Powershell s'ouvre tout seul virus

Résolu/Fermé
Fatlez - Modifié le 18 août 2022 à 15:52
bazfile Messages postés 56639 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 17 décembre 2024 - 18 août 2022 à 17:08

Bonjour ,

J'ai voulu installé un crack aujourd'hui mais je crois bien etre tombé sur un virus, Powershell s'éxécute tout seul au démarrage de mon ordinateur. Apres avoir lu quelques post, j'ai installé FRST et fait une analyse dont voici les résultats

FRST ; https://up.security-x.fr/file.php?h=Rac4cab414ff8cc162e353a55aeb1701a 

Addition : https://up.security-x.fr/file.php?h=R1c1fa25ad2c02b8153d12f13e9563228 

En espérant qu'on puisse m'aider et merci d'avance

1 réponse

bazfile Messages postés 56639 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 17 décembre 2024 19 328
18 août 2022 à 16:11

Bonjour.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3485545277-516421276-3083729566-1001\...\Run: [WCUpate] => powershell.exe -WindowStyle Hidden -ExecutionPolicy bypass -c "& 'C:\Users\igorw\AppData\Roaming\BBWC\updater.exe' /silentall -nofreqcheck" (Pas de fichier)
HKU\S-1-5-21-3485545277-516421276-3083729566-1001\...\Run: [WCStartup] => powershell.exe -ExecutionPolicy bypass -c "$w="$env:APPDATA"+'/BBWC/'; [Reflection.Assembly]::Load([System.IO.File]::ReadAllBytes($w+'WebCompanion.dll'));[WebCompanion.StartUp]::Start()" (Pas de fichier)
HKU\S-1-5-21-3485545277-516421276-3083729566-1001\...\Run: [WCEUpdater] => powershell.exe -WindowStyle Hidden -ExecutionPolicy bypass -c "$w='C:\Users\igorw\AppData\Roaming\Browser Extension\updater.exe' & $w /silentall -nofreqcheck" (Pas de fichier)
HKU\S-1-5-21-3485545277-516421276-3083729566-1001\...\Run: [WCEStartup] => powershell.exe -ExecutionPolicy bypass -c "$w="$env:APPDATA"+'/Browser Extension/';[Reflection.Assembly]::Load([System.IO.File]::ReadAllBytes($w+'BrowserExtension.dll'));[WebCompanion.BrowserExtension (l'élément de données a 13 caractères en plus). (Pas de fichier)
Task: {17417294-B9D2-405A-BF37-01837DF2DC45} - \McAfee Remediation (Prepare) -> Pas de fichier 
Task: {6CBEF361-EE00-46F9-B3B8-D803788F07C8} - \Microsoft\Windows\Management\Provisioning\PostResetBoot -> Pas de fichier 
Task: {7B2E86AC-E74D-4292-8B27-0602FA410619} - \Dell SupportAssistAgent AutoUpdate -> Pas de fichier
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Immersive Control Panel.lnk:DC8F23BC3A [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk:E77773B271 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlook.lnk:5465085A2F [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Publisher.lnk:104946E0EA [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word.lnk:7AD7FA8AB1 [3434]
FirewallRules: [{55C9ADC4-E046-42E1-9CED-5DC7F696DD38}] => (Allow) C:\Program Files\WindowsApps\ScreenovateTechnologies.DellMobileConnect_3.2.9660.0_x64__0vhbc3ng4wbp0\app\DellMobileConnectClient.exe => Pas de fichier
FirewallRules: [{A4F0813E-49BB-41A5-BF80-55ABF20DE221}] => (Allow) C:\Program Files\WindowsApps\ScreenovateTechnologies.DellMobileConnect_3.2.9660.0_x64__0vhbc3ng4wbp0\app\DellMobileConnectClient.exe => Pas de fichier
FirewallRules: [{C931708C-798E-4863-B289-65E97F9386D3}] => (Allow) C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe => Pas de fichier
C:\Users\igorw\AppData\Roaming\BBWC
C:\Users\igorw\AppData\Roaming\Browser Extension
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT


0

Un grand merci pour votre réponse rapide voici dont le document Fixlog :

https://www.cjoint.com/c/LHsorqGKqUI

Le promblème a été vraisemblablement réglé, PowerShell ne s'est pas relancé au redémarrage. Merci beaucoup pour votre temps accordé !

0
bazfile Messages postés 56639 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 17 décembre 2024 19 328 > Fatlez
18 août 2022 à 17:08

Le fixlog est OK.
Vu que de ton côté tout est également OK, tu peux désinstaller FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.

1