables donc vecteur de malware.
Les rapports ne montrent pas de malware actif.
Par prévention, si tu l'as exécuté, change les mots de passe.

dernière question, une restauration système est efficace contre ce genre de malware ou ils sont trop sophistiqués ? Car j'ai un point de restauration de y'a une semaine donc ça serait parfait ! (j'ai le lien du malware en question si quelqu'un s'y connais en analyse et savoir vraiment ce qu'il fait, il est de plus en plus répandu surtout dans le monde du travail artistique ça pourrais être d'une grande aide)

[Malekal_morte]

Pas besoin de restaurer puisque le PC n'est pas infecté.