Désinfection Trojan:Script/Wacatac.B!ml [résolu]

[Sigma]

Bonjour,

J'ai été exposé au Trojan:Script/Wacatac.B!ml en voulant ouvrir une archive .zip sur mon nouveau PC contenant les fichiers d'installations d'une banque de voix pour le logiciel Synthesizer V. Les deux ont été obtenus de façon légale, j'ai téléchargé l'archive que j'avais versée dans ma Dropbox depuis mon ancien PC.
En voulant ouvrir l'archive une fois le téléchargement terminé, Windows Defender a immédiatement signalé la menace. Comme un idiot j'ai voulu ouvrir l'archive plusieurs fois de suite avant de me rendre compte que la menace était visiblement liée à ça, mais j'ai mis en quarantaine et supprimé à chaque fois. Je n'ai exécuté aucun installeur.

Mon PC tourne sous Windows 10 Famille Version 10.0.19045 Build 19045, j'ai effectué toutes les mises à jour proposées dès le départ.
Aucun mot de passe n'est enregistré sur mon navigateur, ils sont tous stockés par mon gestionnaire de mots de passe Dropbox Passwords, j'ai le plugin qui va avec sur Opera.

Après un scan de mon SSD et disque dur, Windows Defender ne trouve pas d'autres menaces.
Pouvez-vous m'aider à contrôler mon PC et le désinfecter si besoin s'il vous plaît ? C'est un peu la panique.

EDIT: j'ai effectué une analyse avec FRST, dont voici les résultats :
FRST.txt : https://pjjoint.malekal.com/files.php?i ... 4e8v12m5j7
Addition.txt : https://pjjoint.malekal.com/files.php?i ... 12c13q14r9

[angelique]

Bonjour,

Les rapports sont corrects, Windows defender a fait le job

Supprime le contenu de C:\Users\Maxence\AppData\Local\Temp

Tu y accèdes via exécuter ➮ %appdata%

ainsi que supprime C:\Users\Maxence\Downloads\Synthesizer V - Voice Banks\Eleanor Forte AI (Pro).zip

Les deux ont été obtenus de façon légale, j'ai téléchargé l'archive que j'avais versée dans ma Dropbox depuis mon ancien PC.

ça dépend de ta définition de légal , car si c'était sur ta Dropbox ça veut dire que ça a été téléchargé avant ailleurs.

Ce genre d'infection, contient une charge utile qui va télécharger en powershell un Trojan RAT

[Sigma]

Bonjour et merci pour ta réponse.
J'ai effectué les actions que tu as recommandé.

Pour préciser concernant le moyen d'obtention de ces applications : je les ai achetées sur une boutique en ligne agréée par l'entreprise qui développe Synthesizer V (en tout cas, elle l'était à l'époque, il y a quelque chose comme 1 an et demi). Je les avais ensuite uploadés dans ma Dropbox pour en avoir une copie au cas où.

Pas de risque d'action malveillante sur le PC, vol de mdp etc ?

[Malekal_morte]

Si tu n'as pas exécuté récemment le contenu du ZIP, non.
Par contre, si c'est le cas, change vite tes mots de passe.

[Sigma]

D'accord, Windows Defender ne m'a pas laissé ouvrir le .zip car il a détecté le script quand j'ai voulu l'ouvrir.
Etant donné qu'il n'y a pas de mots de passe enregistrés sur le navigateur mais uniquement via le gestionnaire de mots de passe de dropbox, c'est tout de même possible à dérober ?
Merci beaucoup à vous deux pour votre aide !

[Malekal_morte]

Oui en accédant à ton compte Dropbox, en interceptant les mots de passe etc.
Mais comme tu n'as pas ouvert le zip et pas de malware actif, c'est bon.